Departamento TI
Compliance

Controles técnicos mínimos exigibles bajo la Ley 21.719

juanhernandez@preyhq.com
Juan H.
Feb 12, 2026
0 minutos de lectura
Controles técnicos mínimos exigibles bajo la Ley 21.719
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

Durante años, muchas organizaciones se sintieron cómodas cumpliendo con la ley a punta de formularios, declaraciones y políticas en papel. Pero esa comodidad resultará insuficiente en Chile con la entrada en vigencia de la Ley 21.719. Con esta ley, el cumplimiento debe ser tangible, dado que hay que demostrar que se protege con controles reales.

Aunque aún falta el reglamento oficial, la obligación ya está activa, y aunque no entrega un listado cerrado de medidas, sí establece un marco claro con responsabilidad activa, proporcionalidad al riesgo, y sobre todo, capacidad de demostrar lo que se hace.

Eso no significa que se espere una perfección técnica, sino razonabilidad, control y evidencia.

¿Qué mirará la Agencia en una fiscalización? Preguntas simples:

  • ¿Sabes dónde están los datos personales?
  • ¿Tienes control sobre quién accede a ellos y desde qué dispositivos?
  • ¿Puedes probar qué hiciste antes, durante y después de un incidente?

Controles técnicos mínimos de la Ley 21.719

Antes de empezar a tachar casillas, es clave entender que los controles técnicos no son iguales para todos. Dicho eso, hay un piso técnico común: un mínimo esperable que cualquier entidad responsable de datos personales ya debería tener en marcha. Basado en el artículo 14 de la ley, estos son los controles clave que se espera ver en cualquier organización seria en protección de datos:

  • Inventario y control de activos: Saber qué dispositivos, sistemas y aplicaciones se usan para tratar datos personales.
  • Cifrado de datos personales: Tanto en tránsito como en reposo, especialmente cuando se trata de datos sensibles o se usan dispositivos móviles.
  • Control de accesos por usuario: Nada de contraseñas compartidas o accesos genéricos. Se requiere trazabilidad.
  • Respaldos periódicos y pruebas de restauración: No solo hacer backups, sino también probar que funcionen.
  • Políticas de protección desde el diseño y por defecto: Que los sistemas y procesos minimicen el uso de datos desde el inicio.
  • Detección y contención de incidentes: Capacidad de recibir alertas y aislar equipos o servicios ante una vulneración.
  • Registro de incidentes y medidas correctivas: Cada incidente debe quedar documentado, con detalle de impacto y acciones tomadas.
  • Canales de contacto claros para titulares y autoridades: Correo, web o formulario accesible para ejercer derechos o recibir notificaciones.
  • Evidencia documentada del cumplimiento: Logs, reportes, decisiones técnicas y justificativos de proporcionalidad.

Inventario y control: la base de todo cumplimiento técnico

Todo parte por saber con qué estás trabajando. Si no tienes claro qué dispositivos, sistemas o aplicaciones manejan datos personales en tu organización, entonces el resto es adivinanza. No puedes proteger lo que no tienes mapeado.

Como verás, el inventario es el primer control exigible, pues los datos, y el acceso a ellos, siempre están en algún lugar. Ya sea una laptop, una app, un servidor o la nube. Si no sabes qué dispositivos, sistemas o aplicaciones los contienen, no puedes evaluarlos ni asegurar su protección. Por eso, el inventario es de los primeros controles técnico que cualquier autoridad esperará encontrar en una fiscalización o auditoría.

Recomendaciones clave:

  1. No se puede proteger lo que no se conoce: Si no sabes qué activos tienes, ni quién los usa, ni qué datos manejan, estás a ciegas. Un inventario básico o un MDM para inventariar tus dispositivos de trabajo te permite entender qué proteger, dónde aplicar controles y por qué.
  2. Relación clave: dispositivo → usuario → tipo de datos: No basta con listar equipos. Tienes que saber quién los usa y qué tipo de información manejan. Esa trazabilidad permite tomar decisiones inteligentes frente a incidentes y cumplir con el principio de responsabilidad activa.
  3. Sin inventario…: No puedes gestionar riesgos de forma realista. No puedes responder incidentes con eficacia. Y lo más crítico: no puedes defender tu cumplimiento ante una fiscalización. Sin inventario, no hay evidencia ni control. Solo exposición.

Protección de dispositivos: cuando los datos salen de la oficina

Hoy, más del 70 % de los trabajadores en Latinoamérica pasa al menos parte de su jornada fuera de la oficina. El modelo híbrido llegó para quedarse, y con él, la exposición de los datos personales también cambió de terreno. A eso se suma que 6 de cada 10 personas usa dispositivos personales para trabajar. El resultado: una mezcla de datos laborales, personales y sensibles circulando fuera del perímetro corporativo, muchas veces sin protección real.

Por eso, los dispositivos son hoy uno de los principales puntos débiles en la cadena de protección de datos, pues ¿qué pasa si hoy se pierde un equipo con datos personales?. Laptops, tablets y teléfonos móviles son puertas de entrada a información crítica y cualquier pérdida, robo o mal uso puede desencadenar un incidente grave.

Controles mínimos esperables

  • Políticas básicas de seguridad en el dispositivo: Esto incluye configuraciones esenciales como bloqueo de pantalla, autenticación obligatoria, y reglas claras de uso aceptable. Son los primeros filtros para evitar accesos no autorizados y reducir el riesgo en situaciones cotidianas.
  • Cifrado de datos tanto en reposo como en tránsito: El cifrado asegura que, aunque el dispositivo o la conexión se vean comprometidos, los datos no puedan ser leídos sin autorización. Es una de las medidas más efectivas para proteger la confidencialidad ante pérdidas, robos o interceptaciones.
  • Capacidad de bloqueo remoto o borrado ante incidentes: Si un equipo es extraviado o robado, debe existir la posibilidad de bloquearlo o eliminar su contenido de forma remota. Esta capacidad no solo reduce el daño, sino que puede ser decisiva para evitar una notificación obligatoria por brecha de datos.

Control de accesos: quién puede ver y hacer qué

En 2025 solamente se reportaron más de 6.000 brechas de datos a nivel global, muchas de ellas vinculadas al acceso indebido a información sensible. No es casualidad: si cualquiera puede entrar, cualquiera puede causar daño. Por eso, controlar quién accede a qué y bajo qué condiciones es una medida básica y crítica.

Controles mínimos esperables

  • Accesos por usuario (no genéricos): Cada persona debe tener su propio acceso. Nada de “admin1” compartido por todo el equipo. Esto permite saber quién hizo qué, y aplicar responsabilidades en caso de incidentes.
  • Perfiles diferenciados: No todos necesitan ver todo. Se espera que los accesos estén alineados al rol de cada usuario. El objetivo debe ser limitar el riesgo restringiendo la exposición de datos.
  • Control de accesos administrativos: Las cuentas con privilegios elevados (como administradores de sistemas) deben tener una protección adicional. Aquí el error cuesta caro, así que se exige monitoreo y control más estrictos.
  • Revocación de accesos cuando corresponde
  • Cuando alguien cambia de rol, se va de la organización o deja de necesitar ciertos permisos, sus accesos deben eliminarse o ajustarse de inmediato. No hacerlo es dejar puertas abiertas sin razón.

Respaldos y continuidad: proteger también es asegurar disponibilidad

La Ley 21.719 no solo protege la confidencialidad y la integridad de los datos personales, sino también su disponibilidad. Y ahí es donde los respaldos dejan de ser una buena práctica y pasan a ser una obligación. Hoy día, los ataques de ransomware ocurren cada pocos segundos y crecieron un 34 % en 2025, perder el acceso a los datos también es una brecha. Si tus sistemas son cifrados por un ransomware y no puedes recuperar la información, el daño al titular es real, y tu incumplimiento también.

Controles mínimos esperables

  • Respaldos periódicos: Los datos deben contar con respaldos actualizados de manera regular, según su criticidad. Esta medida permite mantener la continuidad operativa y facilita la recuperación ante incidentes como el ransomware, las fallas técnicas o los errores humanos.
  • Respaldos cifrados: Las copias de seguridad también contienen datos personales. Cifrarlas asegura que, en caso de acceso no autorizado al medio de respaldo, la información no pueda ser leída ni utilizada indebidamente.
  • Pruebas básicas de restauración: Es indispensable verificar que los respaldos pueden restaurarse correctamente. Estas pruebas permiten confirmar que los procedimientos técnicos funcionan y que, ante una emergencia, los datos estarán disponibles en tiempo y forma.

Detección y respuesta: el cumplimiento no puede ser ciego

Una parte del artículo 14 de la Ley 21.719 exige reportar y notificar a la Agencia toda vulneración que pueda afectar los derechos de los titulares. Pero hay un detalle clave: no puedes notificar lo que no ves. Sin capacidad de detección, los incidentes pasan desapercibidos, y sin respuesta, el daño se multiplica. Tener controles de monitoreo y reacción es parte del cumplimiento básico.

Controles mínimos esperables

  • Alertas básicas ante cualquier comportamiento extraño: Ya sea un intento de acceso fuera de horario, múltiples fallos de autenticación o movimientos inusuales de datos. Contar con mecanismos que disparen alertas ante eventos sospechosos permite reaccionar a tiempo y contener el problema antes de que escale.
  • Capacidad de aislar dispositivos o sistemas: Si un equipo está comprometido, debe poder desconectarse del resto sin afectar la operación en su conjunto. Esto puede aplicarse en redes, servidores o dispositivos móviles. Es una forma concreta de limitar el impacto de un incidente.
  • Acciones de contención ejecutables: No basta con detectar: hay que actuar. Esto implica contar con protocolos claros, responsables definidos y herramientas técnicas listas para bloquear accesos, revocar credenciales o apagar servicios si es necesario.

