Fiscalización de la Agencia de Protección de Datos: qué te pedirán (y cómo prepararte).

Una fiscalización no es una emboscada: es una verificación. La autoridad quiere comprobar que la organización trata los datos personales conforme a la ley y, sobre todo, que puede demostrarlo. Por eso la preparación no consiste en “tener todo perfecto el día de la visita”, sino en haber construido —antes— un programa con trazabilidad.

En este artículo recorremos qué facultades tiene la Agencia, qué documentos suele solicitar, cómo se desarrolla una inspección y qué puedes hacer hoy para llegar tranquilo. Si todavía no tienes claro el alcance de la ley, parte por la guía definitiva de la Ley 21.719; y para ordenar tu preparación, usa el checklist de cumplimiento.

1. Qué es la Agencia y qué facultades tiene

La Agencia de Protección de Datos Personales es la autoridad de control que crea la Ley 21.719. Es el organismo encargado de velar por el cumplimiento de la normativa y cuenta con facultades para fiscalizar, instruir procedimientos y aplicar sanciones. En la práctica, concentra el poder de supervisión que antes estaba disperso o, simplemente, no existía con esta fuerza.

Sus atribuciones incluyen requerir información, realizar inspecciones, ordenar medidas correctivas y resolver reclamos de los titulares. El régimen sancionatorio que respalda esas facultades clasifica las infracciones en leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM), con agravamiento por reincidencia. Analizamos ese régimen en detalle en multas y sanciones de la Ley 21.719.

2. Cuándo y por qué te pueden fiscalizar

Una fiscalización puede originarse por distintas vías. Conocerlas ayuda a entender el riesgo:

• Reclamo de un titular: una persona que considera vulnerados sus derechos presenta una denuncia.
• Notificación de una brecha: un incidente de seguridad reportado puede gatillar una revisión.
• Fiscalización de oficio: la propia Agencia inicia la revisión, a veces por sector o por nivel de riesgo del tratamiento.
• Cobertura mediática o patrón de quejas: situaciones públicas que llaman la atención de la autoridad.

El mensaje práctico: no necesitas “hacer algo mal” para ser fiscalizado. Basta con que alguien reclame o con que tu sector entre en foco. Por eso la preparación es preventiva, no reactiva.

3. Qué documentos te pedirán

Aquí está el núcleo del artículo. Cuando la Agencia revisa una organización, busca evidencia de que el tratamiento de datos está bajo control. Esta es la “carpeta de cumplimiento” que conviene tener lista:

• Registro de Actividades de Tratamiento (RAT): qué datos tratas, con qué finalidad, sobre qué base de licitud, con quién los compartes y por cuánto tiempo los conservas. Suele ser lo primero que se pide.
• Políticas y procedimientos: política de privacidad, políticas internas de manejo de datos y procedimientos documentados.
• Registros de consentimiento: prueba de cuándo, para qué y cómo se obtuvo el consentimiento, cuando esa es la base de licitud.
• Contratos con encargados (DPA): acuerdos con los terceros que tratan datos por tu cuenta, con cláusulas de protección de datos.
• Registro de brechas: bitácora de incidentes y evidencia de las notificaciones realizadas en plazo.
• Evaluaciones de Impacto (EIPD): para los tratamientos de alto riesgo.
• Designación del DPO / responsable: quién responde por la protección de datos y con qué mandato.
• Evidencia de capacitación: registros de quién fue formado, cuándo y en qué.
• Documentación de transferencias internacionales: qué datos salen de Chile y bajo qué garantías.

4. Cómo se desarrolla una fiscalización

Aunque cada caso es distinto, una inspección suele seguir una secuencia reconocible:

• Requerimiento inicial: la Agencia solicita información y documentación dentro de un plazo determinado.
• Análisis de la evidencia: se revisa lo aportado y se contrasta con la realidad del tratamiento.
• Solicitudes adicionales o inspección: pueden pedirse aclaraciones, entrevistas o una visita.
• Hallazgos y descargos: si se detectan incumplimientos, la organización puede presentar sus descargos y antecedentes.
• Resolución: se cierra sin observaciones, con medidas correctivas o con sanción, según el caso.

La calidad y oportunidad de las respuestas pesan. Una organización que entrega evidencia ordenada y a tiempo proyecta un programa maduro; una que improvisa, lo contrario.

5. Responsabilidad proactiva: el principio que te protege

La responsabilidad proactiva (o accountability) es la columna vertebral de la Ley 21.719. Significa que la carga de demostrar el cumplimiento recae en quien trata los datos. No alcanza con afirmar “sí cumplimos”: hay que poder mostrarlo con registros, políticas y trazabilidad.

Bien entendido, este principio es una buena noticia. Convierte el cumplimiento en algo construible: cada documento que generas hoy es un argumento a tu favor mañana. Por eso el RAT, los registros de consentimiento y la bitácora de brechas no son burocracia, sino tu mejor defensa.

6. Atenuantes y Modelo de Prevención de Infracciones

La ley contempla circunstancias que pueden atenuar la responsabilidad. Entre las más relevantes:

• Modelo de Prevención de Infracciones certificado: contar con uno opera expresamente como atenuante.
• Programa documentado y vivo: evidencia de un esfuerzo serio y sostenido de cumplimiento.
• Colaboración con la autoridad: responder a tiempo, aportar antecedentes y subsanar.
• Medidas correctivas oportunas: remediar lo detectado sin dilación.

El reverso también es cierto: la reincidencia y la obstrucción agravan. Por eso conviene tratar cada hallazgo como una oportunidad de mejora documentada, no como un problema a esconder.

7. Errores que agravan tu situación

• No poder mostrar un RAT ni evidencia básica de cumplimiento.
• No haber notificado una brecha a la Agencia sin dilaciones indebidas y por el medio más expedito posible.
• No atender los derechos de los titulares o hacerlo fuera de plazo.
• Obstruir la labor fiscalizadora o entregar información incompleta o tardía.
• Tratar datos sin base de licitud o con consentimientos inválidos.

8. Cómo prepararte hoy

No esperes el requerimiento para ordenar la casa. Estas acciones reducen el riesgo de forma directa:

• Construye y mantén actualizado el RAT; es tu primer entregable.
• Arma una carpeta de cumplimiento con todos los documentos del frente 3 listos para entregar.
• Pon a prueba tu plan de brechas con un simulacro.
• Verifica que tu proceso de derechos ARSOP responde en plazo (ver cómo responder solicitudes ARSOP).
• Designa formalmente al responsable o DPO y deja registro de la capacitación.

Preguntas frecuentes

¿Qué es la Agencia de Protección de Datos Personales?

Es la autoridad de control que crea la Ley 21.719 para velar por la protección de datos personales en Chile. Tiene facultades para fiscalizar el cumplimiento, instruir procedimientos y aplicar sanciones. Comienza a ejercer su rol fiscalizador desde el 1 de diciembre de 2026.

¿Qué documentos puede pedir en una fiscalización?

Típicamente solicita la evidencia de la responsabilidad proactiva: el Registro de Actividades de Tratamiento (RAT), las políticas y procedimientos internos, los registros de consentimiento, los contratos con encargados (DPA), el registro de brechas, las evaluaciones de impacto (EIPD), la designación del DPO y la evidencia de capacitación.

¿Tener un Modelo de Prevención de Infracciones ayuda?

Sí. Contar con un Modelo de Prevención de Infracciones certificado opera como atenuante. Más allá de la certificación, demostrar un programa documentado y vivo —aunque no esté todo perfecto— evidencia responsabilidad proactiva y mejora la posición de la organización.

¿Qué errores agravan la situación?

No poder mostrar un RAT ni evidencia de cumplimiento, no haber notificado una brecha sin dilaciones indebidas, no atender los derechos de los titulares y obstruir la labor fiscalizadora. La falta total de documentación y la obstrucción agravan la responsabilidad.