Saltar al contenido principal
PrivacidadWeb
Guía práctica8 min de lectura·

Checklist de cumplimiento Ley 21.719 para pymes: 8 pasos concretos

Guía práctica paso a paso para que tu pequeña o mediana empresa cumpla con la nueva Ley de Protección de Datos Personales de Chile antes de la vigencia plena en 2027.

P

PrivacidadWeb

PrivacidadWeb.cl

Si tienes una pyme en Chile, la Ley 21.719 de Protección de Datos Personales te aplica aunque tengas solo 3 empleados y un sitio web básico. La buena noticia es que el cumplimiento para pymes no requiere un departamento legal completo: con los documentos correctos y los procesos adecuados, puedes estar en orden antes de que la ley entre en vigor.

Aquí tienes el checklist definitivo en 8 pasos, ordenados por prioridad.

Paso 1: Haz un inventario de los datos que tratas

Antes de cumplir, necesitas saber con qué estás trabajando. Responde estas preguntas:

¿Qué datos recopilas?

  • Formularios de contacto en tu sitio web (nombre, correo, teléfono)
  • Datos de clientes en tu sistema de gestión o planilla
  • Datos de empleados (RRHH, nómina, contratos)
  • Datos de proveedores

¿Cómo los recopilas?

  • Formulario web
  • Correo electrónico
  • Presencialmente (papel o tablet)
  • Plataformas de terceros (Mercado Pago, Uber Eats, etc.)

¿Para qué los usas?

  • Emitir facturas y gestionar pedidos
  • Enviar newsletters o promociones
  • Gestionar contratos laborales
  • Análisis y estadísticas

¿Con quién los compartes?

  • Contadores o estudios tributarios
  • Plataformas de envío (Chilexpress, Starken)
  • Plataformas de pago
  • Proveedores de email marketing (Mailchimp, etc.)

Este inventario es la base del Registro de Actividades de Tratamiento (RAT), que veremos en el paso 3.

Herramienta gratuita: Generador de Registro de Tratamiento (RAT)

Paso 2: Publica tu Política de Privacidad

La Política de Privacidad es el documento más visible del cumplimiento. Es obligatoria si tienes un sitio web o una aplicación que recoja datos de usuarios.

¿Qué debe incluir?

La Ley 21.719 establece que debe informar, como mínimo:

  • Quién es el responsable del tratamiento (nombre, RUT, contacto)
  • Qué datos se recopilan y con qué finalidad
  • La base legal de cada tratamiento
  • Con quién se comparten los datos (y si hay transferencias internacionales)
  • Por cuánto tiempo se conservan los datos
  • Los derechos del titular (ARCOP) y cómo ejercerlos

¿Dónde publicarla?

  • En el footer de tu sitio web (link visible en todas las páginas)
  • En los formularios de registro o contacto, con un checkbox de aceptación
  • En tu aplicación móvil, si tienes una

Herramienta gratuita: Generador de Política de Privacidad

Paso 3: Levanta el Registro de Actividades de Tratamiento (RAT)

El RAT es el inventario formal de todos los tratamientos de datos que realiza tu empresa. Es un documento interno que no se publica, pero la APDP puede solicitarlo en una fiscalización.

¿Qué documenta el RAT? Para cada actividad de tratamiento (ej. "gestión de clientes", "envío de newsletter", "nómina de empleados") debes registrar:

  • Nombre de la actividad
  • Categorías de datos tratados
  • Tipos de titulares (clientes, empleados, proveedores)
  • Finalidad del tratamiento
  • Base legal
  • Destinatarios (quién recibe los datos)
  • Plazos de conservación
  • Medidas de seguridad aplicadas

¿Con qué frecuencia actualizarlo? Cada vez que agregues un nuevo sistema, una nueva finalidad o un nuevo proveedor que trate datos de tus clientes.

Herramienta gratuita: Generador de Registro de Tratamiento (RAT)

Paso 4: Instala un banner de cookies (si usas analytics o marketing digital)

Si en tu sitio web usas cualquiera de estas herramientas, necesitas un banner de cookies con consentimiento explícito:

  • Google Analytics o Google Tag Manager
  • Meta Pixel (Facebook/Instagram Ads)
  • TikTok Pixel
  • Hotjar o herramientas de grabación de sesiones
  • Herramientas de remarketing

¿Por qué es obligatorio? Estas herramientas instalan cookies en el dispositivo del usuario y recopilan datos de comportamiento. La Ley 21.719 exige consentimiento previo para este tipo de tratamiento.

¿Qué debe hacer el banner?

  • Informar claramente qué cookies se usan y para qué
  • Permitir aceptar todas, rechazar todas o configurar por categoría
  • No usar patrones engañosos (el botón "Rechazar" debe ser tan visible como el de "Aceptar")
  • Recordar la preferencia del usuario

Herramienta gratuita: Generador de Banner de Cookies

Paso 5: Revisa tus formularios de contacto y registro

Cada formulario de tu sitio web donde recopilas datos personales debe:

Informar al usuario:

  • Para qué usarás sus datos
  • Quién es el responsable (tu empresa)
  • Un link a la política de privacidad

Obtener consentimiento si es necesario:

  • Para el tratamiento básico (gestión de la consulta), puede bastar con informar
  • Para marketing directo (newsletters, promociones), necesitas un checkbox de consentimiento separado y opcional que el usuario marque activamente

Importante: El checkbox de marketing NO puede estar pre-marcado. El consentimiento debe ser una acción activa del usuario.

Herramienta gratuita: Generador de Formulario de Consentimiento

Paso 6: Define un procedimiento para solicitudes ARCOP

Cualquier persona tiene derecho a solicitarte:

  • Acceso: qué datos tienes de ella y para qué
  • Rectificación: corregir datos incorrectos
  • Supresión: eliminar sus datos
  • Oposición: dejar de usarlos para ciertas finalidades
  • Portabilidad: recibir sus datos en formato exportable

Tienes 30 días corridos (Art. 11) para responder. Si no tienes un procedimiento definido, cuando llegue la primera solicitud estarás improvisando.

Tu procedimiento debe definir:

  1. Un canal de recepción (correo, formulario web, presencial)
  2. Quién responde las solicitudes dentro de tu empresa
  3. Cómo verificas la identidad del solicitante
  4. Cómo documentas las solicitudes y las respuestas

Herramienta gratuita: Generador de Protocolo ARCOP

Paso 7: Prepara un protocolo de respuesta ante brechas

¿Sabes qué harías si mañana un hacker entra a tu sistema y roba la base de datos de clientes? La Ley 21.719 te exige tener un plan y actuar en plazos estrictos:

  • Sin dilaciones indebidas (objetivo: 72 horas para datos sensibles) para notificar a la APDP (Art. 14 sexies)
  • Sin dilaciones indebidas (objetivo: 5 días hábiles para otras brechas con riesgo) — la Agencia precisará los plazos

Sin un protocolo previo, es casi imposible cumplir estos plazos.

¿Qué debe incluir el protocolo?

  1. Quién lidera la respuesta al incidente
  2. Cómo contener la brecha (desconectar sistemas, revocar accesos)
  3. Cómo evaluar el alcance y los datos afectados
  4. Cómo notificar a la APDP y a los afectados
  5. Cómo documentar y aprender del incidente

Herramienta gratuita: Generador de Protocolo de Brechas

Paso 8: Incorpora cláusulas de datos en los contratos de trabajo

Si tienes empleados que acceden a datos de clientes, proveedores u otros trabajadores, debes incorporar en sus contratos (o como anexo) una cláusula de protección de datos que establezca:

  • El deber de confidencialidad (que sobrevive al término del contrato)
  • Los usos permitidos de los datos (solo fines laborales)
  • La prohibición de copiar, extraer o compartir datos sin autorización
  • Las obligaciones al momento de terminar la relación laboral

Sin esta cláusula, si un trabajador extrae tu base de datos y la vende, tienes muy pocos recursos legales más allá de la denuncia penal.

Herramienta gratuita: Generador de Cláusula Laboral

¿Por dónde empezar hoy?

Si tienes que priorizar, este es el orden recomendado según urgencia e impacto:

| Prioridad | Acción | Tiempo estimado | |---|---|---| | 🔴 Alta | Política de Privacidad publicada en tu sitio | 15 minutos | | 🔴 Alta | Banner de cookies (si usas analytics) | 30 minutos | | 🟠 Media | Formularios con consentimiento correcto | 20 minutos | | 🟠 Media | Procedimiento ARCOP documentado | 20 minutos | | 🟡 Normal | RAT (Registro de Actividades) | 45 minutos | | 🟡 Normal | Protocolo de brechas | 20 minutos | | 🟢 Recomendado | Cláusula laboral en contratos | 15 minutos | | 🟢 Recomendado | Diagnóstico de cumplimiento completo | 5 minutos |

Mito: "Somos muy pequeños para que nos afecte"

Este es el error más común. La Ley 21.719 no tiene un umbral mínimo de tamaño. Una peluquería unipersonal, un fotógrafo freelance o una tienda con dos empleados están tan obligados como una empresa de 500 personas.

La diferencia está en la proporcionalidad de las medidas. Una pyme no necesita un DPO (Delegado de Protección de Datos) dedicado ni un equipo legal completo. Pero sí necesita los documentos básicos y los procesos mínimos que describimos en este checklist.

Resumen: el kit mínimo de cumplimiento para pymes

Con solo estas 8 acciones, una pyme queda en una posición de cumplimiento razonable y defiende su posición ante una eventual fiscalización de la APDP:

  1. ☐ Política de Privacidad publicada en el sitio web
  2. ☐ Banner de cookies configurado
  3. ☐ Formularios con texto informativo y consentimiento de marketing
  4. ☐ RAT con al menos las actividades principales documentadas
  5. ☐ Procedimiento ARCOP definido y con responsable
  6. ☐ Protocolo de brechas documentado
  7. ☐ Cláusula de datos en los contratos de trabajo
  8. ☐ Diagnóstico de cumplimiento realizado y plan de mejora activo

Todos estos documentos están disponibles gratis y sin registro en PrivacidadWeb.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

Herramientas gratuitas

¿Tu negocio necesita cumplir la Ley 21.719?

Genera tu Política de Privacidad, Registro de Tratamiento, Banner de Cookies y más — gratis, sin registro, en minutos.

Generar Política de Privacidad GratisVer todas las herramientas

También te puede interesar

💸Legal

Multas de la Ley 21.719: cuánto cuesta no cumplir con la protección de datos

Conoce el sistema de sanciones de la nueva Ley de Protección de Datos Personales de Chile. Montos reales, ejemplos de infracciones y cómo evitar las multas más graves.

Leer artículo →
📋Guía

¿Qué es la Ley 21.719? Guía completa para empresas chilenas

Todo lo que necesitas saber sobre la nueva Ley de Protección de Datos Personales de Chile: qué cambia, cuándo entra en vigor, a quién aplica y qué debes hacer para cumplir.

Leer artículo →