ISO 27001 vs Ley de Protección de Datos: no son lo mismo
ISO 27001 y la Ley 21.719 no se reemplazan: se complementan. Acá explicamos qué hace cada una, dónde se cruzan y cuál implementar primero en tu empresa.
ISO 27001 vs Ley de Protección de Datos: no son lo mismo
"Mi empresa ya tiene ISO 27001, así que con la Ley 21.719 estoy cubierto." Esa frase la escuchamos en reuniones casi todas las semanas. Y al revés: "Si cumplo con la ley, no necesito certificarme en ISO 27001." Las dos están equivocadas, y el malentendido cuesta caro.
ISO 27001 y la Ley 21.719 no son lo mismo, no se reemplazan, no son alternativas. Funcionan en planos distintos: una es una norma técnica voluntaria, la otra es una ley obligatoria con sanciones reales. Pero se complementan tan bien que las empresas que apuntan a un cumplimiento robusto necesitan implementar ambas.
En esta guía te explicamos qué hace cada una, en qué se diferencian y dónde se cruzan. También vemos por qué la combinación correcta puede reducir hasta 40% el costo de implementación si la planificas desde el día uno.
Qué es cada una en una sola frase
ISO 27001 es una norma internacional voluntaria que define cómo construir un Sistema de Gestión de Seguridad de la Información (SGSI). En lenguaje simple: te dice cómo proteger los datos que decidiste manejar.
La Ley 21.719 es una ley chilena obligatoria que regula cómo las empresas pueden tratar datos personales. En lenguaje simple: te dice qué datos puedes manejar, bajo qué condiciones y qué derechos tienen las personas sobre ellos.
Esa es la diferencia conceptual de fondo. Una te dice cómo proteger los datos. La otra te dice si los puedes tener y bajo qué condiciones.
Las diferencias prácticas que importan
Cuando aterrizas la diferencia conceptual a la operación, aparecen consecuencias concretas:
| Aspecto | ISO 27001 | Ley 21.719 |
|---|---|---|
| Carácter | Voluntaria | Obligatoria |
| Alcance | Cualquier información | Solo datos personales |
| Sanción por incumplir | Pérdida de certificación | Multas hasta 20.000 UTM |
| Foco | Cómo proteger | Qué se puede hacer y derechos del titular |
| Quién la audita | Organismo certificador (privado) | Agencia de Protección de Datos |
ISO 27001 funciona en el plano técnico-organizacional: políticas, controles de acceso, cifrado, gestión de incidentes. Su Anexo A trae 93 controles que cubren todo el ciclo de protección.
La Ley 21.719 funciona en el plano legal y de derechos: consentimiento informado, bases de licitud, derechos ARCO, plazos de respuesta, transferencias internacionales. Estos temas la norma técnica simplemente no los toca.
Lo que ISO 27001 no cubre
Acá hay un punto crítico para empresas que piensan que con su certificado están listas. ISO 27001 no aborda varios elementos centrales de la ley.
No regula el consentimiento ni las bases legales para tratar datos. No define los derechos ARCO ni los plazos para responderlos. No establece reglas para transferencias internacionales desde una óptica jurídica. No exige avisos de privacidad ni informa a los titulares. Tampoco contempla la figura del Delegado de Protección de Datos.
La traducción es directa: una empresa con ISO 27001 vigente puede ser multada por la Agencia si no implementa estos elementos. La certificación no es escudo legal frente a la Ley 21.719.
Lo que la Ley 21.719 no cubre
La ley va al revés: es deliberadamente principista en la dimensión técnica. Establece que las medidas de seguridad deben ser "adecuadas al riesgo", pero no prescribe cuáles. ¿Qué tipo de cifrado usar? ¿Cada cuánto hacer respaldos? ¿Cómo segmentar redes internas? ¿Qué controles aplicar a accesos privilegiados?
La ley no responde ninguna de esas preguntas. ISO 27001 sí, con detalle. Por eso una empresa que cumple solo con la ley, sin un sistema técnico estructurado detrás, suele tener un cumplimiento frágil. Frente a una fiscalización, demostrar que las medidas eran "adecuadas al riesgo" sin metodología formal es complicado.
Dónde se cruzan: el área de mayor eficiencia
Si superpones los requisitos de ambos marcos sobre un mismo plano, aparece una zona común muy aprovechable. Aproximadamente el 60 a 70% de los requisitos técnicos de la ley se cubren naturalmente con un SGSI ISO 27001 bien implementado.
Lo que comparten:
- Análisis de riesgos formal y mantenido
- Medidas técnicas de seguridad: cifrado, accesos, respaldos, monitoreo
- Gestión de incidentes con procedimientos documentados
- Capacitación obligatoria del personal
- Gestión y auditoría de proveedores
- Documentación de políticas y registros
Esa intersección es la que permite ahorrar plata. Una empresa que diseña su programa de cumplimiento legal sobre la base de ISO 27001 reutiliza análisis, controles, documentación y procesos. No los duplica.
Un caso concreto: minera mediana en Antofagasta
Para aterrizarlo, veamos un caso real. Una minera mediana en la Región de Antofagasta, con 600 trabajadores y operaciones en dos faenas, tenía dos presiones simultáneas en 2025. Por un lado, su casa matriz canadiense le exigía certificarse en ISO 27001 para mantenerse como filial. Por otro, la nueva Ley 21.719 le obligaba a llegar a diciembre de 2026 con un programa de protección de datos sólido.
La empresa estuvo a punto de armar dos proyectos separados con dos consultores distintos. Iba a costarle alrededor de 180 millones de pesos en total y unos 18 meses de implementación. El equipo de cumplimiento detectó la sobreposición y diseñó un proyecto integrado.
¿Cómo quedó al final? El proyecto integrado se diseñó así: un solo análisis de riesgos extendido para cubrir privacidad. Un solo inventario de activos mapeado a tratamientos de datos. Un solo procedimiento de incidentes adaptado para incluir notificación a la Agencia. Y un solo programa de capacitación con módulos específicos para cada marco.
Resultado: 110 millones de costo total y 11 meses de implementación. Es 38% menos en plata y 39% menos en tiempo. La certificación ISO 27001 y el cumplimiento de la ley quedaron listos al mismo tiempo. La casa matriz quedó conforme y la empresa quedó cubierta legalmente.
Cuál implementar primero
La pregunta más práctica que nos hacen es esta: si tengo que partir por algo, ¿por dónde? La respuesta depende de tu situación.
Si tu empresa parte desde cero, conviene implementar ambos en paralelo con un proyecto integrado. Ahorra entre 30 y 40% versus hacerlos separados, y deja el SGSI listo para certificar prácticamente sin costo adicional.
Si ya tienes ISO 27001 vigente, partes con ventaja. Te concentras en cerrar las brechas que la norma no cubre: avisos de privacidad, consentimientos, derechos ARCO, DPD si corresponde, transferencias internacionales. Una empresa con SGSI puede llegar al cumplimiento legal en 3 a 6 meses.
Si solo quieres cumplir con la ley sin ISO 27001, también funciona. Pero te conviene saber que tu cumplimiento será más frágil, más reactivo y más difícil de demostrar en una fiscalización. Para empresas que aspiran a vender a clientes corporativos grandes, exportar o licitar con el Estado, ISO 27001 hoy es prácticamente requisito de mercado.
Hablemos de cómo lo abordas
En FideliNorm diseñamos proyectos integrados que abordan ISO 27001 y la Ley 21.719 de manera coordinada. Identificamos qué controles cubren ambos marcos, evitamos duplicidades y construimos políticas que responden a las dos lógicas a la vez.
¿Tu empresa está pensando en certificar ISO 27001, en cumplir la ley, o en ambos? Escríbenos a contacto@fidelinorm.cl y te hacemos un diagnóstico de brechas en 2 a 3 semanas. Te decimos exactamente qué tienes, qué te falta y cuál es la ruta más eficiente para llegar al objetivo sin desperdiciar plata.
Artículos relacionados
Cumplimiento normativo en tu correo, una vez al mes.
Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.
Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.
¿Necesitas certificar ISO 50001 en tu empresa?
En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.
Solicitar una consulta →