Ley 21.719 para Consultorías y Asesorías Profesionales
Las consultorías y asesorías profesionales tienen acceso privilegiado a datos confidenciales de sus clientes empresariales: estrategias de negocio, datos financieros, información de empleados, procesos internos y muchas veces datos personales de terceros como parte de los proyectos. Los consultores son 'encargados del tratamiento' bajo la Ley 21.719, lo que implica responsabilidades específicas al tratar datos por cuenta de sus clientes y la obligación de suscribir contratos de encargado del tratamiento.
Cómo Consultorías y Asesorías Profesionales interactúa con datos personales
Las consultorías y asesorías profesionales operan en una posición particular bajo la Ley 21.719: son encargadas del tratamiento de datos de sus clientes empresariales. Esto significa que tratan datos personales —de empleados, clientes o usuarios del cliente— siguiendo instrucciones del responsable, y esa relación debe estar formalizada en un contrato de encargado del tratamiento. El problema es que la mayoría de las propuestas de consultoría no incluyen estas cláusulas, y el trabajo diario se ejecuta con acceso a datos que nunca fueron formalmente transferidos al encargado. Los consultores usan herramientas propias —Google Drive, Notion, Slack, Trello— para gestionar proyectos con datos de terceros, creando transferencias no documentadas a plataformas con servidores fuera de Chile. La responsabilidad por una brecha puede recaer tanto en el consultor como en el cliente, y sin contrato escrito, el consultor queda desprotegido ante la APDP y ante el cliente.
¿Qué datos personales trata tu consultorías y asesorías profesionales?
Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.
Tu principal riesgo
Como encargados del tratamiento, los consultores que sufren una brecha o hacen un uso indebido de datos de sus clientes empresariales pueden generar responsabilidad tanto para ellos como para el cliente. La falta de un contrato de encargado del tratamiento puede dejar al consultor sin cobertura legal y expuesto a sanciones directas de la APDP.
Obligaciones específicas para Consultorías y Asesorías Profesionales
Incluir en todos los contratos de consultoría con clientes empresariales una cláusula de encargado del tratamiento conforme a la Ley 21.719, que especifique: qué datos se tratarán, con qué finalidad, qué instrucciones sigue el encargado, qué medidas de seguridad aplica y qué sucede con los datos al terminar el proyecto.
Documentar en el RAT propio de la consultoría todos los proyectos en los que se tratan datos de terceros: identificación del cliente responsable, tipo de datos tratados, herramientas utilizadas, plazo del tratamiento y medidas de seguridad implementadas.
Obtener autorización explícita del cliente antes de utilizar herramientas cloud de terceros (Google Drive, Dropbox, Notion, Slack) para almacenar o procesar datos del proyecto; documentar qué herramientas se usan y garantizar que el cliente las ha aprobado para tratar sus datos.
Comprometerse contractualmente a eliminar o devolver todos los datos del cliente al finalizar el proyecto, documentando el proceso de eliminación segura; no conservar datos de proyectos anteriores para fines propios (benchmarks, estudios, ejemplos en propuestas) sin autorización expresa del cliente.
Capacitar a todos los consultores en las obligaciones de confidencialidad y protección de datos de los proyectos; implementar una política interna de uso de herramientas digitales que establezca qué aplicaciones están autorizadas para procesar datos de clientes y bajo qué condiciones.
Ejemplo de cumplimiento paso a paso
- 1
Agrega la cláusula de encargado del tratamiento a tus contratos
Revisa tus contratos tipo de consultoría y añade una sección de protección de datos que regule el tratamiento de datos del cliente. Puedes usar nuestra herramienta de cláusula contractual como base y adaptarla a cada proyecto.
- 2
Levanta un inventario de herramientas que usas con datos de clientes
Lista todas las aplicaciones donde almacenas o procesas datos de proyectos: Google Drive, Dropbox, Notion, Trello, Slack, herramientas de análisis, CRMs. Para cada una: empresa propietaria, país de servidores, tipo de datos que contiene.
- 3
Documenta el RAT de tu consultoría
Por cada proyecto activo, registra: cliente (responsable), tipo de datos tratados (ej. 'nómina de empleados del cliente', 'base de clientes del cliente'), herramientas utilizadas, base legal y plazo de tratamiento (duración del proyecto). Actualiza cuando termina cada proyecto.
- 4
Implementa el proceso de cierre de proyecto con eliminación segura
Al finalizar un proyecto, devuelve o elimina los datos del cliente de todas las herramientas. Envía al cliente un correo confirmando la eliminación. Este proceso protege tanto a tu consultoría como al cliente ante eventuales auditorías.
- 5
Capacita a tu equipo en privacidad de datos de clientes
Realiza una sesión breve anual con tu equipo sobre: qué datos de clientes pueden conservarse y cuáles no, qué herramientas están autorizadas, cómo actuar si hay una brecha y cómo responder si el cliente pregunta por el tratamiento de sus datos.
Genera los documentos que tu consultorías y asesorías profesionales necesita
Sin registro · Sin pago · Listo en minutos
Multas y sanciones para Consultorías y Asesorías Profesionales
La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).
Una consultora que filtra datos estratégicos y de empleados de un cliente corporativo a través de herramientas cloud no autorizadas puede enfrentar multas de hasta 10.000 UTM y responsabilidad civil por daños. La falta de contrato de encargado del tratamiento agrava la situación.
Preguntas frecuentes sobre privacidad para consultorías y asesorías profesionales
¿Una consultoría es responsable o encargada del tratamiento de datos?
Depende del rol. Si la consultoría define los fines y medios del tratamiento (ej. hace estudios de mercado con datos propios), es responsable. Si trata datos personales siguiendo instrucciones de un cliente empresarial (ej. analiza la nómina del cliente), es encargada del tratamiento. En este segundo caso, debe suscribir un contrato de encargado del tratamiento con el cliente.
¿Qué es un contrato de encargado del tratamiento y cuándo lo necesito?
Es el contrato que formaliza la relación entre el responsable (tu cliente) y el encargado (tu consultora) para el tratamiento de datos. La Ley 21.719 exige que exista cuando un tercero trata datos por cuenta de otro. Debe incluir: objeto y duración del tratamiento, instrucciones del responsable, medidas de seguridad, obligaciones de confidencialidad y qué hacer al terminar el encargo.
¿Puedo usar los datos de proyectos anteriores para mis propios estudios o benchmarks?
No sin autorización expresa del cliente. Los datos tratados en el contexto de un proyecto de consultoría pertenecen al cliente y están protegidos por el deber de confidencialidad y por las restricciones de finalidad de la Ley 21.719. Usarlos para otros fines (incluidos estudios anonimizados) requiere autorización contractual previa.
Más recursos útiles
Industrias relacionadas
Herramientas para tu consultorías y asesorías profesionales
Lee más sobre la ley
Consultorías y Asesorías Profesionales
Cumple la Ley 21.719 antes de que entre en vigor
Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.