Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

30 de abril de 2026

DPIA: cuándo tu empresa necesita una evaluación de impacto

La DPIA (Data Protection Impact Assessment o Evaluación de Impacto en Protección de Datos) es un análisis formal de los riesgos que un tratamiento de datos presenta para los derechos de las personas. La Ley 21.719 la exige en ciertos casos antes de iniciar el tratamiento.

¿La mayoría de las PYMEs necesita una DPIA?

No. La DPIA es obligatoria solo cuando el tratamiento presenta un riesgo alto para los derechos de los titulares. Una PYME que trata datos básicos de clientes y empleados para gestionar su negocio normalmente no necesita una DPIA — sus riesgos son bajos y se controlan con los documentos estándar (RAT, Política de Privacidad, procedimientos ARCO y Brechas).

La DPIA es más relevante para empresas de tecnología, salud, fintech, o cualquier organización que trate datos sensibles a escala.

Casos en que la DPIA es obligatoria

·Tratamiento a gran escala de datos sensibles (salud, biométricos, origen racial, opiniones políticas, vida sexual)
·Monitoreo sistemático y a gran escala de zonas públicas mediante videovigilancia
·Elaboración de perfiles a gran escala que produzcan efectos jurídicos sobre las personas
·Uso de tecnologías nuevas o innovadoras con impacto significativo en los derechos de los titulares
·Tratamiento de datos de menores de edad a escala
·Transferencias internacionales de datos sensibles hacia países sin nivel de protección adecuado

¿Cuándo debe hacerse?

La DPIA debe realizarse antes de iniciar el tratamiento, no después. Si ya tratas datos que entran en alguno de los casos anteriores sin haber hecho la DPIA, debes realizarla con retroactividad y documentar las medidas correctivas que adoptarás.

Contenido mínimo de una DPIA

1. Descripción del tratamiento

Qué datos, con qué finalidad, qué tecnologías se usan y cuánto tiempo se retienen.

2. Evaluación de necesidad y proporcionalidad

Por qué el tratamiento es necesario para el fin declarado y si no existe una alternativa menos invasiva.

3. Identificación de riesgos

Qué riesgos concretos presenta el tratamiento para los derechos de los titulares.

4. Medidas para mitigar los riesgos

Controles técnicos y organizacionales para reducir la probabilidad e impacto de cada riesgo identificado.

5. Resultado de la evaluación

Conclusión sobre si el tratamiento puede proceder y bajo qué condiciones.

¿Qué pasa si el riesgo residual sigue siendo alto?

Si después de implementar todas las medidas de mitigación el riesgo sigue siendo alto, la ley exige consultar previamente a la Agencia de Protección de Datos antes de iniciar el tratamiento. La Agencia puede autorizar el tratamiento con condiciones, solicitar medidas adicionales o prohibirlo.

DPIA incluida en el Plan Full de PrivacTech

Si la evaluación detecta que tu empresa realiza tratamientos de alto riesgo, el agente genera automáticamente una DPIA personalizada basada en el perfil de tu empresa — con la identificación de riesgos, las medidas de mitigación sugeridas y el resultado de la evaluación.

Ver texto oficial — Biblioteca del Congreso NacionalEvaluar si necesito DPIA →

Otros artículos

Ley 21.719: guía completa para empresas chilenasMultas de la Ley 21.719: cuánto puede costar no cumplirModelo de Prevención de Infracciones (MPI): cómo reducir tu multa