Departamento TI
Compliance

Qué es la gobernanza de datos y por qué será clave para cumplir con la Ley 21.719

juanhernandez@preyhq.com
Juan H.
Jan 8, 2026
0 minutos de lectura
Qué es la gobernanza de datos y por qué será clave para cumplir con la Ley 21.719
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

Chile ya tiene nueva ley de datos personales. La Ley 21.719, publicada en diciembre de 2024, reemplaza definitivamente a la antigua Ley 19.628 que quedó corta frente a los desafíos actuales. Esta nueva norma no solo actualiza los derechos de las personas, también obliga a empresas y organizaciones a tomarse en serio cómo recopilan, usan, almacenan y protegen los datos. Y no, no es opcional: el cumplimiento será exigible y fiscalizado por una agencia especializada.

Desde hace ya un tiempo los datos son activos estratégicos, que también pueden ser una bomba de tiempo si se gestionan mal. ¿La solución? No basta con tener políticas o avisos legales bonitos. Para cumplir con la ley y proteger a la organización, se necesita gobernanza de datos: saber qué datos tienes, dónde están, quién los usa y con qué propósito. Sin eso, cumplir la 21.719 es casi imposible.

¿Qué es la gobernanza de datos?

La gobernanza de datos es, en simples palabras, el sistema que asegura que los datos se usen bien. Involucra personas con roles claros, procesos definidos y tecnología que permite saber qué hay, dónde está, quién lo usa y con qué permiso. Es en cierta forma, un mapa detallado y con reglas claras de tránsito de datos. Sin gobernanza, los datos se duplican, se pierden, quedan sin dueño o terminan donde no deben.

Gobernanza de datos vs Gestión de datos: ¿no es lo mismo?

Gobernanza de datos Gestión de datos
Define las reglas, roles y políticas Ejecuta tareas técnicas sobre los datos
Se enfoca en el “quién, por qué y bajo qué norma” Se enfoca en el “cómo” se procesan y almacenan
Establece la autoridad sobre los datos Se encarga del ciclo operativo de los datos
Alinea el uso de datos con riesgos y cumplimiento Optimiza rendimiento, calidad y disponibilidad
Actúa como marco estratégico Actúa como práctica operativa

Principios de la gobernanza de datos: el ADN de un tratamiento responsable

La gobernanza de datos se sostiene en principios que permiten tratar la información con claridad, coherencia y seguridad. No es solo “tener controles”, sino entender el porqué de cada decisión: qué dato existe, quién lo usa, para qué sirve y qué riesgos trae. Estos principios crean un marco estable que evita improvisaciones y permite que el uso de datos sea confiable, trazable y defendible frente a auditorías.

Clasificación y contexto según el tipo de dato

Clasificar datos es entender qué tan delicada es la información que manejas. Cada empresa —y cada industria— puede necesitar etiquetas distintas según su realidad. Un hospital, por ejemplo, trata datos clínicos que requieren mucho más cuidado que una tienda que maneja correos de contacto. Esta clasificación define qué controles aplicar y cuánta protección necesita cada categoría.

Ciclo de vida del dato

El ciclo de vida del dato explica cómo “nace”, se mueve y finalmente deja de existir. Tenerlo claro evita acumular información innecesaria, perder control o conservar datos más tiempo del permitido por la Ley 21.719. Es una guía simple que ayuda a aplicar medidas correctas en cada etapa y mantener ordenado todo el ecosistema de datos.

Ciclos de vida de los datos

  • Creación: cuando el dato se genera o se recopila por primera vez.
  • Almacenamiento: dónde vive el dato, cómo se guarda y qué controles lo protegen.
  • Uso: cómo se procesa, quién lo consulta y con qué finalidad.
  • Archivo: cuando ya no se usa activamente, pero debe conservarse por obligación legal o interna.
  • Eliminación: eliminación segura, documentada y acorde al principio de minimización para evitar riesgos innecesarios.

Propiedad y responsabilidad sobre los datos

En gobernanza, cada conjunto de datos debe tener un data owner, responsable de definir cómo se usan y quién puede acceder. A su lado, el data steward se encarga del orden práctico: calidad, actualizaciones, consistencia. Entre ambos se aseguran de que los datos estén bien cuidados y no anden sueltos sin supervisión.

Accesos según necesidad (“need to know”), registros de actividad, trazabilidad

No todos deben ver todo. El principio de “need to know” limita el acceso a quienes realmente lo necesitan. Además, cada acceso o cambio debe dejar huella: registros que permitan saber quién hizo qué, cuándo y por qué. Por ejemplo, si alguien accede a una base de clientes fuera de horario, ese evento debe quedar registrado para su revisión.

Integridad, disponibilidad y confidencialidad como valores centrales

Estos tres conceptos son la base de la seguridad de datos: que no se alteren sin control (integridad), que estén disponibles cuando se necesitan (disponibilidad) y que solo los vean quienes deben verlos (confidencialidad). Pero la Ley 21.719 va más allá: también exige licitud, lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia e información. ¿La clave? Aplicar los que realmente correspondan a tu tipo de datos.

Gobernanza de datos y la Ley 21.719

La Ley 21.719 exige demostrar que se está cumpliendo. Este enfoque de “responsabilidad proactiva” implica que las organizaciones deben anticiparse, documentar sus decisiones y aplicar controles antes de que algo salga mal. Metodologías como la privacidad por diseño encajan perfecto: significa pensar en la protección de datos desde el inicio, lo que es básicamente gobernanza aplicada desde la raíz.

Además, muchos de los derechos que reconoce la ley, como el acceso, la rectificación o la oposición,  requieren una base sólida de gobernanza para poder gestionarse sin trabas. Lo mismo ocurre con los registros de tratamiento, las evaluaciones de impacto y las transferencias internacionales: si no sabes qué datos tienes, dónde están o quién los gestiona, no puedes cumplir.

Además, llevar todo bien documentado facilita responder ante auditorías o solicitudes de la Agencia de Protección de Datos sin entrar en pánico.

Roles, procesos y tecnología: así se implementa la gobernanza

La gobernanza se construye con una estructura clara: personas que asumen responsabilidad, procesos que se repiten y tecnología que ayuda a escalar sin perder el control. Si alguno de estos tres pilares falla, los datos se desordenan, se duplican o quedan expuestos. La clave está en armar un sistema que funcione todos los días, no solo en auditorías.

Roles clave

Como ya mencionamos anteriormente, una gobernanza efectiva empieza por tener a las personas correctas en el rol correcto. No todos tienen que ser expertos en datos, pero sí saber qué les toca cuidar y decidir. Los tres roles más comunes, y necesarios, son los siguientes:

  • Data Owner: Es la persona que “patrocina” ese conjunto de datos. Define para qué se usan, quién puede acceder y bajo qué condiciones. Si alguien pregunta “¿de quién es este Excel con información de clientes?”, el data owner debería tener la respuesta.
  • Data Steward: En organizaciones más complejas, este rol es el que mantiene los datos en orden: corrige errores, asegura que los campos estén completos, se asegura de que los nombres, fechas y formatos estén bien. Piensa en ellos como los “organizadores” del dato.
  • Encargado de cumplimiento / DPO: Aunque no siempre sea un rol full time, muchas organizaciones designan a alguien que se asegure de que todo lo anterior se haga cumpliendo la ley. Este rol es clave para conectar la gobernanza con la normativa, como la Ley 21.719.

Conoce más sobre el rol del DPO.

Procesos estructurales

La gobernanza es más efectiva cuando hay rutinas claras que se ejecutan de forma consistente. Estos procesos son los que permiten aplicar las reglas del juego, mantener el orden y reaccionar rápido ante errores o solicitudes. No tienen que ser complejos, pero sí bien pensados y bien documentados.

  • Clasificación de datos: El punto de partida. Define qué tan sensibles o críticos son los datos y qué tratamiento necesitan. No es lo mismo un RUT público que un historial médico.
  • Políticas de acceso y conservación: Establecen quién puede ver, editar o eliminar ciertos datos y por cuánto tiempo deben mantenerse. Ayudan a evitar accesos innecesarios y a cumplir con los plazos legales.
  • Gestión de incidentes y vulneraciones: Define qué hacer si ocurre una filtración mediante un SGSI, pérdida o uso indebido. Quién reporta, a quién, cómo se investiga y cómo se actúa.
  • Procesos para responder a solicitudes de titulares: Permiten responder de forma ordenada si alguien pide acceso a sus datos, correcciones o eliminación. Son claves para cumplir con los derechos que establece la Ley 21.719.

Herramientas tecnológicas

La tecnología no reemplaza la gobernanza, pero sí la hace mucho más manejable. Con las herramientas adecuadas, puedes automatizar controles, tener visibilidad sobre los datos y reaccionar rápido ante riesgos o solicitudes. La idea no es llenarse de software, sino elegir lo que realmente ayuda a cumplir con los principios y procesos definidos.

  • Inventario y catálogo de datos: Permite saber qué datos existen, dónde están guardados, quién los usa y con qué fin. Es el “mapa” básico para tomar decisiones informadas.
  • DLP (Data Loss Prevention), etiquetado y trazabilidad: Estas herramientas ayudan a detectar fugas, marcar datos sensibles y seguir el rastro de quién accede o modifica información crítica.
  • Automatización de flujos de acceso, respuesta y eliminación: Evita que los procesos dependan solo de correos o planillas. Por ejemplo, si alguien solicita borrar sus datos, un flujo automatizado asegura que no se pase por alto.
  • Integración con sistemas de MDM, SIEM y cumplimiento: Conecta la gobernanza con otras capas de seguridad y monitoreo. Así, los datos que se manejan en dispositivos móviles, sistemas de detección de amenazas o reportes de cumplimiento, también entran en el circuito de control.

Gobernanza como ventaja: cumplir… y mejorar la operación

La gobernanza de datos no solo sirve para evitar sanciones o salir bien parado en una auditoría. También ordena la casa, reduce el estrés operativo y te permite tomar decisiones más rápido y con mejor información. Tener claridad sobre tus datos no es solo un tema legal, es una ventaja competitiva que impacta en todo el negocio.

Ventajas de una buena gobernanza de datos:

  • Reduce riesgos operativos y de seguridad, al tener control sobre qué datos existen, quién los usa y cómo se protegen.
  • Evita multas y sanciones, al demostrar cumplimiento frente a leyes como la Ley 21.719.
  • Acelera decisiones, porque la información está clara, actualizada y es confiable.
  • Mejora la eficiencia interna, evitando duplicaciones, búsquedas eternas o retrabajos.
  • Facilita auditorías internas y externas, al tener registros claros y procesos definidos.
  • Apoya el cumplimiento de marcos como ISO 27001, NIST, etc., al aportar estructura y trazabilidad.
  • Fortalece la reputación corporativa, mostrando compromiso con la privacidad y el buen uso de los datos.
  • Permite responder mejor ante incidentes o crisis, gracias a una estructura que ya sabe qué hacer, cómo y con quién.

Gobernanza de datos: tu mejor defensa ante la ley

La entrada en vigor de la Ley 21.719 marca un antes y un después para todas las organizaciones que manejan datos personales en Chile. Esta ley exige saber qué datos tienes, por qué los tienes, cómo los usas y quién se hace responsable. Y eso solo es posible con gobernanza.

Porque sí, proteger los datos sigue siendo clave, pero bajo la Ley 21.719, no basta con protegerlos: hay que gobernarlos. Eso implica saber qué tienes, por qué lo tienes, cómo lo usas y quién lo puede ver. Y hacerlo bien desde el inicio. Si tu organización aún no tiene un plan claro de gobernanza de datos, este es el momento de empezar. No solo para cumplir, sino para funcionar mejor.

Frequently asked questions

No items found.

Sobre el mismo tema

Políticas de Seguridad Informática: Guía Completa para la Protección Empresarial 2026
Políticas de Seguridad Informática: Guía Completa para la Protección Empresarial 2026

Políticas de Seguridad Informática: Guía Completa para la Protección Empresarial

Jan 8, 2026
Continuar leyendo
Qué es la gobernanza de datos y por qué será clave para cumplir con la Ley 21.719
Qué es la gobernanza de datos y por qué será clave para cumplir con la Ley 21.719

Todos hablan de gobernanza de datos, pero qué significa en la práctica para la ley 21.719

Jan 8, 2026
Continuar leyendo
Cómo elaborar una evaluación de impacto de privacidad (DPIA) en Chile
Cómo elaborar una evaluación de impacto de privacidad (DPIA) en Chile

Aprende qué es una Evaluación de Impacto de Privacidad (DPIA/EIPD) en Chile, cuándo es obligatoria según la Ley 21.719 y cómo elaborarla paso a paso.

Jan 6, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar