← Volver al blog Compliance

Checklist de cumplimiento de la Ley 21.719: los 10 frentes que tu empresa debe cerrar antes de diciembre 2026.

Una lista de verificación práctica, frente por frente, para llevar tu organización desde el “no sé por dónde empezar” hasta un programa de protección de datos que resiste una fiscalización. Incluye una autoevaluación para medir tu nivel de madurez hoy.

Publicado jun 2026 · Actualizado 2026 · 15 min de lectura
Checklist · Ley 21.719

Lo esencial en 30 segundos

  • El cumplimiento de la Ley 21.719 es obligatorio desde el 1 de diciembre de 2026; desde esa fecha la Agencia de Protección de Datos Personales puede fiscalizar y sancionar.
  • No es un solo documento: son 10 frentes que avanzan en paralelo, desde la gobernanza hasta la capacitación.
  • El punto de partida siempre es el mismo: saber qué datos tratas (inventario y RAT). Sin ese mapa, lo demás no se sostiene.
  • La meta no es “tener papeles”, sino poder demostrar el cumplimiento: eso es la responsabilidad proactiva.
  • Usa la autoevaluación del final para ubicar tu nivel y priorizar.

La pregunta que más escuchamos no es “¿qué dice la ley?”, sino “¿por dónde empiezo?”. La Ley 21.719 introduce un cambio de paradigma —de un enfoque reactivo a uno proactivo— y eso puede sentirse abrumador cuando se mira como un bloque único. La buena noticia es que el cumplimiento se puede descomponer en frentes manejables, cada uno con entregables concretos.

Este checklist es el mismo marco que utilizamos para ordenar un proyecto de adecuación. No reemplaza un diagnóstico formal —cada organización trata datos de forma distinta—, pero te permite ubicarte, hablar con propiedad y priorizar. Si quieres el panorama legal completo antes de seguir, revisa la guía definitiva de la Ley 21.719.

Cómo usar este checklist

Recorre los 10 frentes y marca, con honestidad, en qué estado se encuentra cada punto: hecho, en curso o pendiente. No busques perfección en la primera pasada; busca visibilidad. Al terminar tendrás un mapa de calor de tu programa y sabrás dónde están los huecos más grandes. Recomendamos abordar los frentes 1, 2 y 3 primero: son la base sobre la que se apoyan todos los demás.

1. Gobernanza y responsabilidad proactiva

La ley no solo exige cumplir: exige poder demostrar que se cumple. Eso empieza por definir quién responde por la protección de datos dentro de la organización.

  • Designar un responsable o Delegado de Protección de Datos (DPO), interno o externo, con autoridad y recursos.
  • Obtener el respaldo formal de la dirección (la privacidad como tema de gobierno, no solo de TI o legal).
  • Definir roles: quién decide sobre los datos (responsable) y quién los trata por encargo (encargado).
  • Establecer un comité o instancia que revise el avance del programa de forma periódica.
  • Asignar presupuesto y un cronograma con hitos hasta diciembre de 2026.

2. Inventario de datos y Registro de Actividades de Tratamiento (RAT)

Este es el corazón del cumplimiento. No puedes proteger —ni declarar ante la Agencia— lo que no sabes que tienes. El RAT es además uno de los primeros documentos que se solicitan en una fiscalización.

  • Levantar el inventario de datos: qué categorías de datos personales tratas (identificación, contacto, financieros, salud, biométricos, etc.).
  • Identificar datos sensibles, que requieren protección reforzada.
  • Mapear dónde viven los datos: sistemas, planillas, proveedores en la nube, respaldos.
  • Documentar la finalidad de cada tratamiento y su base de licitud.
  • Registrar flujos y destinatarios: quién accede internamente y con qué terceros se comparten.
  • Definir plazos de conservación y criterios de eliminación.
  • Mantener el RAT vivo: asignar un responsable de actualizarlo cuando cambie un proceso.

3. Bases de licitud y consentimiento

Todo tratamiento necesita una base legal que lo habilite. El consentimiento es la más conocida, pero no la única; usarla cuando corresponde otra es un error frecuente.

  • Asignar a cada tratamiento del RAT su base de licitud correspondiente.
  • Donde la base sea el consentimiento, asegurar que sea libre, específico, informado e inequívoco (acción afirmativa clara).
  • Eliminar el consentimiento tácito o premarcado: ya no es válido.
  • Habilitar que el consentimiento se pueda revocar con la misma facilidad con que se otorgó.
  • Guardar registro y prueba del consentimiento (cuándo, para qué y cómo se obtuvo).
  • Revisar todos los puntos de captura: formularios web, contratos, apps, cookies, campañas.

4. Derechos de los titulares (ARSOP)

Las personas pueden ejercer sus derechos y tu empresa debe estar lista para responder en plazo. Estos son los derechos ARSOP: Acceso, Rectificación, Supresión, Oposición y Portabilidad (lo que antes se conocía como derechos ARCO, ampliados con la portabilidad).

  • Habilitar un canal claro y accesible para recibir solicitudes.
  • Definir un procedimiento de verificación de identidad del solicitante.
  • Establecer un flujo interno con responsables y plazos de respuesta.
  • Preparar plantillas de respuesta para cada tipo de derecho.
  • Llevar un registro de solicitudes recibidas y resueltas (evidencia ante la Agencia).

Atender derechos a mano y caso a caso funciona con pocos volúmenes, pero se rompe cuando llegan muchas solicitudes a la vez. Vemos el proceso completo —plazos, excepciones y plantillas— en cómo responder solicitudes de derechos ARSOP.

5. Seguridad de la información

La ley exige medidas técnicas y organizativas adecuadas al riesgo. Aquí convergen TI, seguridad y privacidad.

  • Aplicar control de accesos bajo el principio de mínimo privilegio.
  • Implementar cifrado en tránsito y en reposo para datos sensibles.
  • Mantener respaldos probados y un plan de recuperación.
  • Adoptar privacidad desde el diseño y por defecto en proyectos nuevos.
  • Aplicar seudonimización o anonimización donde sea posible.
  • Documentar las medidas: son parte de la evidencia de cumplimiento.

6. Notificación de brechas

Una brecha mal gestionada multiplica el daño legal y reputacional. La preparación marca la diferencia entre una respuesta ordenada y una crisis.

  • Contar con un plan de gestión de incidentes con roles y pasos definidos.
  • Establecer cómo detectar y evaluar la gravedad de una brecha.
  • Preparar la notificación a la Agencia sin dilaciones indebidas y por el medio más expedito posible (la ley no fija un plazo en horas; las 72 h son un referente internacional de buena práctica), y la comunicación a los afectados cuando la brecha involucra datos sensibles, de niños, niñas y adolescentes, o datos económicos y financieros.
  • Llevar un registro de incidentes, aun de los que no se notifican.
  • Ensayar el plan con un simulacro al menos una vez.

7. Encargados del tratamiento y contratos (DPA)

Cuando un tercero trata datos por tu cuenta (un proveedor de nube, una agencia, un sistema de RR. HH.), sigues siendo responsable. El contrato es la herramienta para gestionar ese riesgo.

  • Identificar a todos los encargados que acceden a datos personales.
  • Firmar o actualizar los contratos de encargo (DPA) con cláusulas de protección de datos.
  • Verificar que cada encargado ofrezca garantías de seguridad suficientes.
  • Regular el uso de subencargados y exigir notificación de cambios.
  • Incluir obligaciones de asistencia ante derechos y brechas.

8. Transferencias internacionales

Si envías datos fuera de Chile —algo habitual con servicios en la nube— necesitas una base que garantice un nivel de protección adecuado.

  • Mapear qué datos salen del país y hacia dónde.
  • Verificar la base que habilita cada transferencia (nivel adecuado, garantías contractuales u otras previstas).
  • Documentar las garantías aplicadas a cada flujo.
  • Revisar la cadena cuando el proveedor a su vez subcontrata fuera de Chile.

Profundizamos en este frente en extraterritorialidad y transferencias internacionales.

9. Evaluaciones de Impacto (EIPD)

Para tratamientos de alto riesgo —datos sensibles a gran escala, perfilamiento, decisiones automatizadas— la evaluación de impacto deja de ser opcional.

  • Definir cuándo se gatilla una EIPD en tu organización.
  • Evaluar riesgos para los titulares y medidas de mitigación.
  • Documentar la EIPD y revisarla cuando el tratamiento cambie.
  • Integrar la EIPD al inicio de proyectos nuevos, no al final.

10. Capacitación y cultura

El eslabón más débil suele ser humano. Un programa sin cultura se queda en el papel.

  • Capacitar a todo el personal que trata datos, con foco en las áreas de mayor exposición (RR. HH., marketing, ventas, atención).
  • Dejar evidencia de las capacitaciones (asistencia, fechas, contenidos).
  • Publicar políticas internas claras y de fácil acceso.
  • Reforzar mensajes clave de forma periódica, no una sola vez.

Autoevaluación: ¿dónde está tu empresa?

Cuenta cuántos de los 10 frentes tienes en estado “hecho”. Esta lectura rápida ayuda a priorizar la conversación interna:

Frentes “hechos”NivelQué significa
0 – 2InicialPunto de partida. La prioridad es el diagnóstico y el inventario/RAT para ganar visibilidad.
3 – 5En desarrolloHay base, pero quedan frentes críticos abiertos. Conviene un plan con hitos y responsables.
6 – 8AvanzadoPrograma sólido. Foco en cerrar brechas finas y en sostener (registros, evidencia, revisión).
9 – 10MaduroCumplimiento demostrable. El reto es la mejora continua y mantener todo actualizado.

Esta autoevaluación es orientativa. Dos empresas con el mismo puntaje pueden tener riesgos muy distintos según el tipo y volumen de datos que tratan. Un diagnóstico formal pondera ese riesgo real.

¿Quieres saber exactamente en qué frentes estás expuesto?

Un diagnóstico Ley 21.719 traduce este checklist en un plan priorizado para tu organización. 30 minutos, sin compromiso.

Solicitar diagnóstico

Preguntas frecuentes

¿Por dónde se empieza a cumplir la Ley 21.719?

Por un diagnóstico de brechas: levantar el inventario de los datos que trata la organización, dónde se almacenan y con quién se comparten, y construir el Registro de Actividades de Tratamiento (RAT). Sin ese mapa no es posible asignar bases de licitud, evaluar riesgos ni priorizar el resto del programa.

¿Es obligatorio el Registro de Actividades de Tratamiento (RAT)?

El registro de las actividades de tratamiento es una pieza central de la responsabilidad proactiva que exige la ley. Mantener un RAT actualizado es la forma de demostrar ante la Agencia qué datos se tratan, con qué finalidad, sobre qué base de licitud y con qué medidas de seguridad.

¿Cuánto tiempo toma adecuarse?

Depende del tamaño y la complejidad del tratamiento. Un proyecto típico combina un diagnóstico inicial, la remediación de las brechas prioritarias y la puesta en marcha de procesos sostenibles. Lo importante es no dejarlo para el final del período de adecuación: varias acciones (contratos con encargados, gestión de consentimiento, seguridad) requieren coordinación con terceros y tiempo de implementación.

¿Qué pasa si mi empresa no termina a tiempo?

Desde el 1 de diciembre de 2026 la Agencia de Protección de Datos Personales puede fiscalizar y sancionar. Las infracciones se clasifican en leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM), con agravamiento por reincidencia. Avanzar con un plan documentado, aunque no esté todo cerrado, demuestra responsabilidad proactiva y opera como atenuante.

Escrito por

El equipo de AlayIAtrust

Equipo de abogados y consultores especializados en protección de datos personales y cumplimiento de la Ley 21.719 en Chile.

También te puede interesar

Fiscalización

Qué te pedirá la Agencia en una fiscalización (y cómo prepararte)

 Derechos

Cómo responder solicitudes de derechos ARSOP: proceso, plazos y plantillas

 Ley 21.719

Ley 21.719: guía definitiva para cumplir y evitar multas millonarias
Próximo paso

¿Tu empresa está lista
para diciembre 2026?

Diagnóstico de 30 minutos sin compromiso.

Solicitar diagnóstico