Checklist: 10 pasos para cumplir la Ley de Datos en Chile
Checklist práctico con 10 pasos para cumplir la Ley 21.719 en Chile: tiempos, prioridades y errores comunes. Ideal para empresas que parten desde cero.
Checklist: 10 pasos para cumplir la Ley de Datos en Chile
La fiscalización plena de la Ley 21.719 empieza en diciembre de 2026. Si tu empresa está partiendo desde cero, el plazo se siente lejano. Pero un programa de cumplimiento serio toma entre 9 y 12 meses, y los buenos consultores ya tienen agenda para 2025 prácticamente cerrada.
La pregunta que recibimos casi todas las semanas en FideliNorm es la misma: "ya entendí, pero ¿qué tengo que hacer concretamente?". Acá te dejamos los 10 pasos en orden de prioridad, con tiempos realistas basados en proyectos que ya hicimos.
Antes de partir, una pregunta básica: ¿tu empresa trata datos personales? Si tienes empleados, clientes, proveedores personas naturales, formularios web, cámaras de seguridad o listas de correos, la respuesta es sí. La ley te aplica. Vamos al checklist.
Paso 1: levanta el inventario de datos personales
Antes de diseñar políticas, necesitas saber qué datos personales trata tu empresa, dónde están, quién accede y para qué. Es un registro de actividades de tratamiento, y es la base de todo lo que viene.
Por cada tratamiento anota: categoría de titulares, tipos de datos, finalidad, base legal, sistemas, plazos de conservación y a quién se transfieren. Una planilla bien hecha alcanza. Sin este paso el resto del checklist es ciego.
Tiempo: 3 a 6 semanas para una pyme, 8 a 12 para empresa mediana.
Paso 2: designa un responsable interno
Toda empresa necesita un dueño formal del programa. Para empresas grandes, tratamientos a gran escala o datos sensibles, la ley exige Delegado de Protección de Datos (DPD). Para pymes pequeñas alcanza con asignar el rol a alguien con tiempo dedicado.
El DPD reporta a la alta dirección, no puede tener conflictos de interés y debe inscribirse ante la Agencia. Para una pyme, contratar un DPD externo suele ser más económico y rápido.
Tiempo: 2 a 4 semanas.
Paso 3: actualiza avisos de privacidad y consentimientos
Tu sitio web, formularios, contratos laborales, cláusulas comerciales y avisos de cámaras necesitan revisión. Lenguaje claro, no jurídico. Cada consentimiento debe ser libre, expreso, específico y verificable.
Las casillas premarcadas ya no son válidas. Si capturas leads con un "acepto los términos" automático, eso no funciona. El usuario tiene que entender qué se le pide y decir que sí explícitamente.
Tiempo: 4 a 6 semanas. Requiere coordinación entre legal, marketing y desarrollo web.
Paso 4: define la base legal de cada tratamiento
Para cada tratamiento del paso 1, define cuál es la base legal que lo permite. La ley reconoce seis: consentimiento, ejecución de contrato, obligación legal, interés vital, interés público e interés legítimo.
El interés legítimo es el más usado pero también el más delicado. Exige un test de balance documentado: ¿el interés de la empresa pesa más que los derechos del titular? Si no puedes responderlo por escrito, no es tu base.
Tiempo: 2 a 3 semanas, en paralelo con el paso 1.
Paso 5: implementa el procedimiento de derechos ARCO
Tus titulares pueden pedirte acceso, rectificación, cancelación, oposición, portabilidad, olvido o limitación. Tienes 30 días corridos para responder. Sin canal definido y flujo interno, esos días se pasan rápido.
Crea un canal único: formulario web más email dedicado. Define quién valida la identidad, quién busca los datos y quién firma la respuesta. Como meta interna apunta a 20 días, no 30.
Tiempo: 4 a 8 semanas. Lo más complicado es operativizar la búsqueda en sistemas dispersos.
Paso 6: establece medidas de seguridad técnicas
La ley exige medidas "adecuadas al riesgo" sin prescribir cuáles. Acá te conviene apoyarte en ISO 27001. Como mínimo necesitas: cifrado de respaldos, cifrado en tránsito, y control de accesos por rol. También autenticación de doble factor, respaldos con prueba de restauración, registros de actividad y antimalware.
Si ya tienes ISO 27001 vigente, te ahorras este paso casi completo. Si no, es probablemente el más caro del checklist.
Tiempo: 3 a 6 meses según madurez actual.
Paso 7: prepara el protocolo de brechas
Cuando tienes una brecha, tienes 72 horas para notificarla a la Agencia y, cuando corresponda, a los titulares. El reloj parte cuando tomas conocimiento, no cuando termina la investigación.
Necesitas comité de respuesta con roles claros, flujo de detección y escalamiento, y plantillas de notificación listas. También un registro de brechas que incluya incluso las que no requieren notificación externa. Haz al menos un simulacro al año.
Tiempo: 4 a 6 semanas.
Paso 8: capacita al equipo
La cultura es lo que separa cumplimiento real de cumplimiento decorativo. Las brechas más comunes vienen de errores humanos: correos mal enviados, pendrives perdidos, contraseñas compartidas.
Diseña capacitación general anual a todo el personal (1 a 2 horas). También capacitación específica para roles críticos como ventas, marketing, RRHH, atención al cliente y TI (4 a 8 horas). Y onboarding obligatorio para nuevos ingresos.
Tiempo: 6 a 8 semanas para diseñar, después recurrente.
Paso 9: revisa contratos con tus proveedores
Si tu CRM, hosting, mailing, payroll o cualquier proveedor procesa datos por tu cuenta, también responde frente a la ley. Necesitas contratos de tratamiento de datos firmados con cada uno: finalidades, medidas de seguridad, subcontratistas, transferencias y plazos de devolución.
Audita o pide certificaciones a proveedores críticos. Mantén un registro actualizado. Con proveedores grandes la negociación está estandarizada. Con proveedores pequeños suele ser artesanal.
Tiempo: 8 a 12 semanas según número de proveedores.
Paso 10: documenta todo y prepárate para fiscalizaciones
El último paso es lo que la Agencia te pedirá: evidencia escrita de que el programa existe y funciona. Compila un manual de protección de datos que integre políticas, procedimientos y registros. Mantén el inventario al día. Conserva evidencia de capacitación, DPIA cuando aplique, contratos firmados, registro de brechas y respuestas ARCO.
Programa una revisión anual y auditoría cada uno o dos años. La trampa más común es documentar al inicio y dejar que todo quede obsoleto.
Tiempo: 4 a 6 semanas iniciales, después continuo.
Un caso real: servicios financieros en Providencia
Para aterrizarlo, veamos un caso. Una empresa de servicios financieros boutique en Providencia, con 80 trabajadores y 12.000 clientes activos, arrancó el checklist en agosto de 2025. Su meta: llegar a marzo de 2026 con todo cerrado.
Asignaron al gerente de operaciones como responsable interno con 30% de su tiempo dedicado y contrataron un DPD externo. Trabajaron en paralelo el inventario y las bases legales en los primeros dos meses. Al mes 3 tenían avisos de privacidad publicados y consentimiento ordenado.
Seguridad técnica (paso 6) y proveedores (paso 9) fueron los más demandantes, hasta el mes 7. Capacitación corrió en paralelo desde el mes 4. En febrero de 2026 cerraron la documentación final y quedaron auditables.
Costo total: cerca de 65 millones en consultoría más 40 millones en herramientas de seguridad. Siete meses efectivos. La empresa llegó con 9 meses de margen antes de la fiscalización plena.
Errores que vemos repetirse
Cinco errores aparecen en casi todos los proyectos atascados.
Empezar por comprar tecnología antes de tener inventario es desperdicio garantizado. Copiar políticas genéricas bajadas de internet se nota a kilómetros en una fiscalización. Tratar el cumplimiento como proyecto único en vez de programa permanente lleva a que todo quede obsoleto en 12 meses.
Excluir a la dirección hace que el programa muera a los 6 meses por falta de respaldo. Y no medir nada deja al programa sin mejora real, porque sin indicadores no sabes si funciona.
Hablemos de cómo arrancar tu checklist
En FideliNorm ejecutamos este checklist completo de manera modular. Puedes contratar el programa integral o trabajar acciones específicas según tus prioridades y presupuesto. Cada proyecto se adapta al tamaño, rubro y madurez de tu empresa.
¿Tu empresa todavía no arranca, o ya empezó pero se atascó en algún paso? Escríbenos a contacto@fidelinorm.cl con un par de líneas sobre dónde estás. Te enviamos una propuesta con acciones, plazos y tarifas en menos de una semana.
Artículos relacionados
Cumplimiento normativo en tu correo, una vez al mes.
Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.
Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.
¿Necesitas certificar ISO 50001 en tu empresa?
En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.
Solicitar una consulta →