Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

6 de mayo de 2026

Cómo cumplir la Ley 21.719 paso a paso: guía práctica 2026

¿Por qué actuar ahora? La Ley 21.719 no espera

La Ley 21.719 entra en vigencia el 1 de enero de 2027, y si tu empresa maneja datos personales de clientes, empleados o proveedores, no hay escapatoria. El plazo es corto, pero manejable si empiezas hoy. Esta guía te entrega los 7 pasos concretos que necesitas seguir para estar compliant antes de que llegue la fecha límite. No es complicado si lo haces en orden.

Paso 1: Inventaría tus datos (RAT) – El cimiento de todo

¿Qué es? Un Registro de Actividades de Tratamiento (RAT) es básicamente un catálogo de todos los datos que tu empresa guarda, dónde los tienes, para qué los usas y cuánto tiempo los retienes. Es lo primero que pide la Ley 21.719 (artículo 25).

Cómo hacerlo: Recorre cada área de tu empresa. Contabilidad guarda RUT y datos bancarios. Marketing tiene emails y teléfonos. RRHH tiene antecedentes de empleados. Cada dato debe listarse con su propósito, duración y ubicación.

Tiempo estimado: 2-3 semanas | Responsable: Gerente de TI o administrador de sistemas

Paso 2: Revisa tus bases legales – ¿Tienes derecho a tener estos datos?

No basta guardar datos. Necesitas una razón legal. La Ley 21.719 reconoce varias: consentimiento del titular, cumplimiento de un contrato, obligación legal, interés legítimo de la empresa, o relación previa con el cliente.

Ejemplo concreto: Tienes los emails de clientes porque compraron en tu sitio (contrato). Tienes RUT de empleados porque la ley lo exige (obligación legal). Tienes datos de prospectos porque te dieron permiso (consentimiento). Cada dato necesita una línea en tu RAT que diga cuál es su base legal.

Tiempo estimado: 1-2 semanas | Responsable: Gerente legal o compliance

Paso 3: Actualiza documentos – Política de privacidad y avisos

Tu política de privacidad antigua no cumple con la Ley 21.719. Necesita ser clara, accesible y transparente. Debe explicar qué datos recolectas, para qué, cuánto tiempo los guardas, y cómo el cliente puede ejercer sus derechos ARCO.

También necesitas avisos de privacidad en cada punto donde recolectes datos: tu sitio web, formularios de contacto, contratos, y registros de empleados.

Tiempo estimado: 2-3 semanas | Responsable: Abogado especialista en privacidad o consultor externo

Paso 4: Habilita un canal ARCO – Acceso, Rectificación, Cancelación y Oposición

La Ley 21.719 da a las personas el derecho a acceder sus datos, corregirlos, pedir que se eliminen o rechazar su uso. Necesitas un canal para que ejerzan estos derechos. Puede ser un email, un formulario en tu web, o un teléfono. Lo importante es que sea fácil, gratuito y rápido (máximo 30 días para responder).

Tiempo estimado: 1 semana | Responsable: Gerente de atención al cliente o administrador web

Paso 5: Revisa contratos con proveedores – Cláusulas DPA

Si un proveedor externo maneja tus datos (tu contador, tu agencia de marketing, tu hosting), necesitas un Contrato de Procesamiento de Datos (DPA). Asegúrate de que tus proveedores tengan medidas de seguridad adecuadas y se comprometan a proteger los datos.

Ejemplo: Tu empresa de email marketing tiene acceso a tus listas de clientes. Necesitas un DPA que establezca que solo pueden usar esos datos para enviar campañas, no para otros fines.

Tiempo estimado: 2-3 semanas | Responsable: Gerente de compras o legal

Paso 6: Evalúa si necesitas un Delegado de Protección de Datos (DPO)

No todas las empresas necesitan DPO. La Ley 21.719 lo exige si: tratas datos sensibles regularmente, tu actividad requiere monitoreo sistemático de individuos, o eres organismo público. Si no calificas, designa a alguien internamente como responsable de privacidad.

Tiempo estimado: 1 semana | Responsable: Directorio o CEO

Paso 7: Plan de respuesta a brechas – Prepárate para lo inesperado

Una brecha de datos ocurre cuando datos se pierden, se roban o se acceden sin autorización. Necesitas un plan: quién investiga, cuándo notificas a la autoridad (máximo 72 horas), cómo avisas a los afectados, y qué medidas tomas después.

Tiempo estimado: 1-2 semanas | Responsable: Gerente de TI y legal

Conclusión: No es opcional, es urgente

Estos 7 pasos suman entre 10 y 16 semanas de trabajo organizadas. Si empiezas ahora en 2025, tienes más que suficiente tiempo. La Ley 21.719 llegó para quedarse, y las multas por incumplimiento alcanzan millones de pesos.

Pero no necesitas hacerlo solo. PrivacTech es una herramienta diseñada exactamente para esto: te guía en la creación del RAT, verifica tus bases legales, te ayuda a documentar todo y genera tus políticas. Haz un análisis gratis de tu situación actual en privactech.com y descubre cuáles de estos 7 pasos ya tienes resueltos.