Evidencia técnica y documentación: donde se juega la fiscalización

Este es, probablemente, el punto más subestimado por muchas organizaciones. No porque sea complejo de implementar, sino porque hasta ahora no lo habían necesitado. Pero con la Ley 21.719 ya en vigor, eso cambió. Hoy, en cualquier auditoría o fiscalización, lo que no puedes demostrar, simplemente no existe. La evidencia técnica y documental se ha vuelto la principal herramienta para probar que hiciste lo correcto… o para dejar constancia de que no.

Evidencia técnica mínima:

Este tipo de evidencia es generada por los propios sistemas: son los rastros digitales que dejan las operaciones. Sirven para reconstruir lo ocurrido ante un incidente o una auditoría. La clave es que se generen automáticamente, se almacenen de forma segura y sean accesibles cuando se necesiten.

  • Logs relevantes: Registros de actividad que permitan rastrear qué pasó, cuándo, desde dónde y con qué resultado. Pueden ser de accesos, cambios en sistemas, intentos fallidos, entre otros.
  • Registros de incidentes: Toda detección, sospecha o incidente debe quedar documentado. Esto incluye fecha, impacto, responsables, y medidas tomadas.
  • Historial de acciones ejecutadas: Que quede constancia de configuraciones, actualizaciones, revocación de accesos o implementación de controles. No alcanza con haberlo hecho: hay que poder probarlo.

Evidencia documental mínima:

A diferencia de la evidencia técnica, esta se genera manualmente o como parte de los procesos de gestión. Es la documentación que respalda decisiones, acciones y estrategias en materia de protección de datos. Su función es mostrar que hubo criterio, responsabilidad y seguimiento detrás de cada medida técnica.

  • Reportes: Informes internos o externos que acrediten el monitoreo, los hallazgos o el estado de cumplimiento técnico.
  • Registros de decisiones: Minutas o documentos donde quede trazabilidad de decisiones clave sobre protección de datos: por qué se hizo, quién lo aprobó, en qué contexto.
  • Acciones correctivas: Evidencia de que se corrigieron fallas o brechas detectadas. No basta con saber que hubo un problema: hay que mostrar cómo se solucionó.

El error común: confundir “controles mínimos” con “seguridad avanzada”

Uno de los errores más frecuentes al hablar de cumplimiento técnico es pensar que se necesita un SOC, un SIEM o herramientas de ciberseguridad de nivel enterprise para estar al día con la Ley 21.719. Pero no: los controles mínimos no son sinónimo de tecnología de punta, sino de capacidad operativa básica. El verdadero riesgo no es no contar con un centro de monitoreo 24/7. El riesgo es no tener control alguno sobre los datos, los dispositivos y los accesos.

El estándar implícito hoy es:

  • Prevenir lo evitable: Aplicar medidas básicas como políticas de acceso, cifrado, actualizaciones y monitoreo, que eviten incidentes comunes y previsibles.
  • Detectar lo razonable: Tener mecanismos mínimos de alerta y revisión que permitan notar cuando algo no está bien. No necesitas visibilidad total, pero sí señales claras.
  • Responder sin improvisar: Contar con procedimientos definidos y personas responsables para actuar ante incidentes. La improvisación no es un plan, y en cumplimiento, no sirve como defensa.

La diferencia entre cumplir y quedar expuesto

La Ley 21.719 exige control real y formas de verificar que existe. No está diseñada para castigar a quien no tiene sistemas de última generación, sino para poner en evidencia a quienes no hicieron lo mínimo razonable.

Los controles técnicos mínimos son la base sobre la que se construye todo: el cumplimiento legal, la capacidad de respuesta frente a incidentes y la defensa ante una eventual fiscalización. Tenerlos implementados y documentados es una necesidad que muy pronto será parte del día a día de cualquier organización que trate datos personales en Chile.

Frequently asked questions

No items found.

Sobre el mismo tema

Controles técnicos mínimos exigibles bajo la Ley 21.719
Controles técnicos mínimos exigibles bajo la Ley 21.719

Cuáles son los controles técnicos mínimos de la Ley 21.719 en Chile? Conoce los requisitos de inventario, cifrado, control de accesos y respuesta ante incidentes para evitar multas de la Agencia de Protección de Datos.

Feb 12, 2026
Continuar leyendo
Evidencia operativa que debe generar TI para cumplir la Ley 21.719
Evidencia operativa que debe generar TI para cumplir la Ley 21.719

¿Cómo demostrar cumplimiento ante la Ley 21.719 en Chile? Descubre qué evidencia técnica y operativa debe generar TI (logs, inventario, MDM) para proteger datos y superar auditorías.

Feb 12, 2026
Continuar leyendo
KPIs y métricas para evaluar la madurez de tu gobernanza de datos
KPIs y métricas para evaluar la madurez de tu gobernanza de datos

Aprende a medir la madurez de tu gobernanza de datos con KPIs clave. Guía práctica sobre calidad, seguridad en endpoints y cumplimiento para IT Managers.

Jan 29, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar