Volver al blog
Ley 21.719encargado del tratamientodatos personalesChilecontratoscumplimiento

Encargado del Tratamiento: responsabilidades y contrato obligatorio en Chile

Diferencias entre responsable y encargado del tratamiento bajo la Ley 21.719, elementos obligatorios del contrato de encarguía y régimen de responsabilidad solidaria que afecta a empresas chilenas y a sus proveedores tecnológicos.

Equipo FideliNorm
Encargado del Tratamiento: responsabilidades y contrato obligatorio en Chile

Casi ninguna empresa chilena trata sola sus datos personales. Hoy delegamos en proveedores la nube donde están los servidores, el CRM donde se almacenan clientes, el software de remuneraciones, la herramienta de mailing, el call center que toma reclamos, la consultora que hace estudios de mercado. La Ley 21.719 de Protección de Datos Personales pone nombre y apellido a esa relación: la diferencia entre responsable y encargado del tratamiento, y un contrato escrito obligatorio que regula el vínculo. Saber distinguir los roles, redactar el contrato y entender el régimen de responsabilidad solidaria es clave para no terminar pagando por errores ajenos. Esta guía explica cómo abordarlo.

👥 Responsable vs. encargado: la distinción central

La Ley 21.719 define dos figuras que muchas veces se confunden:

  • Responsable del tratamiento: la persona natural o jurídica, pública o privada, que decide los fines y los medios del tratamiento de datos personales. Es quien manda: define para qué se recolectan los datos, qué se hace con ellos, cuánto se conservan y a quién se comunican.
  • Encargado del tratamiento: la persona natural o jurídica que trata datos personales por cuenta del responsable. No decide finalidades; ejecuta instrucciones.

Ejemplos prácticos

  • Una clínica que registra historias clínicas es responsable. El proveedor cloud donde aloja la base de datos es encargado.
  • Una tienda de retail es responsable de los datos de sus clientes. La agencia de email marketing que envía las campañas es encargada.
  • Una empresa industrial es responsable de los datos de sus trabajadores. El proveedor de software de remuneraciones es encargado.
  • Un banco es responsable de los datos de sus tarjetahabientes. El call center tercerizado que atiende reclamos es encargado.

Cuando un mismo proveedor decide finalidades propias (por ejemplo, usa los datos para entrenar sus modelos de IA o los enriquece para venderlos), deja de ser encargado y se convierte en responsable adicional o conjunto, con todas las obligaciones de un responsable.

Por qué importa la distinción

El responsable es el dueño legal del tratamiento y el primer interlocutor del titular y de la autoridad. El encargado, en principio, no enfrenta directamente al titular. Pero la Ley 21.719 le asigna obligaciones propias y, sobre todo, abre la puerta a la responsabilidad solidaria cuando incumple su rol.

📝 El contrato de encarguía: obligatorio y por escrito

La ley establece que la relación entre responsable y encargado debe formalizarse mediante un contrato escrito, electrónico o en soporte equivalente que asegure su trazabilidad. No basta con una orden de compra, un correo o un acuerdo verbal. La ausencia de contrato es, en sí misma, una infracción.

Elementos mínimos obligatorios

El contrato (también llamado DPA o Data Processing Agreement, en su versión internacional) debe contener al menos:

  1. Identificación de las partes y de los roles (responsable y encargado).
  2. Objeto, naturaleza y finalidad del tratamiento encargado.
  3. Tipos de datos personales y categorías de titulares involucrados.
  4. Duración del encargo y destino de los datos al término del contrato (devolución o eliminación certificada).
  5. Instrucciones documentadas del responsable que el encargado debe seguir.
  6. Obligación de confidencialidad del personal del encargado.
  7. Medidas técnicas y organizativas de seguridad mínimas exigidas.
  8. Régimen de subcontratación: si el encargado puede a su vez subcontratar (sub-encargados), bajo qué condiciones y con autorización previa del responsable.
  9. Asistencia al responsable para responder solicitudes de derechos ARCO de titulares.
  10. Obligación de notificar incidentes de seguridad en plazos breves (idealmente 24 a 72 horas).
  11. Auditorías: derecho del responsable a auditar al encargado, directamente o mediante un tercero independiente.
  12. Transferencias internacionales: si el encargado almacena o trata datos fuera de Chile, mecanismo legal aplicable.
  13. Régimen de responsabilidad e indemnizaciones.

Cláusulas adicionales recomendadas

Aunque no son obligatorias, se aconseja incorporar:

  • Definiciones alineadas con la ley para evitar ambigüedades.
  • Penalidades por incumplimiento específicas (multas contractuales, terminación anticipada).
  • Plan de continuidad y recuperación ante incidentes.
  • Compromiso de cooperación ante fiscalizaciones de la Agencia de Protección de Datos Personales (APDP).
  • Política de retención y borrado seguro documentada.

⚖️ Responsabilidades específicas del encargado

A diferencia de la Ley 19.628, la Ley 21.719 le impone al encargado obligaciones propias y exigibles:

  • Tratar los datos solo conforme a las instrucciones documentadas del responsable.
  • Garantizar la confidencialidad mediante compromisos formales de su personal.
  • Implementar medidas de seguridad apropiadas al riesgo (cifrado, control de accesos, registros de actividad, copias de seguridad).
  • Notificar incidentes de seguridad sin dilaciones indebidas al responsable.
  • Asistir al responsable en el cumplimiento de derechos de los titulares.
  • No subcontratar sin autorización previa del responsable.
  • Devolver o eliminar los datos al finalizar el encargo, sin retener copias salvo obligación legal.
  • Llevar un registro de las actividades de tratamiento que realiza por cuenta de cada responsable.
  • Designar Delegado de Protección de Datos cuando proceda según los criterios de la ley.

El incumplimiento de cualquiera de estas obligaciones es sancionable directamente al encargado, con las mismas escalas de multa que al responsable.

🔗 Responsabilidad solidaria: el punto que cambia todo

La Ley 21.719 establece que, frente al titular afectado, responsable y encargado responden solidariamente por los daños causados por un tratamiento no conforme a la ley. Esto significa que el titular puede demandar a cualquiera de los dos por el total del daño, y será luego entre las partes quien resuelva la distribución interna.

Las consecuencias prácticas son fuertes:

  • Una empresa chilena puede quedar respondiendo por la negligencia de un proveedor SaaS extranjero.
  • Un proveedor cloud puede ser arrastrado al proceso aunque la decisión que provocó la fuga la haya tomado el cliente.
  • Las áreas legales y de compras deben revisar a fondo los contratos vigentes, porque un mal contrato es una transferencia de riesgo en contra.

La forma de mitigar este riesgo es:

  1. Due diligence previo al contratar un encargado (políticas, certificaciones, antecedentes).
  2. Cláusulas contractuales sólidas con repartición clara de obligaciones y penalidades.
  3. Auditorías periódicas efectivas, no formales.
  4. Seguros de ciberresponsabilidad que cubran la responsabilidad solidaria.

🌍 Encargados internacionales

Cuando el encargado está fuera de Chile (por ejemplo, hyperscalers globales, plataformas SaaS estadounidenses o europeas), al contrato de encarguía se suma el régimen de transferencia internacional de datos que regula la Ley 21.719. Volveremos sobre esto en una guía dedicada, pero conviene tener presente que:

  • El contrato debe incorporar cláusulas contractuales tipo o algún otro mecanismo legal habilitante.
  • El responsable debe informar al titular que sus datos serán tratados desde el extranjero.
  • En tratamientos a gran escala, puede requerirse una evaluación de impacto en protección de datos (DPIA).

🧰 Recomendaciones para implementar

  1. Inventaría a tus encargados. Levanta una lista completa: cloud, SaaS, agencias, BPO, consultoras, asesorías. La mayoría de las empresas descubre entre 30 y 80 encargados.
  2. Clasifica el riesgo. Encargados que tocan datos sensibles (salud, biométricos, financieros) o grandes volúmenes deben tener prioridad de revisión.
  3. Diseña una plantilla maestra de DPA en español, con cláusulas alineadas a la Ley 21.719 y a estándares internacionales (GDPR, cuando aplica).
  4. Renegocia los contratos vigentes. Muchos contratos firmados antes de 2025 carecen de las cláusulas obligatorias.
  5. Capacita al área de Compras. Cualquier nuevo proveedor debe pasar por un check de protección de datos antes de firmar.
  6. Integra con tu SGSI. Si tu empresa ya tiene o está en camino a ISO 27001, gran parte de la gestión de proveedores ya está estructurada.

⚠️ Errores frecuentes

  • Confiar en los términos y condiciones por defecto del proveedor SaaS, que muchas veces no cumplen con la Ley 21.719 chilena.
  • No documentar las instrucciones que se dan al encargado (queda solo en correos sueltos o acuerdos verbales).
  • Permitir subcontratación abierta, sin autorización ni control sobre los sub-encargados.
  • No exigir notificación de incidentes: cuando ocurre la brecha, te enteras por la prensa.
  • Asumir que un proveedor "grande" cumple por defecto: los gigantes globales tienen contratos sólidos, pero su configuración por defecto no siempre se ajusta al marco chileno.

📌 Conclusión

La distinción entre responsable y encargado del tratamiento es uno de los conceptos más operativos de la Ley 21.719. Define quién manda, quién ejecuta, quién responde ante el titular y quién paga la multa cuando algo falla. Un buen contrato de encarguía es la herramienta que ordena esta cadena de responsabilidades y, sobre todo, la que protege a tu empresa frente a la responsabilidad solidaria que la ley impone.

Empresas chilenas que aborden el ejercicio con seriedad (inventario, plantilla maestra, renegociación, auditoría) llegarán al cierre de 2026 con su ecosistema de proveedores en regla. Quienes lo posterguen descubrirán que renegociar 50 contratos en simultáneo, bajo presión regulatoria, es mucho más caro que hacerlo con tiempo.

🚀 ¿Necesitas ordenar tus contratos con proveedores?

En FideliNorm acompañamos el levantamiento del inventario de encargados, el diseño de plantillas de DPA alineadas a la Ley 21.719 y la negociación con proveedores nacionales e internacionales. Si quieres llegar a la entrada en vigor de la ley con tu cadena de responsabilidad clara y documentada, conversemos.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →