Caso práctico: cómo cumplir la Ley 21.719 en una pyme chilena

La teoría de la Ley 21.719 está cubierta en blogs y webinars. Lo que falta, y lo que más nos piden los clientes, es ver cómo se hace en una empresa real.

Acá seguimos a Distribuidora del Maule SpA, una pyme ficticia de 22 trabajadores en Talca dedicada a distribuir insumos para construcción. Vamos desde el día en que el directorio decide partir hasta el día 90, cuando la empresa queda en posición defendible frente a la APDP.

El objetivo no es entregar otra checklist genérica. Queremos mostrarte el proceso con tiempos, decisiones y costos realistas para que estimes el tuyo.

El punto de partida

• Sector: distribución de materiales de construcción.
• Tamaño: 22 trabajadores (1 gerente, 1 asistente administrativa, 4 vendedores, 12 operarios de bodega, 4 conductores).
• Sistemas: ERP local (Defontana), CRM gratuito (Bitrix24 cloud), Outlook + OneDrive corporativo, WhatsApp Business, sitio web con formulario de contacto, cámaras de seguridad en bodega.
• Datos personales que trata:
  • Empleados (contratos, datos de salud declarados, contactos de emergencia).
  • Clientes (pymes y constructoras pequeñas; mayoría persona jurídica, pero con contactos personales).
  • Proveedores personas naturales (transportistas, gasfíteres).
  • Postulantes (CVs recibidos por correo).
  • Visitantes a bodega (cámaras y libro de visitas).

Día 1 al 15: diagnóstico y prioridades

El gerente general designa a la asistente administrativa, una contadora con 6 años en la empresa, como coordinadora del proyecto. No será DPO formal (no es obligatorio para esta pyme), pero centralizará el cumplimiento.

Las actividades de la primera quincena fueron cuatro:

1. Reunión de directorio (2 horas) para alinear alcance, presupuesto y plazos.
2. Workshop con todas las áreas (medio día) para mapear qué datos se tratan y dónde.
3. Lista preliminar de hallazgos, con cinco puntos críticos:
   • El sitio web tiene un formulario sin política de privacidad enlazada.
   • Los CVs llegan a un correo personal, no corporativo.
   • WhatsApp Business se usa para confirmar pedidos con clientes y para coordinar turnos con conductores.
   • Las cámaras de seguridad no tienen cartelería visible.
   • No hay contratos con los proveedores cloud (Defontana, Bitrix24, Microsoft).
4. Diagnóstico de obligación de DPO: la pyme no realiza tratamientos masivos, no maneja datos sensibles a gran escala y no es organismo público. No requiere DPO formal, pero igual debe cumplir el resto de la ley.

Costo estimado: tiempo interno (cerca de 40 horas-persona) más asesoría puntual de 4 horas con un consultor (alrededor de $240.000).

Día 16 al 30: inventario de tratamientos

El inventario es la pieza fundacional. Sin él, no se puede priorizar nada. La empresa construye una planilla simple con estas columnas:

Categoría titular	Datos	Finalidad	Base licitud	Sistema	Plazo retención	Destinatarios
Empleados	Identificación, salud declarada, contacto emergencia	Gestión laboral	Contrato + obligación legal	ERP, OneDrive	Contrato + 5 años	AFP, ISAPRE, mutual, SII
Clientes (contacto)	Nombre, correo, teléfono	Gestión comercial	Contrato + interés legítimo	CRM, ERP	Relación + 6 años	(no aplica)
Postulantes	CV (incluye dirección, foto)	Selección	Consentimiento	Correo	6 meses post-proceso	(no aplica)
Proveedores PN	Identificación, cuenta bancaria	Pago de servicios	Contrato + obligación legal	ERP	Contrato + 6 años	SII, banco
Visitantes bodega	Imagen (cámaras), nombre/RUT (libro)	Seguridad	Interés legítimo	DVR, libro físico	30 días video / 1 año libro	(no aplica)

Hallazgos del inventario:

• 7 tratamientos formales identificados.
• 3 con base de licitud sólida (contrato u obligación legal).
• 2 dependen de interés legítimo (clientes B2B y cámaras): hay que documentar el análisis.
• 2 dependen de consentimiento (postulantes y formulario web): hay que reformular cómo se obtiene.

Tiempo invertido: cerca de 25 horas-persona internas. Sin costo externo.

Día 31 al 45: política de privacidad y formularios

Con el inventario claro, se redactan los documentos públicos. Las decisiones que tomó el equipo:

1. Política de privacidad pública, publicada en el sitio web. Primera versión generada con el generador de política de privacidad y revisada por un abogado externo.
2. Aviso de privacidad al postular: los CVs ahora llegan a un correo corporativo dedicado (postulaciones@distribuidora.cl), con respuesta automática que adjunta el aviso y los plazos de conservación.
3. Formulario de contacto del sitio web rediseñado: casilla independiente y vacía por defecto para autorizar respuesta a la consulta y casilla separada para envío de promociones.
4. Cláusula de cámaras: cartelería en accesos a bodega informando que el lugar está videovigilado, con finalidad, responsable y plazo de conservación.
5. Política interna de uso aceptable: los empleados firman una nueva política que regula el uso de WhatsApp Business, OneDrive y datos de clientes.

