Departamento TI
Compliance

Gestión de terceros en ley 21.719: cómo evitar que un proveedor te deje fuera de cumplimiento

juanhernandez@preyhq.com
Juan H.
Feb 13, 2026
0 minutos de lectura
Gestión de terceros en ley 21.719: cómo evitar que un proveedor te deje fuera de cumplimiento
Tabla de Contenidos
Heading H2
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

La gestión de terceros siempre ha sido un desafío constante para los equipos de TI. Accesos externos temporales, proyectos con soporte externo, excepciones operativas: son parte del día a día. En ese contexto, muchas organizaciones no fallan por negligencia, sino por no contar con controles efectivos sobre terceros que manejan datos o sistemas críticos.

Bajo la Ley 21.719, este escenario no cambia el proceso operativo, sino las consecuencias. Un error de un proveedor ya no se traduce solo en un incidente técnico, sino que puede implicar una infracción legal, una brecha de cumplimiento y un impacto reputacional directo para la organización. Y lo más importante: la responsabilidad sigue siendo del responsable del tratamiento, no del proveedor. Externalizar la operación no traslada la obligación.

¿Quiénes son realmente los “terceros” con los que TI convive a diario?

Cuando se habla de terceros en protección de datos, muchos piensan solo en grandes proveedores tecnológicos o servicios críticos. Pero en la operación diaria de TI, los terceros son mucho más variados y frecuentes. El problema no es que existan, porque siempre van a existir, sino que muchos operan fuera del radar de control técnico.

Siguiendo los principios fundamentales de la Ley 21.719, no importa el cargo, el tamaño ni el contrato. Si esa persona o empresa trata datos personales, se vuelve parte directa de tu responsabilidad como organización. No importa si es una plataforma, un proveedor externo o un técnico puntual: si acceden a datos, deben estar controlados.

Terceros típicos que aparecen en incidentes:

  • Soporte TI externo / MSP
  • Acceden a infraestructura crítica, muchas veces con permisos elevados. Si no hay visbilidad y control sobre sus accesos, cualquier error o brecha técnica puede escalar rápidamente.
  • Desarrolladores freelance o consultoras
  • Trabajan en entornos de desarrollo, staging o incluso producción. A menudo tienen acceso a bases de datos, pero sin políticas claras ni trazabilidad.
  • Proveedores de RR.HH., contabilidad, marketing
  • Manejan información sensible de empleados, clientes o campañas. Son áreas que muchas veces subcontratan sin pasar por controles de TI.
  • Plataformas SaaS con acceso a datos personales
  • Herramientas como CRMs, sistemas de atención al cliente o plataformas de análisis muchas veces tienen acceso total a bases de datos sensibles, sin control granular ni validación previa de seguridad, lo cual deja abierta la posibilidad de exposición o mal uso.
  • Técnicos que usan sus propios dispositivos
  • El acceso desde laptops personales o equipos sin protección corporativa es una puerta abierta a filtraciones, malware o pérdida de control sobre los datos.

Errores comunes que aparecen en auditorías

En auditorías de protección de datos, los hallazgos más frecuentes no suelen deberse a negligencia, sino a fallas operativas acumuladas. TI conoce los sistemas, pero muchas veces carece de visibilidad, herramientas o tiempo para documentar controles de forma estructurada. No se trata de culpas, sino de realidades operativas: poco tiempo, urgencias constantes y sistemas heredados.

Pero hay patrones que se repiten una y otra vez, y que pueden dejar a la organización expuesta sin saberlo:

  1. Accesos “temporales” que se vuelven permanentes: Los accesos creados para resolver una urgencia o un proyecto deben eliminarse, pero muchas veces quedan activos indefinidamente. Esto genera puertas abiertas que nadie supervisa. La solución: definir accesos con fecha de expiración automática y revisiones periódicas a cargo de TI.
  2. Cuentas activas sin dueño claro: Es común encontrar cuentas vinculadas a proveedores que ya no trabajan con la organización. Nadie sabe quién las usa ni qué permisos tienen. Para evitarlo, cada cuenta debe tener un responsable interno y revisarse al menos una vez al mes para desactivar las que ya no correspondan.
  3. Dispositivos externos sin ningún tipo de control: Terceros que acceden desde laptops personales o equipos no gestionados representan un riesgo directo, porque TI no tiene visibilidad ni control sobre su seguridad. La medida mínima es exigir requisitos básicos (cifrado, bloqueo, protección) e incluir esos dispositivos en un inventario autorizado.
  4. Contratos firmados como falsa sensación de seguridad: NDAs y cláusulas contractuales no sustituyen controles técnicos. Si el proveedor tiene acceso amplio sin límites ni monitoreo, el riesgo sigue intacto. Lo correcto es alinear contrato y operación: accesos restringidos, monitoreo activo y revocación clara como parte del onboarding técnico.
  5. Políticas que existen solo para auditoría: Muchas políticas están bien escritas pero no se aplican en la práctica. En auditoría, esto se nota de inmediato. La solución es traducirlas en procedimientos concretos, asignar responsables y asegurarse de que los equipos realmente las usen en su operación diaria.
  6. Falta de evidencia técnica: Si TI no puede mostrar logs, accesos o registros de acciones, la organización no puede demostrar control. La evidencia es el puente entre lo que se hace y lo que se puede probar. Activar registros relevantes y centralizar la evidencia técnica es esencial para cumplir y defenderse.

Lo que la Ley 21.719 realmente espera de TI

La Ley 21.719 no exige que TI tenga el control absoluto de cada tercero, cada sistema y cada archivo. Lo que sí espera es que exista un modelo claro, defensible y operativo para cumplir con la Ley y gestionar el acceso de terceros a datos personales. Desde el punto de vista técnico, eso significa que TI debe tener visibilidad, aplicar medidas proporcionales al riesgo y, sobre todo, ser capaz de demostrar que esas medidas existen.

Lo que la ley exige que la organización pueda hacer:

  • Saber qué terceros acceden a datos personales
  • Identificar a cada proveedor o persona externa que interactúe con datos personales, aunque sea de forma indirecta. No se puede gestionar lo que no se conoce.
  • Evaluar el riesgo asociado
  • No todos los terceros son iguales. Es necesario analizar qué datos manejan, con qué nivel de acceso, y qué impacto tendría un error de su parte.
  • Aplicar medidas razonables
  • Esto incluye limitar accesos, exigir requisitos técnicos mínimos, establecer controles operativos y tener políticas claras. No se trata de eliminar el riesgo, sino de reducirlo de forma proporcional.
  • Demostrar que esas medidas existen
  • Tener cómo probarlo ante una auditoría o una investigación. Desde documentación hasta evidencia técnica: si no puedes mostrarlo, no sirve.

Cómo se ve una gestión de terceros razonable para TI y aceptable para la ley

Esto no se trata de agregar burocracia ni cargar a TI con más trabajo, sino de aplicar prácticas mínimas que permitan tener visibilidad, control y respuesta sobre los terceros que acceden a datos personales. La Ley 21.719 no exige perfección, pero sí pide algo muy concreto: control proporcional y demostrable.

Identificar terceros que acceden a datos

Saber exactamente quiénes son, qué funciones cumplen y desde qué contexto acceden. El punto de partida es tener una lista clara y actualizada de todos los proveedores o personas externas con acceso a información personal.

Clasificar riesgo (no todos son iguales)

No es lo mismo un proveedor de soporte remoto que accede a sistemas críticos, que una agencia que solo recibe reportes anonimizados. Evaluar el nivel de exposición y el tipo de datos tratados permite ajustar los controles de forma realista.

Limitar accesos

Cada tercero debe tener acceso solo a lo necesario, por el tiempo estrictamente requerido. Aplicar principios de mínimo privilegio, segmentación de entornos y vencimientos automáticos ayuda a reducir riesgos sin complejizar la operación.

Tener capacidad de bloquear, revocar o responder

Si algo sale mal, TI debe tener herramientas para actuar: deshabilitar accesos, revocar permisos, desconectar dispositivos usando un MDM o iniciar un protocolo de respuesta. Esa capacidad operativa es la que transforma un incidente en un evento contenido.

Integrar la gestión de terceros a la operación diaria de TI

Cuando la gestión de terceros vive exclusivamente en legal o compliance, pierde contacto con la realidad técnica. Y cuando recae solo en TI, sin apoyo ni alineación, se transforma en una carga insostenible. El equilibrio está en integrarla como parte natural del trabajo diario, no como una tarea extra. Las organizaciones que lo logran, empoderan a TI en lugar de saturarlo.

Las organizaciones más maduras:

  1. Integran terceros a su modelo de seguridad: No los tratan como excepciones, sino como parte del ecosistema. Eso significa aplicar los mismos criterios de control, monitoreo y respuesta que a cualquier actor interno.
  2. Usan controles técnicos como evidencia: No dependen solo de contratos o políticas. Registran accesos, documentan acciones y generan trazabilidad técnica que sirve como defensa ante auditorías o incidentes.
  3. Reducen fricción en auditorías: Al tener claridad sobre quién accede, con qué permisos y desde qué dispositivos, las revisiones dejan de ser improvisadas. Hay respuestas claras, evidencia a mano y menos estrés para TI.

El riesgo no está en tercerizar, está en no tener control

La Ley 21.719 no prohíbe trabajar con terceros. Lo que sí hace, con total claridad, es sancionar la falta de control. Si una organización permite que un proveedor acceda a datos personales, debe poder demostrar cómo protege esos datos, con evidencia técnica y trazabilidad.

Para TI, el desafío no es asumir más tareas ni agregar burocracia, sino tener visibilidad, control y capacidad de respuesta sobre esos terceros. Externalizar servicios es natural en cualquier operación moderna. Lo que ya no se puede externalizar es la responsabilidad sobre los datos. Tener claridad sobre quién accede, desde dónde y en qué condiciones ya no es un ideal técnico: es una exigencia legal concreta. Y cumplirla empieza por mirar el día a día, no los papeles.

Frequently asked questions

No items found.

Sobre el mismo tema

Gestión de terceros en ley 21.719: cómo evitar que un proveedor te deje fuera de cumplimiento
Gestión de terceros en ley 21.719: cómo evitar que un proveedor te deje fuera de cumplimiento

Bajo la Ley 21.719, un error de un proveedor también es tu responsabilidad. Aprende a controlar accesos, reducir riesgo y generar evidencia audit-ready.

Feb 13, 2026
Continuar leyendo
Controles técnicos mínimos exigibles bajo la Ley 21.719
Controles técnicos mínimos exigibles bajo la Ley 21.719

Cuáles son los controles técnicos mínimos de la Ley 21.719 en Chile? Conoce los requisitos de inventario, cifrado, control de accesos y respuesta ante incidentes para evitar multas de la Agencia de Protección de Datos.

Feb 12, 2026
Continuar leyendo
Evidencia operativa que debe generar TI para cumplir la Ley 21.719
Evidencia operativa que debe generar TI para cumplir la Ley 21.719

¿Cómo demostrar cumplimiento ante la Ley 21.719 en Chile? Descubre qué evidencia técnica y operativa debe generar TI (logs, inventario, MDM) para proteger datos y superar auditorías.

Feb 12, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar