Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

2 de mayo de 2026

Contadores y estudios contables: qué exige la Ley 21.719

```html

Contadores y estudios contables: qué exige la Ley 21.719

Si eres contador o trabajas en un estudio contable, tienes acceso a información que tus clientes consideran crítica: datos tributarios, planillas de remuneraciones, situación financiera, incluso información sobre salud en las gratificaciones. La Ley 21.719 de Protección de Datos Personales no distingue entre sectores —aplica igual para ti—, y establece obligaciones claras sobre cómo manejar esos datos. No es burocracia innecesaria: es tu responsabilidad legal y la confianza que tus clientes depositan en tu firma.

¿Qué datos tributarios y laborales manejas realmente?

Como contador, accedes rutinariamente a:

  • Datos tributarios: RUT, declaraciones de renta, F29, registros del SII, clave tributaria de acceso.
  • Datos laborales y de remuneraciones: planillas de sueldos, ahorros previsionales, descuentos, datos de familiares para cargas.
  • Datos sensibles: información sobre salud incluida en licencias médicas o en el cálculo de gratificaciones con bonificación por cumplimiento (que puede incluir datos de discapacidad o enfermedad).
  • Datos de contacto y bancarios: para giros, transferencias y comunicaciones.

Toda esta información es personal bajo la Ley 21.719 (artículo 2), y algunos datos son incluso sensibles —especialmente los de salud—. Eso significa que tienen un régimen de protección más estricto.

Tu rol como encargado de tratamiento frente al cliente

Aquí está lo clave: tú eres el encargado de tratamiento (artículo 2, letra h de la Ley 21.719). Tu cliente es el responsable, pero la responsabilidad operativa es tuya. Esto significa que:

  • El cliente autoriza el tratamiento (aunque sea de forma tácita en el contrato de servicios).
  • Tú decides cómo, dónde y cuánto tiempo almacenas esos datos.
  • Tú responde ante el cliente si hay un incidente de seguridad o un mal uso.

Por eso la ley exige que tengas un Contrato de Tratamiento de Datos Personales (DPA) entre tú y cada cliente. No es un papel más: es tu escudo legal y la prueba de que tienes una relación clara sobre quién hace qué con la información.

El contrato DPA: qué debe incluir

Según el artículo 27 de la Ley 21.719, el contrato entre responsable (cliente) y encargado (tú) debe especificar:

  • Objeto y alcance: qué datos tratas y para qué (confección de impuestos, nóminas, asesoramiento tributario).
  • Duración: cuánto tiempo guardas los datos después de terminar la relación.
  • Medidas de seguridad: qué haces para proteger los datos (encriptación, acceso restringido, copias de seguridad).
  • Autorización de subcontratistas: si usas otro proveedor (hosting, software), debe estar autorizado en el contrato.
  • Derecho de auditoría: el cliente puede pedir verificar cómo tratas sus datos.
  • Responsabilidad ante derechos ARCO: si el cliente pide acceso, rectificación, cancelación u oposición, tú debes facilitar.

Muchos contadores aún trabajan con contratos antiguos o genéricos. Si no tienes un DPA específico, es tu primera tarea.

Acceso a SII, clave tributaria y seguridad de credenciales

El acceso al SII y a la clave tributaria es un punto crítico. Son datos sensibles de acceso a sistemas financieros. La ley exige que:

  • No almacenes contraseñas en texto plano. Si necesitas guardarlas, usa encriptación o un gestor de credenciales seguro.
  • Limites el acceso interno: no todos en tu oficina necesitan ver todos los RUT ni todas las claves.
  • Registres quién accede y cuándo (trazabilidad).
  • Cambies las claves regularmente y solo compartas con profesionales autorizados.

Si tu cliente descubre que sus datos tributarios se filtraron porque dejabas la clave anotada en un post-it, el incidente es responsabilidad tuya.

Liquidaciones y datos de salud en gratificaciones

Las liquidaciones incluyen información sobre salud cuando hay descuentos por licencia médica o bonificación por cumplimiento que considera discapacidad. Estos son datos sensibles (artículo 2, letra d) y requieren consentimiento expreso, no tácito. Aunque el cliente te autorice a confeccionar la nómina, no puede darte permiso implícitamente para usar esos datos de salud en otros contextos.

La recomendación: en tu DPA, aclara específicamente que solo usas datos de salud para el cálculo de remuneraciones y beneficios previsionales, nunca para otros fines (como análisis demográficos o reportes a terceros).

¿Qué pasa si no cumples?

La Ley 21.719 sanciona infracciones desde 1 a 200 Unidades de Fomento (UF). Para una PyME contable, eso puede significar multas de $50.000 a $10 millones, además de daño reputacional. Y tu cliente puede demandarte civilmente por el daño que le causen tus incumplimientos.

Conclusión: es hora de actuar

Proteger datos no es un costo adicional; es higiene operacional. Necesitas: DPA con tus clientes, medidas de seguridad documentadas, una política clara sobre retención de datos y un registro de quién accede a qué información. PrivacTech te ayuda a implementar esto sin complejidad innecesaria. Realiza un análisis gratuito en privactech.com y descubre qué brechas de compliance tiene tu estudio contable hoy.

```