Tiempo y costo: cerca de 30 horas-persona internas + abogado externo para revisar política (8 horas, alrededor de $480.000) + cartelería de cámaras (alrededor de $60.000).

Día 46 al 60: contratos con encargados

La empresa revisa y firma contratos de encarguía con todos sus proveedores que tratan datos:

Proveedor	Servicio	Acción tomada
Defontana	ERP en cloud	DPA estándar firmado desde el panel del proveedor
Bitrix24	CRM en cloud	DPA firmado online + revisión de cláusulas de transferencia internacional
Microsoft 365	Correo y OneDrive	DPA aceptado en panel de administración
Empresa de cámaras	Mantención DVR	Contrato en papel adaptado para incorporar cláusulas de la Ley 21.719
Asesor contable externo	Liquidación de sueldos	Anexo al contrato vigente con cláusulas específicas
Empresa de email marketing (Mailchimp)	Campañas a clientes	DPA firmado online

Para los proveedores cloud globales, esto implica además declarar las transferencias internacionales en la política pública.

Tiempo invertido: cerca de 20 horas-persona internas + revisión legal de contratos atípicos (4 horas, alrededor de $240.000).

Día 61 al 75: medidas de seguridad y procedimientos

La ley exige medidas de seguridad apropiadas al riesgo. Para esta pyme se implementó:

1. MFA (autenticación de dos factores) activado en Microsoft 365, Bitrix24 y Defontana.
2. Política de contraseñas: mínimo 12 caracteres, cambio cada 6 meses, prohibición de reuso.
3. Cifrado en reposo confirmado con cada proveedor (todos lo ofrecen por defecto).
4. Backup semanal del ERP a un disco cifrado custodiado en caja fuerte.
5. Procedimiento de baja: cuando un empleado deja la empresa, se desactivan accesos en menos de 24 horas y se documenta.
6. Procedimiento de derechos ARCO: una bandeja (privacidad@distribuidora.cl) recibe solicitudes y un flujo simple en planilla las gestiona dentro del plazo legal de 30 días.
7. Procedimiento de notificación de brechas: protocolo escrito que define cómo escalar al gerente general y, si corresponde, notificar a la APDP en menos de 72 horas.

Tiempo invertido: cerca de 25 horas-persona internas + asesoría TI puntual (8 horas, alrededor de $320.000).

Día 76 al 90: capacitación y cierre

El último tramo se dedica a capacitación y a poner todo a operar:

1. Charla de 2 horas a todos los trabajadores sobre la Ley 21.719, qué datos están protegidos y cómo deben tratarlos.
2. Inducción a nuevos empleados: nuevo módulo en el onboarding que cubre privacidad y seguridad de la información.
3. Capacitación específica al equipo comercial sobre uso correcto del CRM y cómo gestionar consentimientos.
4. Definición de KPI internos: número de solicitudes ARCO recibidas y tiempo de respuesta, número de incidentes detectados, % de proveedores con DPA firmado.
5. Acta de cierre del proyecto firmada por el gerente general, que documenta el alcance ejecutado y el plan anual de mejora.

Tiempo invertido: cerca de 15 horas-persona internas + facilitador externo para la capacitación (4 horas, alrededor de $240.000).

Resumen de inversión total

Después de 90 días, Distribuidora del Maule cierra el proyecto con:

• Tiempo interno acumulado: cerca de 155 horas-persona (alrededor de 4 semanas de la coordinadora a tiempo completo, distribuidas en 3 meses).
• Costos externos: cerca de $1.580.000 (asesor inicial, abogado, asesoría TI, capacitación, cartelería).
• Costo total estimado: aproximadamente $3 a $4 millones, considerando el costo de oportunidad del tiempo interno.

Para una pyme, eso es menos del 0,5% de la facturación anual. Y queda muy por debajo de las potenciales multas y sanciones de la Ley 21.719, que parten en 100 UTM y pueden escalar a varios miles según la gravedad.

Errores que la pyme evitó

• Empezó por el inventario, no por la política. Sin saber qué tratamientos había, ningún documento público se sostiene.
• No designó DPO innecesariamente. Dejó la función en la coordinadora con apoyo externo puntual.
• Usó los DPAs estándar de cada proveedor cloud (ya alineados con CCT) en vez de redactar templates propios.
• Capacitó a todo el equipo. La mayoría de los incidentes humanos se evitan con una charla bien hecha.

Plan anual de mejora (año 2)

El proyecto no termina el día 90. Distribuidora del Maule programa para el año siguiente: auditoría interna semestral del inventario y los DPAs, renovación anual de capacitaciones, un simulacro de respuesta a incidentes y evaluación de migrar hacia ISO 27001 si entra a contratos con grandes mineras o constructoras que la exijan.

Lo que el caso muestra

Cumplir la Ley 21.719 en una pyme no requiere un equipo dedicado ni un presupuesto millonario. Requiere método, secuencia correcta y disciplina operativa.

El caso de Distribuidora del Maule muestra que en 90 días, con una coordinadora interna y asesoría puntual, una empresa de 22 trabajadores puede pasar de cero a estar en posición defendible frente a una eventual fiscalización. El error más caro no es invertir mal: es no empezar a tiempo.

¿Quieres aplicar este plan en tu pyme? Conversemos y dimensionamos juntos el proyecto.