Encargado del Tratamiento: responsabilidades y contrato obligatorio en Chile

Casi ninguna empresa chilena trata sola sus datos personales. Hoy delegamos en proveedores la nube donde están los servidores, el CRM donde se almacenan los clientes, el software de remuneraciones, la herramienta de mailing y el call center que toma reclamos.

La Ley 21.719 le pone nombre y apellido a esa relación. Distingue entre responsable y encargado del tratamiento, y exige un contrato escrito obligatorio que regule el vínculo.

Saber distinguir los roles, redactar el contrato y entender el régimen de responsabilidad solidaria es clave para no terminar pagando por errores ajenos.

Responsable versus encargado: la distinción central

La Ley 21.719 define dos figuras que muchas veces se confunden:

• Responsable del tratamiento: la persona natural o jurídica que decide los fines y los medios del tratamiento. Es quien manda. Define para qué se recolectan los datos, qué se hace con ellos, cuánto se conservan y a quién se comunican.
• Encargado del tratamiento: la persona natural o jurídica que trata datos personales por cuenta del responsable. No decide finalidades, ejecuta instrucciones.

Ejemplos prácticos para que se entienda

• Una clínica chilena que registra historias clínicas es responsable. El proveedor cloud donde aloja la base de datos es encargado.
• Una tienda de retail es responsable de los datos de sus clientes. La agencia de email marketing que envía las campañas es encargada.
• Una empresa industrial es responsable de los datos de sus trabajadores. El proveedor de software de remuneraciones es encargado.
• Un banco es responsable de los datos de sus tarjetahabientes. El call center tercerizado que atiende reclamos es encargado.

Cuando un mismo proveedor decide finalidades propias (por ejemplo, usa los datos para entrenar sus modelos de IA o los enriquece para venderlos), deja de ser encargado y se convierte en responsable adicional o conjunto, con todas las obligaciones de un responsable.

Por qué importa esta distinción

El responsable es el dueño legal del tratamiento y el primer interlocutor del titular y de la autoridad. El encargado, en principio, no enfrenta directamente al titular.

Pero la Ley 21.719 le asigna obligaciones propias y, sobre todo, abre la puerta a la responsabilidad solidaria cuando incumple su rol. Esto último cambia las reglas del juego como veremos más abajo.

El contrato de encarguía: obligatorio y por escrito

La ley establece que la relación tiene que formalizarse mediante contrato escrito, electrónico o en soporte equivalente que asegure su trazabilidad. No basta con una orden de compra, un correo o un acuerdo verbal.

La ausencia de contrato es, en sí misma, una infracción.

Lo que el contrato tiene que decir sí o sí

El contrato (también llamado DPA o Data Processing Agreement) tiene que contener al menos estos 13 elementos:

1. Identificación de las partes y de los roles (responsable y encargado).
2. Objeto, naturaleza y finalidad del tratamiento encargado.
3. Tipos de datos personales y categorías de titulares involucrados.
4. Duración del encargo y destino de los datos al término del contrato (devolución o eliminación certificada).
5. Instrucciones documentadas del responsable que el encargado debe seguir.
6. Obligación de confidencialidad del personal del encargado.
7. Medidas técnicas y organizativas de seguridad mínimas exigidas.
8. Régimen de subcontratación: si el encargado puede a su vez subcontratar (sub-encargados), bajo qué condiciones y con autorización previa del responsable.
9. Asistencia al responsable para responder solicitudes de derechos ARCO de titulares.
10. Obligación de notificar incidentes de seguridad en plazos breves (idealmente 24 a 72 horas).
11. Auditorías: derecho del responsable a auditar al encargado, directamente o mediante un tercero independiente.
12. Transferencias internacionales: si el encargado almacena o trata datos fuera de Chile, mecanismo legal aplicable.
13. Régimen de responsabilidad e indemnizaciones.

Cláusulas que conviene agregar aunque no sean obligatorias

• Definiciones alineadas con la ley para evitar ambigüedades.
• Penalidades por incumplimiento específicas (multas contractuales, terminación anticipada).
• Plan de continuidad y recuperación ante incidentes.
• Compromiso de cooperación ante fiscalizaciones de la APDP.
• Política de retención y borrado seguro documentada.

Lo que la ley le exige al encargado por sí mismo

A diferencia de la Ley 19.628, la Ley 21.719 le impone al encargado obligaciones propias y exigibles directamente, sin importar lo que diga el contrato:

• Tratar los datos solo conforme a las instrucciones documentadas del responsable.
• Garantizar la confidencialidad mediante compromisos formales de su personal.
• Implementar medidas de seguridad apropiadas al riesgo (cifrado, control de accesos, registros de actividad, copias de seguridad).
• Notificar incidentes de seguridad sin dilaciones indebidas al responsable.
• Asistir al responsable en el cumplimiento de derechos de los titulares.
• No subcontratar sin autorización previa del responsable.
• Devolver o eliminar los datos al finalizar el encargo, sin retener copias salvo obligación legal.
• Llevar un registro de las actividades de tratamiento que realiza por cuenta de cada responsable.
• Designar Delegado de Protección de Datos cuando proceda.

El incumplimiento de cualquiera de estas obligaciones es sancionable directamente al encargado, con las mismas escalas de multa que al responsable.

Responsabilidad solidaria: el punto que cambia todo

La Ley 21.719 establece que, frente al titular afectado, responsable y encargado responden solidariamente por los daños causados por un tratamiento no conforme a la ley. El titular puede demandar a cualquiera de los dos por el total del daño, y luego entre las partes se resuelve la distribución interna.

Las consecuencias prácticas son fuertes:

• Una empresa chilena puede quedar respondiendo por la negligencia de un proveedor SaaS extranjero.
• Un proveedor cloud puede ser arrastrado al proceso aunque la decisión que provocó la fuga la haya tomado el cliente.
• Las áreas legales y de compras tienen que revisar a fondo los contratos vigentes, porque un mal contrato es una transferencia de riesgo en contra.

La forma de mitigar este riesgo es:

1. Due diligence previo al contratar un encargado (políticas, certificaciones, antecedentes).
2. Cláusulas contractuales sólidas con repartición clara de obligaciones y penalidades.
3. Auditorías periódicas efectivas, no formales.
4. Seguros de ciberresponsabilidad que cubran la responsabilidad solidaria.

Cuando el encargado está fuera de Chile

Cuando el encargado está en el extranjero (hyperscalers globales, plataformas SaaS estadounidenses o europeas), al contrato de encarguía se suma el régimen de transferencia internacional de datos. Hay tres cosas que tienes que tener presentes.

El contrato tiene que incorporar cláusulas contractuales tipo o algún otro mecanismo legal habilitante. El responsable tiene que informar al titular que sus datos serán tratados desde el extranjero. Y en tratamientos a gran escala puede requerirse una evaluación de impacto en protección de datos (DPIA).

Plan operativo para ordenar la cadena

1. Inventaría a tus encargados. Levanta una lista completa: cloud, SaaS, agencias, BPO, consultoras, asesorías. La mayoría de las empresas descubre entre 30 y 80 encargados.
2. Clasifica el riesgo. Encargados que tocan datos sensibles (salud, biométricos, financieros) o grandes volúmenes son prioridad.
3. Diseña una plantilla maestra de DPA en español, con cláusulas alineadas a la Ley 21.719 y a estándares internacionales (GDPR, cuando aplica).
4. Renegocia los contratos vigentes. Muchos contratos firmados antes de 2025 carecen de las cláusulas obligatorias.
5. Capacita al área de Compras. Cualquier nuevo proveedor tiene que pasar por un check de protección de datos antes de firmar.
6. Integra con tu SGSI. Si tu empresa ya tiene o va camino a ISO 27001, gran parte de la gestión de proveedores ya está estructurada.

Errores que vemos repetirse

• Confiar en los términos y condiciones por defecto del proveedor SaaS, que muchas veces no cumplen con la Ley 21.719.
• No documentar las instrucciones que se dan al encargado (queda solo en correos sueltos o acuerdos verbales).
• Permitir subcontratación abierta, sin autorización ni control sobre los sub-encargados.
• No exigir notificación de incidentes: cuando ocurre la brecha, te enteras por la prensa.
• Asumir que un proveedor "grande" cumple por defecto: los gigantes globales tienen contratos sólidos, pero su configuración por defecto no siempre se ajusta al marco chileno.

Quién manda, quién ejecuta y quién paga la multa

La distinción entre responsable y encargado es uno de los conceptos más operativos de la Ley 21.719. Define quién manda, quién ejecuta, quién responde ante el titular y quién paga la multa cuando algo falla.

Un buen contrato de encarguía es la herramienta que ordena esta cadena de responsabilidades y, sobre todo, la que protege a tu empresa frente a la responsabilidad solidaria.

¿Necesitas ordenar tus contratos con proveedores? Conversemos y armemos juntos el inventario y las plantillas.