Departamento TI
Compliance

Tipos de políticas de datos que debes tener para cumplir con la Ley 21.719 en Chile

juanhernandez@preyhq.com
Juan H.
Jan 19, 2026
0 minutos de lectura
Tipos de políticas de datos que debes tener para cumplir con la Ley 21.719 en Chile
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

Cumplir con la Ley 21.719 no se trata solo de tener una política de privacidad publicada en tu sitio web. Se trata de demostrar, de forma consistente y verificable, que tu organización sabe qué datos personales trata, por qué los trata, cómo los protege y qué hace cuando algo falla.

Las políticas de datos son el puente entre la ley y la operación diaria de tu empresa. Son las reglas que rigen a las personas, los sistemas y los dispositivos. Sin ellas, el cumplimiento es declarativo. Con ellas, el cumplimiento se vuelve demostrable.

En este artículo te mostramos qué políticas mínimas deberías tener para estar en compliance con la Ley 21.719, por qué son exigibles y cómo conectan con la realidad operativa de TI, seguridad y gestión de dispositivos.

Por qué hablar de políticas de datos personales ahora, y por qué en Chile

Durante años, muchas organizaciones operaron bajo interpretaciones laxas de la Ley 19.628. Tener un texto genérico y un responsable nominal era suficiente. Ese escenario terminó.

La Ley 21.719, publicada en 2024 y con entrada en vigencia en diciembre de este año, cambia completamente el estándar:

  • Se crea la Agencia de Protección de Datos Personales
  • Endurece sanciones
  • Exige responsabilidad proactiva
  • Y pone el foco en la capacidad de demostrar cumplimiento

Esperar hasta el último momento es un error. Las brechas ya existen hoy: laptops perdidas, accesos sin control, campañas de marketing mal segmentadas, proveedores sin contrato, backups eternos. Sin políticas claras, no hay forma de demostrar diligencia frente a un incidente o fiscalización.

Qué exige realmente la Ley 21.719 a las empresas

La ley aplica a toda organización que trate datos personales, sin importar tamaño o industria. Clientes, empleados, proveedores, leads, usuarios: todos cuentan.

Más allá de los principios, la exigencia práctica es clara:

La empresa debe organizar, documentar y controlar cómo trata los datos personales y poder probarlo.

Eso se logra con políticas.

Las políticas mínimas que deberías tener para estar en compliance

Bajo la Ley 21.719, toda organización debería contar como mínimo con las siguientes políticas documentadas y vigentes:

  1. Política de privacidad externa
  2. Política interna de tratamiento de datos personales
  3. Política de seguridad de la información
  4. Política de gestión de incidentes y brechas de datos
  5. Política de retención y destrucción de datos
  6. Política de derechos de titulares
  7. Políticas específicas por contexto (cookies, marketing, RRHH, videovigilancia, proveedores)

No todas tienen el mismo nivel de detalle, pero todas cumplen una función legal y operativa.

Políticas externas vs políticas internas: ¿cuál es la diferencia?

Cuando se habla de cumplir la ley de protección de datos, muchas empresas piensan solo en tener una política de privacidad publicada en su sitio web. Pero eso es solo la punta del iceberg. La política de privacidad es externa, orientada a informar a los titulares. En cambio, las políticas internas ordenan cómo la empresa trata, protege y gestiona los datos en el día a día. Tenerlas bien definidas no solo ayuda a prevenir errores: también es clave para demostrar diligencia y cumplimiento ante una fiscalización.

La Agencia no solo mirará lo que dices hacia afuera, sino cómo actúas hacia adentro.

Política de privacidad externa: transparencia hacia los titulares

La política de privacidad es el punto de entrada de un usuario con la empresa. Debe reflejar fielmente cómo se tratan los datos. La política debe ser clara, fácil de entender y reflejar realmente cómo manejas los datos.

Contenido mínimo esperable

  • Identificación del responsable y canal de contacto
  • Tipos de datos tratados
  • Finalidades y bases de licitud
  • Transferencias a terceros o al extranjero
  • Derechos de los titulares y cómo ejercerlos
  • Medidas de seguridad a alto nivel

Si esta política no coincide con lo que haces internamente, se transforma en un riesgo legal.

Evidencia que deberías poder mostrar

  • Política publicada y versionada
  • Historial de actualizaciones
  • Alineación con procesos internos reales

Política interna de tratamiento de datos personales: ordenar la casa

Esta es la política que realmente ordena la casa. Define cómo se manejan los datos personales dentro de la empresa, desde que se recolectan hasta que se eliminan. Abarca todo: formularios web, contratos, campañas de marketing, bases de RRHH, uso de proveedores y más. Si tus equipos tratan datos personales en cualquier punto del proceso, esta política debe aplicarse.

Qué debe cubrir como mínimo

Esta política es la base para demostrar una responsabilidad proactiva.

Evidencia clave

  • Registro de actividades actualizado
  • Flujos documentados
  • Roles asignados
  • Actas o revisiones de nuevos tratamientos

Política de seguridad de la información aplicada a datos personales

La Ley 21.719 exige que los datos personales estén protegidos mediante medidas técnicas y organizativas adecuadas. La política de seguridad es el documento que traduce ese mandato legal en controles concretos que TI y seguridad pueden implementar y auditar.

No se trata de describir herramientas específicas, sino de establecer principios claros: control de acceso, contraseñas, cifrado, monitoreo, continuidad operativa. Esta política conecta directamente con frameworks conocidos (como NIST o ISO 27001), pero con un foco explícito en los datos personales.

Debe establecer, al menos

  • Control de accesos por rol
  • Autenticación robusta
  • Cifrado en tránsito y reposo
  • Gestión de vulnerabilidades
  • Respaldo y recuperación

Evidencia esperable

  • Políticas técnicas vigentes
  • Logs de acceso
  • Reportes de seguridad
  • Registros de backup y restauración

Dispositivos y endpoints: donde el cumplimiento suele fallar

En la mayoría de los incidentes reales, el problema no es una base de datos central, sino un dispositivo: una laptop extraviada, un celular sin cifrar, un equipo personal accediendo a información sensible. Por eso, los dispositivos son uno de los puntos más críticos del cumplimiento moderno.

Esta sección no debería ser un anexo, sino una extensión natural de la política de seguridad. Define cómo se inventarían los dispositivos, qué requisitos deben cumplir para acceder a datos personales y qué acciones se pueden ejecutar cuando algo sale mal.

Qué debe regularse

  • Inventario de dispositivos con acceso a datos personales
  • Autenticación y cifrado obligatorio
  • Gestión y protección remota
  • Procedimientos ante pérdida o robo
  • Gestión de BYOD

Aquí es donde herramientas de gestión y control, como Prey, permiten actuar y dejar evidencia: bloqueo remoto, borrado, alertas y registros de acción.

Política de retención y destrucción de datos

Guardar datos “por si acaso” es una de las prácticas más riesgosas desde el punto de vista regulatorio. La Ley 21.719 incorpora con fuerza el principio de minimización: los datos deben conservarse únicamente mientras exista una finalidad legítima.

La política de retención y destrucción establece límites claros al almacenamiento indefinido. Define plazos, responsabilidades y métodos de eliminación segura. Además, obliga a pensar en un punto crítico que muchas empresas olvidan: los backups, los logs y las copias de seguridad también contienen datos personales.

Debe definir

  • Plazos por categoría de datos
  • Procedimientos de eliminación segura
  • Reglas para backups y logs

Evidencia clave

  • Calendarios de retención
  • Registros de borrado
  • Evidencia de destrucción o wipe remoto

Política de gestión de incidentes y brechas de datos personales

No es una cuestión de si ocurrirá un incidente, sino de cuándo. La Ley 21.719 asume esta realidad y exige que las organizaciones estén preparadas para detectar, contener y responder de forma ordenada.

Esta política define qué es un incidente, cuándo se considera una brecha de datos personales y cómo se activa la respuesta. También establece roles, flujos y criterios de notificación, tanto internos como externos.

Una política de incidentes bien diseñada reduce el impacto técnico, legal y reputacional. Pero, sobre todo, permite demostrar que la organización reaccionó de forma responsable y conforme a la ley.

Contenido mínimo

  • Definición de incidente y brecha
  • Roles y equipo de respuesta
  • Flujos de detección, contención y remediación
  • Criterios de notificación
  • Acciones sobre dispositivos comprometidos

Evidencia crítica

  • Bitácora de incidentes
  • Registros de acciones
  • Tiempos de respuesta
  • Lecciones aprendidas

Política de derechos de titulares

Los derechos de los titulares no se ejercen en abstracto. Se ejercen mediante correos, formularios, plazos y personas que responden. Esta política transforma los derechos reconocidos por la ley en un proceso operativo claro y repetible.

Define cómo se reciben las solicitudes, quién las gestiona, cómo se valida la identidad y cómo se ejecutan las acciones necesarias en los sistemas. También obliga a coordinar áreas que tradicionalmente trabajan separadas: legal, TI, marketing, RRHH.

Debe ordenar

  • Canales formales de solicitud
  • Plazos legales
  • Verificación de identidad
  • Coordinación entre legal, TI y negocio

Evidencia esperable

  • Registro de solicitudes
  • Tiempos de respuesta
  • Acciones ejecutadas

Políticas específicas por contexto: donde suelen aparecer las brechas

No todo tratamiento de datos puede regularse con una sola política general. Cookies, marketing, RRHH, videovigilancia y proveedores tienen riesgos propios que requieren reglas más detalladas.

Estas políticas específicas evitan zonas grises, reducen errores operativos y facilitan la fiscalización. Además, suelen ser las primeras que se revisan cuando ocurre un incidente o una denuncia concreta.

Algunos tratamientos requieren reglas propias:

  • Cookies y tracking
  • Marketing y comunicaciones comerciales
  • RRHH y datos sensibles
  • Videovigilancia
  • Proveedores y encargados de tratamiento

Estas políticas reducen ambigüedades y riesgos operativos.

Gobernanza: las políticas no viven solas

La Ley 21.719 marca el fin del compliance declarativo en Chile. Tener documentos genéricos ya no alcanza. Lo que se espera ahora es control, coherencia y evidencia.

Las políticas de datos no son un trámite legal ni un requisito para “marcar check”. Son el sistema nervioso del cumplimiento: conectan la ley con la operación diaria, alinean a las personas con los procesos y permiten que la tecnología haga su parte.

Frequently asked questions

No items found.

Sobre el mismo tema

Tipos de políticas de datos que debes tener para cumplir con la Ley 21.719 en Chile
Tipos de políticas de datos que debes tener para cumplir con la Ley 21.719 en Chile

Conoce las políticas de datos que exige la Ley 21.719 en Chile y cómo implementarlas para demostrar cumplimiento, reducir riesgos y estar preparado para fiscalización.

Jan 19, 2026
Continuar leyendo
Hoja de ruta para cumplir la ley de protección de datos en Chile
Hoja de ruta para cumplir la ley de protección de datos en Chile

Guía práctica para que empresas en Chile cumplan la Ley 21.719 de protección de datos: pasos clave, prioridades y cómo prepararte antes de sanciones.

Jan 15, 2026
Continuar leyendo
Modelo de cumplimiento para la ley 21.719: qué exige y cómo implementarlo
Modelo de cumplimiento para la ley 21.719: qué exige y cómo implementarlo

Guía práctica del modelo de cumplimiento de la Ley 21.719: gobernanza, RAT, DPIA, controles técnicos y cómo implementarlo paso a paso en tu organización.

Jan 14, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar