Departamento TI
Compliance

Modelo de cumplimiento para la ley 21.719: qué exige y cómo implementarlo

juanhernandez@preyhq.com
Juan H.
Jan 14, 2026
0 minutos de lectura
Modelo de cumplimiento para la ley 21.719: qué exige y cómo implementarlo
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

La Ley 21.719 moderniza el marco chileno de protección de datos personales y reemplaza a la antigua Ley 19.628. Su foco además, de cumplir formalmente, es hacer que las empresas demuestren responsabilidad activa: las organizaciones deben implementar medidas técnicas y organizativas adecuadas y, además, ser capaces de demostrar que lo hacen.

La ley también crea una Unidad Fiscalizadora especializada, la Agencia de Protección de Datos Personales, con facultades de supervisión, fiscalización y sanción. Esto cambia el escenario para empresas e instituciones: el riesgo sancionatorio es real y creciente. Multas, medidas correctivas y exigencias formales obligan a tomarse el cumplimiento en serio y de forma estructurada.

Qué es un modelo de cumplimiento bajo la Ley 21.719

Un modelo de cumplimiento bajo la Ley 21.719 es un sistema de gestión vivo, que combina personas, procesos y controles para gobernar el uso de datos personales. Su objetivo es prevenir riesgos, operar de forma ordenada y demostrar cumplimiento de manera permanente.

Dicho modelo consiste de:

  • Estructura organizacional: define roles, responsables y líneas claras de decisión, como el DPO y los equipos que intervienen en el tratamiento de datos.
  • Procesos: establecen cómo se recolectan, usan, almacenan, comparten y eliminan los datos personales en la operación diaria.
  • Políticas: fijan las reglas internas que guían el comportamiento, desde privacidad y seguridad hasta uso de dispositivos y accesos.
  • Controles: son las medidas técnicas y organizativas que reducen riesgos, como accesos, cifrado, inventario o bloqueo remoto.
  • Evidencias: registros, logs, reportes y documentos que permiten probar que los controles existen y funcionan.
  • Ciclo de mejora continua: revisión periódica del modelo para ajustarlo a cambios legales, tecnológicos u operativos.

Este enfoque suele compararse con el Modelo de Prevención de Infracciones (MPI), porque ambos comparten la lógica de acreditar diligencia y control frente a la autoridad. Sin embargo, su alcance es distinto: el MPI apunta a prevenir delitos corporativos, mientras que el modelo de cumplimiento de la Ley 21.719 se centra en la protección, gobernanza y uso responsable de los datos personales.

Componentes obligatorios del modelo

Un modelo de cumplimiento efectivo no se arma con buenas intenciones, sino con piezas concretas que trabajen juntas. La Ley 21.719 exige un enfoque integral: desde quién toma decisiones hasta cómo se documenta lo que ocurre en la operación diaria. Estos componentes son la base para pasar del discurso a la práctica y sostener el cumplimiento en el tiempo.

Gobernanza y roles

La gobernanza define quién se hace cargo del cumplimiento y cómo se coordinan las decisiones. Sin roles claros, el modelo se diluye y nadie responde. La ley empuja a las organizaciones a ordenar responsabilidades y dejar trazabilidad de quién hace qué.

  • Delegado de Protección de Datos (DPO): El Delegado de Protección de Datos es la figura clave que asesora, supervisa el cumplimiento y actúa como punto de contacto con la autoridad y los titulares.
  • Responsables internos: áreas o personas que tratan datos personales y deben aplicar las políticas en su operación diaria.
  • Comités de privacidad: instancias de coordinación para decisiones transversales, gestión de riesgos y seguimiento del modelo.

Políticas y procedimientos internos

Las políticas y procedimientos bajan la ley a tierra. Definen reglas claras y repetibles para que el tratamiento de datos no dependa de la improvisación. Sin estos lineamientos, el cumplimiento se vuelve inconsistente y difícil de defender.

  • Tratamiento, acceso, retención y transferencias: reglas sobre cómo se usan los datos, quién accede, por cuánto tiempo y bajo qué condiciones se comparten.
  • Dispositivos, BYOD e inventario: lineamientos para equipos corporativos y personales, control de activos y uso seguro de endpoints.
  • Brechas de seguridad: procedimientos claros para detectar, responder, documentar y notificar incidentes de datos personales.

Registros de Actividades de Tratamiento (RAT)

El RAT es el corazón operativo del modelo de cumplimiento. Permite tener visibilidad real sobre qué datos se tratan, para qué fines, en qué sistemas y bajo qué bases legales. Sin un RAT actualizado, demostrar cumplimiento frente a la autoridad se vuelve lento, incompleto y riesgoso.

Conoce cómo crear un Registro de Actividades de Tratamiento (RAT)

Evaluaciones de Impacto (DPIA / DPA)

Las Evaluaciones de Impacto (DPIA) permiten anticipar riesgos antes de que se conviertan en incidentes. La Ley 21.719 las exige cuando un tratamiento puede afectar significativamente los derechos de las personas. No son ejercicios teóricos, sino evaluaciones prácticas para decidir si un tratamiento es viable y bajo qué controles.

Conoce cómo elaborar una evaluación de impacto de privacidad (DPIA)

Gestión de proveedores (terceros y SaaS)

El cumplimiento no termina en la organización. Proveedores, plataformas SaaS y terceros también tratan datos personales en tu nombre. La ley exige evaluarlos, definir responsabilidades y dejarlo por escrito. Sin control sobre terceros, cualquier brecha externa puede transformarse en un problema propio.

Capacitación y cultura interna

Un modelo de cumplimiento no funciona si vive solo en documentos. Las personas que usan sistemas y manejan datos deben entender qué pueden y qué no pueden hacer. La capacitación periódica ayuda a reducir errores, alinear criterios y convertir la protección de datos en parte del trabajo diario.

Monitoreo continuo y auditoría interna

Cumplir no es un hito único, es un proceso constante. El monitoreo y la auditoría interna permiten verificar que las políticas y controles se apliquen de verdad, detectar desviaciones a tiempo y corregir antes de que aparezcan incidentes o fiscalizaciones formales.

Documentación de evidencias

Sin evidencia, el cumplimiento no existe. La Ley 21.719 exige poder demostrar lo que se hace, cuándo y cómo. Logs, reportes, bitácoras y registros técnicos son clave para acreditar controles, responder a la autoridad y respaldar decisiones frente a incidentes o reclamos.

Cómo implementar el modelo de cumplimiento paso a paso (práctico para TI)

Llevar el modelo de cumplimiento a la práctica no tiene por qué ser complejo ni burocrático. Para los equipos de TI es totalmente posible ordenar lo que ya existe, cerrar brechas evidentes y dejar evidencia clara. Este enfoque paso a paso funciona incluso en entornos con trabajo remoto, múltiples sedes o BYOD:

  1. Identifica qué datos personales manejas (data mapping)
  2. Parte por entender qué datos personales existen, de clientes, usuarios, funcionarios o alumnos, y con qué propósito se usan. La idea es conectar datos con procesos reales.
  3. Conecta los datos con los sistemas y dispositivos que los procesan.
  4. Define en qué aplicaciones, servidores y dispositivos viven esos datos. En flotas remotas o móviles, esto incluye laptops, smartphones y tablets fuera de la oficina.
  5. Crea o actualiza políticas internas.
  6. Ajusta políticas de privacidad, seguridad, uso de dispositivos y accesos para que reflejen cómo opera hoy la organización, no cómo operaba hace años.
  7. Implementa controles técnicos mínimos.
  8. Asegura cifrado, control de accesos, inventario de dispositivos, bloqueo remoto y borrado seguro. Estos controles son críticos cuando hay equipos en terreno, BYOD o múltiples ubicaciones.
  9. Lleva un registro actualizado (RAT).
  10. Documenta los tratamientos de datos y mantenlos vivos. El RAT debe reflejar cambios en sistemas, proveedores o flujos de información.
  11. Ejecuta DPIA en tratamientos de riesgo.
  12. Cuando el tratamiento es sensible o masivo, evalúa riesgos y define medidas antes de seguir avanzando, no después de un incidente.
  13. Forma al equipo.
  14. Capacita a usuarios, TI y áreas clave. Un error humano en un dispositivo remoto puede anular cualquier control técnico.
  15. Monitorea, documenta y audita.
  16. Revisa que los controles funcionen, guarda evidencia y ajusta el modelo. La clave es poder demostrar, en cualquier momento, que el cumplimiento está bajo control.

Relación con los dispositivos y el rol de un MDM

En la práctica, los datos personales pasan por los dispositivos. Laptops, teléfonos y tablets son parte directa del tratamiento de datos, especialmente en entornos remotos o multi-sitio. Una solución tipo MDM bien implementado se adapta de forma natural a los requisitos de la Ley 21.719 porque traduce obligaciones legales en controles técnicos medibles.

Un MDM no reemplaza la gobernanza ni las políticas, pero sí permite ejecutarlas y probar que funcionan en el día a día, especialmente cuando hay dispositivos distribuidos y trabajo remoto de la siguiente forma:

  • Inventario centralizado de dispositivos: permite saber qué equipos existen, a quién están asignados y qué datos pueden procesar.
  • Trazabilidad y evidencia técnica: genera registros, logs y reportes que respaldan auditorías y fiscalizaciones.
  • Controles de acceso y seguridad: apoya el cumplimiento mediante cifrado, bloqueo, control de sesiones y configuraciones mínimas.
  • Gestión de incidentes en endpoints: facilita acciones rápidas ante pérdida, robo o uso indebido (bloqueo o borrado remoto).
  • Soporte a políticas internas y BYOD: ayuda a aplicar reglas diferenciadas según tipo de dispositivo, rol o nivel de riesgo.
  • Monitoreo continuo: permite verificar que los controles siguen activos y detectar desviaciones antes de que escalen.

La Ley 21.719 exige medidas organizativas y técnicas, y los dispositivos caen de lleno en este segundo grupo. Un MDM como Prey ayuda a generar evidencia técnica concreta: inventario actualizado, estados de seguridad, acciones remotas y registros. Esa evidencia es la que sostiene el modelo cuando hay auditorías, incidentes o fiscalizaciones.

Principales errores y mitos en la implementación

Uno de los mayores riesgos al implementar un modelo de cumplimiento es partir desde supuestos equivocados. La Ley 21.719 apunta a gestionar riesgos reales. Muchos problemas aparecen cuando el modelo se arma de forma incompleta, desconectada de la operación diaria o sin mirada técnica.

  • Creer que basta con una política: una política por sí sola no cambia comportamientos ni reduce riesgos. Sin procesos claros, controles técnicos y seguimiento, queda como una declaración de buenas intenciones imposible de defender ante la autoridad.
  • Pensar que compliance es solo del área legal: el área legal define el marco, pero el cumplimiento ocurre en la operación. TI, seguridad, RRHH y otros equipos pueden tomar decisiones diarias que impactan directamente en el tratamiento de datos personales.
  • No incluir dispositivos y endpoints: laptops, móviles y tablets son puntos reales de acceso a datos. Dejarlos fuera implica no saber dónde están los datos ni qué pasa si un equipo se pierde, se roba o se usa de forma indebida.
  • No documentar evidencias: sin logs, registros y reportes, no hay forma de probar que los controles existen ni que se aplican de manera consistente en el tiempo.
  • No ejecutar DPIA cuando corresponde: omitir evaluaciones de impacto expone a la organización a riesgos innecesarios y decisiones mal informadas, especialmente en tratamientos sensibles o de gran volumen.
  • No hacer seguimiento a proveedores: terceros y SaaS también tratan datos personales. Sin evaluación continua y contratos claros, cualquier incidente externo termina siendo responsabilidad propia.

Conclusión

Cualquier empresa que implemente un modelo de cumplimiento tiene una base sobre la cual se construye una protección real de los datos personales. Sin este modelo, el cumplimiento termina siendo reactivo, lento y lleno de riesgos, especialmente cuando aparecen incidentes, reclamos o fiscalizaciones inesperadas.

Dentro de ese modelo, el control técnico de los dispositivos no es opcional, es un requisito natural. Los endpoints son parte del tratamiento de datos y necesitan visibilidad, trazabilidad y evidencia. Si quieres avanzar de forma ordenada, vale la pena revisar el checklist final y explorar nuestros kits de compliance, pensados para ayudarte a llevar la ley a la práctica sin fricción.

Frequently asked questions

No items found.

Sobre el mismo tema

Modelo de cumplimiento para la ley 21.719: qué exige y cómo implementarlo
Modelo de cumplimiento para la ley 21.719: qué exige y cómo implementarlo

Conoce que es y como implementar un modelo de cumplimiento para la ley de protección de datos 21.719 en Chile

Jan 14, 2026
Continuar leyendo
Políticas de Seguridad Informática: Guía Completa para la Protección Empresarial 2026
Políticas de Seguridad Informática: Guía Completa para la Protección Empresarial 2026

Políticas de Seguridad Informática: Guía Completa para la Protección Empresarial

Jan 8, 2026
Continuar leyendo
Qué es la gobernanza de datos y por qué será clave para cumplir con la Ley 21.719
Qué es la gobernanza de datos y por qué será clave para cumplir con la Ley 21.719

Todos hablan de gobernanza de datos, pero qué significa en la práctica para la ley 21.719

Jan 8, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar