Ley 21.719 · Guía sectorial

Ley 21.719 para Startups y Empresas de Tecnología

Las startups suelen tratar grandes volúmenes de datos de usuarios desde sus primeras etapas. El diseño de sus productos y servicios debe incorporar privacidad desde el inicio (Privacy by Design), ya que la corrección posterior es costosa y puede retrasar rondas de inversión.

🟠 Riesgo MEDIO7 tipos de datos regulados

Cómo Startups y Empresas de Tecnología interactúa con datos personales

Las startups y empresas de tecnología enfrentan un riesgo particular: su modelo de negocio a menudo es tratar datos masivamente — comportamiento de usuarios, perfiles, métricas de uso — desde el primer día, antes de tener ningún framework legal implementado. Las herramientas estándar del stack —Firebase, Mixpanel, Amplitude, Intercom, Segment— envían datos de usuarios a servidores en EE.UU. o Europa, configurando transferencias internacionales desde la primera línea de código. El onboarding recopila correo, nombre y a veces RUT; los pagos pasan por Transbank, Fintoc o Stripe. Inversionistas serios y clientes corporativos exigen evidencia de cumplimiento de privacidad como condición para cerrar deals. Una startup sin Política de Privacidad y sin DPA firmado con sus clientes empresa llega a una due diligence y pierde la ronda.

¿Qué datos personales trata tu startups y empresas de tecnología?

Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.

Datos de registro (correo, nombre, contraseña)Datos de uso y comportamiento en la plataformaDirección IP y metadatos de sesiónDatos de pago y suscripciónDatos de integración con terceros (OAuth, APIs)Perfiles y preferencias del usuarioDatos de geolocalización (si aplica)

Tu principal riesgo

⚠️

Procesamiento masivo de datos de usuarios sin base legal clara o sin términos y condiciones que informen adecuadamente el tratamiento. Inversionistas y clientes corporativos exigen cada vez más cumplimiento de privacidad como condición para cerrar acuerdos.

Obligaciones específicas para Startups y Empresas de Tecnología

Publicar una Política de Privacidad accesible antes del registro del usuario que explique en lenguaje simple qué datos recopila el producto, con qué herramientas (Firebase, Mixpanel, Stripe), para qué finalidades y si se transfieren a servidores fuera de Chile.

Implementar un mecanismo de consentimiento granular en el onboarding que distinga entre datos necesarios para el servicio (base legal: ejecución de contrato) y datos para analítica o marketing (base legal: consentimiento), permitiendo al usuario gestionar cada categoría.

Firmar contratos de encargado del tratamiento (DPA) con clientes empresariales que confían datos de sus usuarios o empleados a la plataforma, especificando instrucciones de tratamiento, medidas de seguridad y condiciones de transferencia.

Documentar en el RAT todos los servicios de terceros que reciben datos de usuarios: AWS, Firebase, Intercom, Segment, Stripe, indicando la ubicación de los servidores, el tipo de datos transferidos y las garantías de protección aplicables.

Establecer un proceso técnico para responder solicitudes de eliminación de cuenta dentro de 30 días corridos, que incluya la eliminación en la base de datos principal, en backups programados y en las herramientas de terceros conectadas.

Ejemplo de cumplimiento paso a paso

1
Publica la Política de Privacidad antes del lanzamiento
Sin ella, cada usuario registrado es un titular sin informar. Incorpórala en tu product design desde el inicio, no como un documento legal que añades al final.
2
Documenta tu stack tecnológico en el RAT
Lista todas las herramientas que procesan datos de usuarios: Firebase, AWS, Mixpanel, Stripe, Intercom, Mailchimp. Para cada una: país del servidor, tipo de datos y base legal.
3
Implementa banner de cookies si tienes web
Si usas Google Analytics, Meta Pixel o cualquier herramienta de rastreo web, necesitas banner de cookies conforme. Los píxeles no pueden activarse antes del consentimiento del usuario.
4
Firma DPAs con tus clientes B2B
Si tu startup procesa datos de los empleados o clientes de tus clientes empresa, necesitas un contrato de encargado del tratamiento. Sin él, tu cliente no puede contratarte legalmente.
5
Crea el proceso de eliminación de cuenta
El botón 'Eliminar mi cuenta' debe hacer exactamente eso: eliminar todos los datos del usuario en 30 días, incluso en las herramientas de terceros. Documenta y prueba el proceso.

Genera los documentos que tu startups y empresas de tecnología necesita

Sin registro · Sin pago · Listo en minutos

Generar Gratis

Multas y sanciones para Startups y Empresas de Tecnología

La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).

💸

Una startup SaaS que procesa datos de clientes empresariales sin un DPA (Data Processing Agreement) puede perder contratos con empresas que exigen cumplimiento GDPR o Ley 21.719, además de exponerse a sanciones de la APDP.

Preguntas frecuentes sobre privacidad para startups y empresas de tecnología

¿Cuándo debo preocuparme de privacidad en mi startup?

Desde el día uno. La Ley 21.719 exige Privacy by Design: la privacidad debe incorporarse en el diseño del producto, no añadirse después. Es mucho más costoso y complejo adaptar una plataforma ya construida que incorporar los principios de privacidad desde el inicio del desarrollo.

¿Necesito un DPA (Data Processing Agreement) con mis clientes empresariales?

Sí, si tu startup procesa datos personales de los clientes de tus clientes (modelo B2B). En ese caso actúas como encargado del tratamiento y la Ley 21.719 exige un contrato que establezca el alcance, las instrucciones y las medidas de seguridad aplicables.

¿Puedo analizar el comportamiento de mis usuarios (analytics) sin consentimiento?

Depende del tipo de analytics. El análisis agregado y anonimizado puede realizarse bajo la base legal del interés legítimo. Pero si usas herramientas como Hotjar, Mixpanel o Google Analytics que vinculan el comportamiento a un perfil identificable, necesitas informar en tu política de privacidad y, si usas cookies, obtener consentimiento.

¿Qué pasa con los datos si mi startup es adquirida o fusionada?

En una adquisición, los datos de usuarios son activos que se transfieren, pero los usuarios deben ser informados de este cambio en el responsable del tratamiento. Si el nuevo responsable va a usar los datos con finalidades distintas a las originales, debe obtener nuevo consentimiento o contar con otra base legal.

Más recursos útiles

Industrias relacionadas

Tiendas E-commerce Fintech y Servicios Financieros Digitales Agencias de Marketing Digital

Herramientas para tu startups y empresas de tecnología

Política de Privacidad Banner de Cookies Formulario de Consentimiento Registro de Tratamiento (RAT)

Lee más sobre la ley

📖 ¿Qué es la Ley 21.719?💰 Multas Ley de Datos Personales

Gestión ARCOP

¿Ya tienes el buzón de solicitudes ARCOP?

Cuando la ley entre en vigor, tus clientes podrán exigir sus derechos por escrito. Necesitas un sistema para recibirlas, gestionarlas y responder a tiempo.

Ver el gestor ARCOP →

Startups y Empresas de Tecnología

Cumple la Ley 21.719 antes de que entre en vigor

Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.

Generar Política de Privacidad Gratis Hacer diagnóstico