Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

4 de mayo de 2026

Contrato con encargados del tratamiento: qué debe incluir según la Ley 21.719

```html

Introducción: ¿Por qué necesitas un contrato con tu proveedor de datos?

Si tu empresa usa Google Workspace, AWS, Salesforce, un software de contabilidad en la nube o cualquier servicio que procese datos personales de clientes o empleados, ya tienes un problema legal: necesitas un Acuerdo de Procesamiento de Datos (DPA). La Ley 21.719, que entró en vigencia en octubre de 2022, es clara: no puedes dejar esto al azar. El artículo 22 establece obligaciones muy específicas sobre quién es responsable y quién es encargado del tratamiento, y qué debe contener ese contrato. Muchas PyMEs descubren esto demasiado tarde, cuando enfrentan una multa o un reclamo de clientes.

Responsable vs. Encargado: ¿Quién es quién en tus datos?

Primero, aclaremos los términos. El responsable es quien decide qué datos recopilar, para qué y por cuánto tiempo. Es tu empresa. El encargado es quien sigue esas instrucciones para procesar esos datos. Es el proveedor.

Ejemplo concreto: Tu tienda online recopila correos de clientes (responsable). Usas Mailchimp para enviar newsletters (encargado). Mailchimp solo hace lo que le dices; no decide qué hacer con esos correos.

Esta distinción es clave porque tú eres responsable ante la autoridad (Servicio Nacional del Consumidor) si algo falla. Por eso la ley exige un contrato que deje constancia de esta relación.

Las cláusulas obligatorias del Artículo 22

La Ley 21.719 no dice "haz un contrato cualquiera". El artículo 22 lista cláusulas mínimas que debe contener ese DPA:

  • Objeto y duración: Qué datos y por cuánto tiempo el proveedor puede tenerlos.
  • Naturaleza del tratamiento: Qué hace con los datos (almacenaje, análisis, respaldo).
  • Tipo de datos personales: Si son datos comunes, sensibles o datos de menores.
  • Obligaciones del encargado: Mantener confidencialidad, implementar medidas de seguridad (encriptación, backup, acceso restringido).
  • Auxiliares y subencargados: Si el proveedor usa otros proveedores, deben estar autorizados y bajo las mismas obligaciones.
  • Derechos de auditoría: Tu derecho a verificar que el proveedor cumple.
  • Retorno o eliminación de datos: Qué ocurre cuando termina el contrato.
  • Devolución de datos personales: El proveedor debe devolverte o eliminar los datos cuando lo solicites.

Sin estas cláusulas, técnicamente no tienes contrato válido según la ley.

¿Y si el proveedor es Google, AWS o Salesforce y no negocia?

Aquí viene lo práctico. No puedes negociar cláusula por cláusula con Google. Pero la buena noticia: estos gigantes ya tienen DPAs estándar listos, porque operan globalmente y cumplen con GDPR europeo (mucho más exigente que Chile).

Lo que debes hacer:

  • Entra al sitio del proveedor y busca "Data Processing Agreement" o "DPA" en la sección legal.
  • Descárgalo. Generalmente está disponible sin negociación.
  • Revísalo: aunque es en inglés, verifica que contenga las 8 cláusulas del artículo 22.
  • Fírmalo (digitalmente o en papel) y guárdalo. Este es tu comprobante de cumplimiento.
  • Si el proveedor pide que firmes un DPA, acéptalo. No es una trampa; es que necesita protegerse legalmente también.

Caso real: Una tienda online en Santiago usa Shopify. Shopify tiene un DPA listo en su cuenta de administración. La tienda solo debe descargarlo, firmarlo y guardarlo.

Gestión de subencargados y cadenas de responsabilidad

Aquí es donde se complica. Cuando tu proveedor usa otros proveedores (por ejemplo, Google usa AWS para almacenar datos), eso es un "subencargado". La ley exige que hayas autorizado eso en el contrato.

Generalmente, el DPA del proveedor incluye una lista de subencargados autorizados. Tu obligación: revisar esa lista antes de firmar. Si no te gusta un subencargado, tienes derecho a objetar. Si el proveedor no lo retira, puedes rechazar el acuerdo.

En la práctica, muy pocas PyMEs objetarán a Google o Amazon. Pero la ley te da ese derecho.

¿Qué pasa cuando termina el contrato?

El DPA debe especificar qué ocurre con tus datos después. Las opciones son:

  • Retorno: El proveedor te devuelve todos los datos en un formato usable.
  • Eliminación: El proveedor borra todo permanentemente.
  • Plazo: Generalmente 30 o 60 días después de la terminación.

Esto debe estar en el DPA. Si no está, negocia su inclusión. No dejes datos huérfanos en manos de un exproveedor.

Error común: confundir NDA con DPA

Un NDA (Non-Disclosure Agreement) es un acuerdo de confidencialidad. Un DPA es un acuerdo de procesamiento de datos. No son lo mismo.

Un NDA dice: "No cuentes a otros lo que me confías." Un DPA dice: "Aquí está exactamente cómo procesarás mis datos personales, en qué casos, con qué seguridad y cuándo los borrarás."

Muchos proveedores ofrecen NDA cuando les pides DPA. No es suficiente. Necesitas ambos: un NDA para proteger secretos comerciales y un DPA para cumplir la ley 21.719.

Conclusión: Haz esto hoy

Si aún no tienes DPA con tus proveedores clave, el riesgo es real. Las multas de la Ley 21.719 van desde UF 5 a UF 2.000 (hasta $70 millones). No es broma. Actúa ahora:

  1. Identifica qué proveedores procesan datos personales (CRM, email marketing, contabilidad, hosting, etc.).
  2. Solicita o descarga sus DPA estándar.
  3. Verifica que contenga las 8 cláusulas del