Saltar al contenido principal
PrivacidadWeb
Guía práctica13 min de lectura·

Los 8 Pasos para que tu Pyme Cumpla la Ley 21.719 (Guía Práctica 2026)

Guía paso a paso para que tu pequeña o mediana empresa cumpla con la nueva Ley de Protección de Datos Personales de Chile. 8 pasos concretos, herramientas gratis y sin necesidad de abogado.

P

PrivacidadWeb

PrivacidadWeb.cl

Cumplir con la Ley 21.719 suena más complicado de lo que es. Los titulares hablan de "bases legales", "responsables del tratamiento" y "transferencias internacionales", y es fácil concluir que esto es solo para grandes empresas con departamentos legales. No lo es.

La realidad para una pyme chilena es esta: si tienes formulario de contacto en tu sitio web, guardas los teléfonos de tus clientes o usas Google Analytics, la ley te aplica. Pero cumplir el 80% de lo que la ley exige para una pyme es perfectamente posible en dos semanas, sin contratar a nadie, usando las herramientas correctas.

Estos 8 pasos están ordenados estratégicamente: de lo más urgente a lo más complementario, de lo más visible a lo más interno. Si los sigues en orden, cada uno construye sobre el anterior.

Ninguno de estos 8 pasos requiere un abogado para empezar. Cada uno tiene una herramienta gratuita disponible en PrivacidadWeb.

Paso 1: Haz el diagnóstico de cumplimiento

Antes de generar documentos, necesitas saber exactamente dónde está parada tu empresa. La mayoría de los negocios conocen los datos que tienen, pero no saben cuáles son sus brechas de cumplimiento: qué documentos faltan, cuáles están desactualizados y qué procesos internos son los más urgentes de regularizar.

Un diagnóstico de cumplimiento responde cuatro preguntas fundamentales:

¿Qué datos tratas? Nombre, correo, teléfono, RUT, datos bancarios, datos de salud, imágenes. Cada categoría tiene distintas exigencias de protección.

¿Para qué los usas? Facturación, contacto comercial, marketing, gestión de empleados, prestación del servicio. Cada finalidad necesita su propia base legal.

¿Con quién los compartes? Contadores, plataformas de pago, servicios de email marketing, plataformas de delivery, herramientas de analytics. Cada integración es una transferencia de datos que debe estar documentada.

¿Qué documentos tienes hoy? Política de Privacidad, formularios con consentimiento, procedimientos internos. El diagnóstico cruza lo que tienes con lo que deberías tener y te entrega un mapa de brechas concretas.

Empezar sin diagnóstico es como construir sin plano: podrías estar generando documentos que no se ajustan a tu realidad o priorizando lo que menos importa.

Haz tu Diagnóstico de Cumplimiento gratis →

Paso 2: Genera tu Política de Privacidad

La Política de Privacidad es el documento más visible de tu cumplimiento con la Ley 21.719. El Art. 14 ter de la ley establece que debes informar al titular antes de recopilar sus datos. Para una empresa con presencia digital, ese momento es el sitio web — y el canal de comunicación de ese deber de información es la Política de Privacidad.

¿Qué debe contener una Política de Privacidad conforme a la Ley 21.719?

  • Identidad del responsable: quién eres, tu RUT o número de identificación, y cómo contactarte (correo de privacidad o formulario ARCOP)
  • Datos que recopilas: por categoría (datos de identidad, de contacto, financieros, de comportamiento)
  • Finalidades del tratamiento: para qué usas cada categoría de datos, con lenguaje claro y específico
  • Base legal de cada tratamiento: consentimiento, contrato, obligación legal, interés legítimo
  • Destinatarios: con quién compartes datos (proveedores, plataformas, servicios en la nube) y si hay transferencias a servidores fuera de Chile
  • Plazos de conservación: cuánto tiempo guardas cada tipo de dato
  • Derechos ARCOP: cómo el titular puede ejercer sus derechos de Acceso, Rectificación, Cancelación, Oposición y Portabilidad, y cuál es tu canal de recepción

¿Dónde publicarla?

En el footer de tu sitio web (link visible en todas las páginas), en tus formularios de contacto y registro, y como documento descargable si atiendes clientes en formato físico.

No sirve cualquier texto copiado de internet. Tu Política debe describir exactamente cómo opera tu negocio con tus herramientas.

Genera tu Política de Privacidad gratis →

Paso 3: Crea tu Registro de Actividades de Tratamiento (RAT)

El RAT es el documento interno más importante de tu cumplimiento. No se publica en tu sitio web, pero es la primera evidencia que la APDP solicita en una fiscalización. Es literalmente el inventario de todo lo que haces con datos personales: qué datos tratas, para qué, con qué base legal, con quién los compartes y cuánto tiempo los guardas.

¿Por qué es clave?

Porque la Ley 21.719 exige responsabilidad proactiva: no basta con cumplir en la práctica, hay que poder demostrarlo. El RAT es esa demostración. Además, el proceso de construirlo te obliga a pensar en flujos de datos que quizás nunca habías mapeado conscientemente: ¿quién tiene acceso al CRM? ¿Mailchimp recibe los correos de tus clientes? ¿Chilexpress tiene los datos de dirección de tus compradores?

¿Qué documenta el RAT?

Para cada actividad de tratamiento — por ejemplo, "gestión de clientes", "envío de newsletter", "nómina de empleados" — registra:

  • Nombre de la actividad y categoría de titulares (clientes, empleados, proveedores)
  • Categorías de datos tratados (identidad, contacto, financieros, de salud)
  • Finalidad del tratamiento
  • Base legal (consentimiento, contrato, obligación legal, interés legítimo)
  • Destinatarios (internos y externos, con mención de transferencias internacionales)
  • Plazo de conservación de los datos
  • Medidas de seguridad implementadas

¿Cada cuánto actualizarlo?

Cada vez que incorporas un nuevo sistema, cambias de proveedor o agregas una nueva finalidad al uso de datos existentes. Para la mayoría de las pymes, una revisión semestral es suficiente.

Crea tu Registro de Actividades de Tratamiento gratis →

Paso 4: Implementa formularios de consentimiento correctos

El consentimiento es una de las seis bases legales que reconoce la Ley 21.719 (Art. 13). Para ciertas finalidades — principalmente marketing directo, newsletter, y comunicaciones comerciales — es la base legal que necesitas. Y hay dos errores que convierten un consentimiento en inválido: pedirlo de forma vaga o incluirlo como parte de los términos y condiciones del servicio.

¿Cuándo necesitas consentimiento?

  • Para enviar newsletters, promociones u ofertas comerciales
  • Para usar datos de contacto con finalidades distintas a la prestación del servicio
  • Para compartir datos con empresas socias o terceros con fines de marketing
  • Para recopilar y usar cookies analíticas o de marketing (que se cubre también con el banner de cookies)
  • Para cualquier finalidad que vaya más allá de lo estrictamente necesario para ejecutar el contrato con el cliente

¿Cuándo NO necesitas consentimiento?

Para tratamientos que tienen otra base legal válida: enviar la boleta al correo del cliente (ejecución del contrato), guardar sus datos de facturación por 6 años (obligación tributaria), o procesar el RUT para una venta (también ejecución del contrato).

¿Cómo debe ser un consentimiento válido?

La Ley 21.719 exige que sea libre (sin presión ni condición para acceder al servicio), informado (el titular sabe exactamente para qué consiente), específico (una finalidad por consentimiento, no un texto genérico) e inequívoco (acción positiva, como marcar un checkbox — nunca pre-marcado).

Genera tu Formulario de Consentimiento gratis →

Paso 5: Instala un banner de cookies

Si tu sitio web usa herramientas de analítica o marketing digital, necesitas un banner de cookies conforme a la Ley 21.719. Esto incluye prácticamente cualquier sitio web moderno.

¿Qué herramientas activan la obligación del banner?

  • Google Analytics o Google Tag Manager
  • Meta Pixel (para Facebook Ads o Instagram Ads)
  • TikTok Pixel o LinkedIn Insight Tag
  • Hotjar, Microsoft Clarity o herramientas de grabación de sesiones
  • Cualquier herramienta de retargeting o publicidad programática
  • Widgets de redes sociales (botones de compartir, feeds de Instagram)

¿Qué hace exactamente el banner?

Informa al visitante que el sitio usa cookies, explica las categorías (necesarias, analíticas, de marketing) y solicita su consentimiento antes de activar las cookies no esenciales. Esto último es crítico: los píxeles y herramientas de tracking no pueden activarse antes de que el usuario los acepte.

¿Qué no puede hacer el banner?

  • Usar patrones de diseño engañosos: el botón "Rechazar" debe ser tan visible y accesible como el botón "Aceptar"
  • Venir pre-configurado con todo aceptado
  • Dificultar el acceso al sitio si el usuario rechaza las cookies no esenciales

Un sitio web sin banner de cookies que use Google Analytics es una infracción grave a la Ley 21.719 desde el primer día de vigencia. Es también el tipo de infracción más fácil de detectar para la APDP, porque es completamente visible.

Genera tu Banner de Cookies gratis →

Paso 6: Prepara tu Protocolo ARCOP

Cualquier persona cuyos datos tratas tiene derecho a contactarte para ejercer sus derechos: saber qué datos tienes de ella (Acceso), corregirlos (Rectificación), pedir que los elimines (Cancelación/Supresión), oponerse a ciertos usos (Oposición) o pedir una copia exportable (Portabilidad). El conjunto de estos derechos se llama ARCOP.

Tienes 30 días corridos desde que recibes la solicitud para responder. Sin un protocolo previo, es casi imposible cumplir ese plazo cuando llega la primera solicitud: no sabes quién en tu empresa responde, no tienes proceso para verificar la identidad del solicitante, no tienes claro qué formato usar para la respuesta.

¿Qué define tu Protocolo ARCOP?

Canal de recepción: un correo electrónico específico (ej: privacidad@tuempresa.cl) o un formulario web donde las personas envían sus solicitudes. Debe estar publicado en tu Política de Privacidad.

Verificación de identidad: antes de entregar o eliminar datos, debes confirmar que quien pide es efectivamente el titular. El protocolo define cómo pides esa confirmación sin pedir más datos de los necesarios.

Responsable interno: quién en tu empresa recibe y gestiona la solicitud. En una pyme, suele ser el dueño o el encargado administrativo.

Plazo y formato de respuesta: cómo y en qué plazo respondes cada tipo de solicitud. Para acceso a datos, por ejemplo, debes entregar la información en formato comprensible. Para eliminación, debes confirmar la supresión y —si cediste esos datos a terceros— notificarles también.

Registro: llevar un registro simple de solicitudes recibidas, tipo, fecha y cómo se resolvieron.

Genera tu Protocolo ARCOP gratis →

Paso 7: Ten un plan ante brechas de seguridad

Una brecha de seguridad es cualquier incidente que compromete la confidencialidad, integridad o disponibilidad de datos personales: un hackeo, un computador robado con la base de clientes, un email enviado al destinatario equivocado con datos sensibles, o un proveedor que filtra información.

La Ley 21.719 establece en el Art. 14 sexies la obligación de notificar brechas a la APDP sin dilaciones indebidas. Como referencia práctica: dentro de 72 horas para brechas que involucran datos sensibles de salud, financieros o de menores; y lo antes posible para el resto. Además, debes notificar a los titulares afectados cuando la brecha representa un riesgo significativo para ellos.

¿Por qué necesitas el protocolo antes de que ocurra la brecha?

Porque en el momento de la crisis no hay tiempo para pensar el proceso. Un protocolo bien diseñado permite actuar con claridad: quién toma la decisión de notificar, quién contacta a la APDP, qué información incluye la notificación, cómo comunicas a los afectados.

¿Qué cubre el Protocolo de Brechas?

  1. Detección y reporte interno: cómo cualquier empleado reporta un posible incidente y quién lo evalúa
  2. Contención: pasos inmediatos para limitar el daño (revocar accesos, desconectar sistemas, cambiar contraseñas)
  3. Evaluación del alcance: qué datos se vieron comprometidos, cuántas personas afectadas, qué riesgo representa
  4. Notificación a la APDP: cuándo notificar, qué información incluir en el reporte
  5. Comunicación a los titulares: cuándo y cómo informar a las personas afectadas
  6. Documentación y lecciones aprendidas: registro del incidente y medidas adoptadas para prevenir recurrencia

No notificar una brecha dentro del plazo establecido es por sí solo una infracción gravísima, independiente del incidente que la causó.

Genera tu Protocolo de Brechas gratis →

Paso 8: Actualiza los contratos de trabajo

Los datos personales que más fácilmente se filtran no lo hacen por hackers: lo hacen por empleados, voluntariamente o por error. Un colaborador que se va de la empresa y se lleva la base de datos de clientes, uno que comparte información de un cliente por correo al destinatario equivocado, o uno que descarga archivos confidenciales en su dispositivo personal son escenarios frecuentes.

La cláusula de protección de datos en los contratos de trabajo es la herramienta legal para prevenir y remediar estas situaciones.

¿Qué establece la cláusula?

  • Deber de confidencialidad: el trabajador se compromete a no divulgar datos personales de clientes, empleados o terceros a los que acceda en el ejercicio de sus funciones
  • Uso restringido: los datos solo pueden usarse para las finalidades laborales para las que fueron autorizados, nunca para beneficio personal
  • Prohibición de extracción: no está permitido copiar, exportar o llevarse datos al terminar la relación laboral
  • Vigencia post-contrato: el deber de confidencialidad persiste después del término del contrato de trabajo
  • Consecuencias del incumplimiento: referencia a las consecuencias disciplinarias, contractuales y legales de una filtración

La cláusula puede incorporarse en el cuerpo del contrato de trabajo o como un anexo de confidencialidad y protección de datos que se firma por separado. Este segundo formato es más flexible: permite actualizarla sin modificar el contrato original.

Genera tu Cláusula de Privacidad para Contratos gratis →

Bonus: ¿Qué más puedes hacer si quieres ir más allá?

Los 8 pasos anteriores cubren el cumplimiento esencial para la mayoría de las pymes chilenas. Si tu empresa maneja volúmenes significativos de datos, trabaja con datos sensibles o quiere diferenciarse por su manejo de privacidad, hay acciones adicionales que conviene implementar.

Designa un responsable interno de protección de datos

No necesitas un DPO (Delegado de Protección de Datos) externo a tiempo completo, pero sí conviene designar a una persona de tu equipo como punto de contacto interno para temas de privacidad. Esa persona recibe las solicitudes ARCOP, es el interlocutor con la APDP en caso de fiscalización, y mantiene actualizados los documentos. En una pyme, puede ser el encargado de administración o incluso el dueño.

Capacita a tu equipo

La mayoría de las brechas e infracciones tienen origen humano: alguien que no sabía que no podía compartir esa información, que no conocía el procedimiento ARCOP, o que nunca supo que existía un protocolo de brechas. Una capacitación básica anual de 30-60 minutos para todo el equipo que tenga acceso a datos de clientes o empleados puede reducir dramáticamente el riesgo operacional.

Los temas mínimos son: qué es un dato personal, qué está prohibido hacer con datos de clientes, cómo responder si alguien pide sus datos, y qué hacer si sospechas que ocurrió un incidente.

Evalúa si necesitas una DPIA

La Evaluación de Impacto en Protección de Datos (DPIA) es un análisis de riesgos que la Ley 21.719 exige en ciertos casos: cuando el tratamiento involucra datos sensibles a gran escala, cuando se realizan decisiones automatizadas con efectos significativos para las personas, o cuando se monitorea sistemáticamente a individuos en espacios públicos. Si tu empresa opera en sectores como salud, fintech, seguros o e-commerce de alto volumen, evalúa si tu modelo de negocio activa esta obligación.

Consulta con un abogado para casos complejos

Las herramientas gratuitas de PrivacidadWeb resuelven el 80% del cumplimiento de una pyme estándar. Pero hay situaciones que justifican asesoría profesional especializada: contratos de encargado del tratamiento con clientes multinacionales, transferencias internacionales a países sin nivel de protección equivalente, tratamiento de datos de salud a gran escala, o cuando tu empresa recibe una notificación formal de la APDP.

Calendario sugerido: en 2 semanas tienes todo listo

Si empiezas hoy, este es el ritmo realista para completar los 8 pasos sin que se convierta en una carga:

| Día | Acción | Tiempo estimado | |---|---|---| | Día 1 | Diagnóstico de cumplimiento | 15-20 min | | Día 2 | Generar Política de Privacidad | 20-30 min | | Día 2 | Publicar política en el sitio web | 10 min | | Día 3 | Crear el RAT | 30-45 min | | Día 5 | Revisar y actualizar formularios con consentimiento | 20-30 min | | Día 7 | Instalar banner de cookies | 20-30 min | | Día 9 | Preparar Protocolo ARCOP + habilitar canal de recepción | 20-30 min | | Día 11 | Preparar Protocolo de Brechas | 20-30 min | | Día 13 | Generar cláusula de privacidad para contratos | 15 min | | Día 14 | Revisión general y actualización del RAT con los cambios | 20 min |

Tiempo total: entre 3 y 4 horas distribuidas en dos semanas. No es una transformación organizacional, es un sprint de preparación.

Lo que determina si llegarás cumpliendo en diciembre de 2026 no es si eres una empresa grande o pequeña, sino si empiezas a tiempo.

Preguntas frecuentes

¿Puedo generar los documentos con las herramientas de PrivacidadWeb y usarlos directamente?

Sí. Las herramientas de PrivacidadWeb generan documentos adaptados a tu tipo de negocio, tamaño e industria. Están redactados en términos de la Ley 21.719 y son suficientes para el cumplimiento esencial de la mayoría de las pymes. Para contratos con clientes empresariales grandes o situaciones de alta complejidad, recomendamos revisión con un abogado especializado.

¿Qué pasa si ya tengo una Política de Privacidad de antes?

Si la tienes basada en la Ley 19.628 (la anterior), es probable que esté incompleta para los estándares de la Ley 21.719. Los elementos que más frecuentemente faltan son: las bases legales explícitas de cada tratamiento, los plazos de conservación de datos, la mención de transferencias internacionales y el canal específico para solicitudes ARCOP. Genera una nueva con nuestra herramienta para asegurarte de que cumple con los requisitos actuales.

¿Tengo que hacer todo esto antes de diciembre de 2026?

Sí, si quieres estar en cumplimiento desde el primer día de vigencia. La APDP inicia operaciones en octubre de 2026, y el período entre ese momento y la vigencia plena (diciembre 2026) puede ser suficiente para resolver infracciones menores si ya tienes una base de cumplimiento. Pero si llegas a esa fecha sin ningún documento, el riesgo es significativo. El beneficio de amonestación en vez de multa para pymes es para quienes "inician acciones de cumplimiento" — no para quienes no habían hecho nada.

¿Necesito informar a mis empleados sobre esto?

Sí. La Ley 21.719 también regula el tratamiento de datos de los empleados por parte del empleador. Debes informarles, a través de los contratos o de un comunicado interno, qué datos recopilas en el contexto laboral (sistemas de asistencia, correos corporativos, nómina), para qué los usas y cuáles son sus derechos ARCOP como trabajadores.

Si soy profesional independiente (contador, psicólogo, abogado, médico), ¿también aplica?

Completamente. La Ley 21.719 aplica a toda persona natural que trate datos personales en el ejercicio de actividades profesionales. Si tienes agenda con datos de pacientes o clientes, almacenas documentos con información personal o usas herramientas digitales para comunicarte con ellos, estás tratando datos personales y tienes obligaciones de cumplimiento. Los pasos de esta guía aplican igual para ti.

Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas o de alta complejidad, consulta con un abogado especializado en protección de datos personales.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🌐Guía

Transferencia Internacional de Datos: Requisitos bajo la Ley 21.719

Si usas Gmail, AWS, HubSpot, Stripe o cualquier SaaS extranjero, estás haciendo transferencia internacional de datos. Guía práctica para regularizarla bajo la Ley 21.719.

📋Guía

Ley 21.719: La Nueva Ley de Datos Personales en Chile — Guía Completa (2026)

Todo sobre la nueva ley de datos personales en Chile (Ley 21.719): plazos, multas de hasta $1.400M CLP, derechos ARCOP, obligaciones y cómo preparar tu empresa antes de diciembre 2026.

👤Guía

Delegado de Protección de Datos (DPO): ¿Tu Empresa lo Necesita?

¿Cuándo la Ley 21.719 exige designar un DPO en Chile? Análisis práctico para pymes: cuándo es obligatorio, qué funciones tiene y cuál es la alternativa si no aplica.