← Volver al blog Contratos

Contratos de tratamiento (DPA) con encargados: cómo ceder datos a proveedores sin incumplir la Ley 21.719

Casi ninguna empresa trata sus datos sola. Usas la nube, un proveedor de payroll, una agencia de marketing, un call center o una empresa de cobranza, y en cada uno de esos enlaces entregas datos personales a un tercero. La Ley 21.719 exige que esa entrega quede regulada por un contrato de tratamiento. Aquí te explicamos cuándo lo necesitas, qué debe incluir y por qué la responsabilidad nunca se traspasa.

Publicado jun 2026 · Actualizado 22 jun 2026 · 9 min de lectura
Contratos · Ley 21.719

Lo esencial en 30 segundos

  • El responsable decide para qué y cómo se tratan los datos; el encargado solo los trata por cuenta y según las instrucciones del responsable.
  • Cada vez que entregas datos personales a un proveedor que los procesa por ti (nube, payroll, cobranza, marketing, call center), necesitas un contrato de tratamiento.
  • El contrato debe fijar finalidad e instrucciones, confidencialidad, medidas de seguridad, manejo de subencargados, devolución o eliminación al terminar y colaboración ante derechos ARSOP y brechas.
  • La responsabilidad no se traspasa: ante la Agencia de Protección de Datos Personales y los titulares, el responsable sigue respondiendo por toda la cadena de proveedores.
  • Con fiscalización plena desde el 1 de diciembre de 2026 y multas de hasta 20.000 UTM, formalizar estos contratos es una prioridad, no un trámite.

Pocas organizaciones procesan sus datos personales de forma aislada. La operación diaria depende de proveedores: el correo y los archivos viven en la nube, las remuneraciones las calcula un tercero, la cobranza la gestiona una empresa externa, las campañas las ejecuta una agencia y la atención la opera un call center. En cada uno de esos puntos estás entregando datos personales de tus clientes, trabajadores o usuarios a un tercero. Si quieres el panorama legal completo, parte por la guía definitiva de la Ley 21.719.

La Ley 21.719, publicada el 13 de diciembre de 2024 y con fiscalización plena desde el 1 de diciembre de 2026, exige que esa entrega esté regulada. El instrumento que lo hace es el contrato de tratamiento, conocido también como DPA por su sigla en inglés. En este artículo verás la diferencia entre responsable y encargado, cuándo necesitas este contrato y qué cláusulas no pueden faltar.

Responsable y encargado: quién decide y quién ejecuta

La Ley 21.719 distingue dos figuras clave que determinan las obligaciones de cada parte. El responsable del tratamiento es quien decide las finalidades y los medios: define para qué se usan los datos, qué se recopila y bajo qué condiciones. El encargado, en cambio, es quien trata los datos por cuenta del responsable, siguiendo sus instrucciones, sin decidir por sí mismo el destino de esa información.

La diferencia no es teórica. Determina quién responde frente a los titulares y frente a la Agencia de Protección de Datos Personales, quién atiende los derechos ARSOP y quién carga con el deber de notificar brechas. Confundir ambos roles, o no documentar quién es quién, es una de las fallas más frecuentes que detectamos en las auditorías.

En la práctica, la mayoría de tus proveedores tecnológicos y operativos actúan como encargados.

  • Proveedores de nube y software (hosting, CRM, ERP, correo, almacenamiento).
  • Empresas de payroll o cálculo de remuneraciones.
  • Empresas de cobranza que gestionan tu cartera.
  • Agencias de marketing y plataformas de email o publicidad.
  • Call centers y servicios de atención o soporte externalizados.

Cuándo necesitas un contrato de tratamiento

La regla es simple: cada vez que un tercero accede a datos personales de los que tú eres responsable para procesarlos por tu cuenta, necesitas un contrato de tratamiento. No importa si el proveedor es nacional o internacional, ni si el servicio es grande o pequeño; lo que activa la obligación es que un encargado tenga acceso a esos datos para prestarte un servicio.

No siempre es evidente. Un sistema de tickets que guarda correos de clientes, una herramienta de analítica que recibe identificadores de usuarios o un proveedor de respaldos que almacena tus bases son encargados, aunque el dato no sea su negocio principal. La pregunta correcta no es si el proveedor usa los datos, sino si puede acceder a ellos.

Un buen punto de partida es construir tu Registro de Actividades de Tratamiento (RAT) y cruzarlo con tu lista de proveedores. Donde un flujo de datos cruce hacia un tercero, debe existir un contrato que regule ese tratamiento. Ese mapeo también alimenta tu Evaluación de Impacto (EIPD) cuando el tratamiento es de alto riesgo.

Qué debe incluir el contrato de tratamiento

Un contrato de tratamiento sólido no es una cláusula genérica pegada al final de un contrato de servicios. Es un acuerdo específico que delimita qué puede y qué no puede hacer el encargado con los datos. La Ley 21.719 se inspira en el marco europeo, por lo que conviene cubrir los mismos pilares que exige la buena práctica internacional.

Estos son los elementos que, como mínimo, debe contener:

  • Finalidad e instrucciones: el encargado solo trata los datos para los fines definidos por el responsable y conforme a sus instrucciones documentadas. Queda prohibido usarlos para fines propios.
  • Confidencialidad: el encargado y su personal mantienen el deber de secreto sobre los datos, incluso después de terminada la relación.
  • Medidas de seguridad: el encargado aplica medidas técnicas y organizativas adecuadas al riesgo (control de accesos, cifrado cuando corresponda, registros, respaldos).
  • Manejo de subencargados: el encargado no puede subcontratar el tratamiento sin autorización del responsable, y debe trasladar a esos subencargados las mismas obligaciones.
  • Devolución o eliminación de datos: al terminar el servicio, el encargado devuelve o elimina los datos según lo instruya el responsable, sin conservar copias salvo obligación legal.
  • Colaboración ante derechos ARSOP y brechas: el encargado debe ayudar al responsable a atender solicitudes de Acceso, Rectificación, Supresión, Oposición y Portabilidad, y notificarle sin demora cualquier vulneración de seguridad.

La cadena de subencargados: el riesgo que no ves

Tu proveedor rara vez trabaja solo. La agencia de marketing usa una plataforma de envío de correos; esa plataforma corre sobre la nube de un tercero; ese tercero, a su vez, puede apoyarse en otros servicios. Cada eslabón es un subencargado, y tus datos viajan por toda esa cadena aunque tú solo hayas firmado con el primer proveedor.

Por eso el contrato debe regular expresamente la subcontratación. Lo recomendable es exigir autorización previa o, al menos, información sobre quiénes son los subencargados y notificación cuando cambien. El encargado principal debe garantizar que cada subencargado asume las mismas obligaciones de seguridad, confidencialidad y finalidad que él aceptó contigo.

Sin esta cláusula, pierdes visibilidad y control sobre dónde terminan los datos. Y, como veremos, esa pérdida de control no te libera de responsabilidad: te expone.

La responsabilidad no se traspasa: respondes por toda la cadena

Este es el punto que más conviene interiorizar. Contratar a un encargado no transfiere tu responsabilidad. Bajo el principio de responsabilidad proactiva que introduce la Ley 21.719, el responsable debe poder demostrar que eligió proveedores que ofrecen garantías suficientes y que reguló adecuadamente cada tratamiento. Si un encargado o un subencargado falla, frente al titular y frente a la Agencia de Protección de Datos Personales el responsable sigue respondiendo.

Esto significa que la diligencia no termina al firmar. Implica evaluar a tus proveedores antes de contratarlos, mantener actualizados los contratos, revisar periódicamente sus medidas de seguridad y conservar evidencia de todo ello. El contrato es la base, pero la supervisión continua es lo que sostiene la defensa ante una fiscalización.

La consecuencia económica no es menor. El régimen sancionatorio contempla multas según la gravedad de la infracción:

  • Infracciones leves: hasta 5.000 UTM.
  • Infracciones graves: hasta 10.000 UTM.
  • Infracciones gravísimas: hasta 20.000 UTM.

Cómo ponerlo en marcha antes de la fiscalización

Con la fiscalización plena fijada para el 1 de diciembre de 2026, el tiempo para ordenar la relación con tus proveedores se acota. La buena noticia es que el proceso es metódico y se puede abordar por etapas, sin detener la operación.

Te recomendamos avanzar en este orden, asignando un responsable interno o un DPO que coordine el esfuerzo y deje trazabilidad de cada paso. Documentar el proceso es, en sí mismo, parte del cumplimiento.

  • Inventaria proveedores: identifica a cada tercero que accede a datos personales y clasifícalo como encargado.
  • Revisa lo firmado: detecta qué contratos ya existen, cuáles carecen de cláusulas de tratamiento y cuáles deben actualizarse.
  • Cierra brechas contractuales: incorpora un contrato de tratamiento con los seis pilares en cada relación que lo requiera.
  • Evalúa garantías: pide a tus encargados evidencia de sus medidas de seguridad y de cómo gestionan a sus subencargados.
  • Integra ARSOP y brechas: asegura canales y plazos para que los encargados colaboren al atender derechos y al notificar incidentes.
  • Supervisa de forma continua: programa revisiones periódicas y mantén el RAT actualizado a medida que cambian tus proveedores.

Ordena tus contratos con proveedores antes de diciembre de 2026

En AlayIAtrust ayudamos a empresas chilenas a mapear su cadena de encargados, redactar contratos de tratamiento conformes a la Ley 21.719 y construir la evidencia que exige la fiscalización. Conversemos sobre tu caso y avancemos con un plan claro.

Solicitar diagnóstico

Preguntas frecuentes

¿Cuál es la diferencia entre responsable y encargado del tratamiento?

El responsable es quien decide las finalidades y los medios del tratamiento, es decir, para qué y cómo se usan los datos. El encargado los trata por cuenta del responsable y según sus instrucciones, sin decidir por sí mismo. Proveedores como la nube, el payroll, la cobranza, el marketing o el call center suelen actuar como encargados.

¿Cuándo necesito firmar un contrato de tratamiento con un proveedor?

Siempre que un tercero acceda a datos personales de los que eres responsable para procesarlos por tu cuenta. Aplica a proveedores nacionales e internacionales y a servicios de cualquier tamaño. Lo que activa la obligación no es que el proveedor use los datos como su negocio, sino que pueda acceder a ellos para prestarte el servicio.

¿Qué debe incluir como mínimo un contrato de tratamiento bajo la Ley 21.719?

Debe fijar la finalidad y las instrucciones, el deber de confidencialidad, las medidas de seguridad, el manejo de subencargados, la devolución o eliminación de los datos al terminar el servicio y la colaboración del encargado para atender derechos ARSOP y notificar brechas de seguridad.

Si externalizo el tratamiento, ¿dejo de ser responsable ante una infracción?

No. La responsabilidad no se traspasa. Bajo el principio de responsabilidad proactiva, el responsable debe demostrar que eligió proveedores con garantías suficientes y reguló cada tratamiento. Si un encargado o subencargado falla, el responsable sigue respondiendo frente a los titulares y a la Agencia de Protección de Datos Personales, con multas de hasta 20.000 UTM según la gravedad.

También te puede interesar

Derechos

Cómo responder solicitudes de derechos ARSOP: proceso y plazos

 Fiscalización

Fiscalización de la Agencia: qué te pedirán y cómo prepararte

 Ley 21.719

Ley 21.719: guía definitiva para cumplir y evitar multas
Próximo paso

¿Tu empresa está lista
para diciembre 2026?

Diagnóstico de 30 minutos sin compromiso.

Solicitar diagnóstico