Checklist Ley 21.719: 50 puntos de cumplimiento
El checklist más completo de cumplimiento de la Ley 21.719: 50 puntos agrupados en 8 áreas. Si marcas menos de 35, tu empresa tiene riesgo alto frente a la Agencia.
Cómo usar este checklist
Lee cada punto. Si tu empresa tiene evidencia documentada de cumplimiento, marca ☑. Si no estás seguro o no tienes documentación, marca ☐. Al final, suma los puntos cumplidos y compara con el scoring.
A. Gobierno y organización (6 puntos)
- Existe un responsable de protección de datos designado por escrito
- Hay un sponsor ejecutivo del proyecto de cumplimiento
- El Directorio/Gerencia conoce el estado de cumplimiento
- Existe presupuesto asignado para protección de datos
- Hay políticas internas escritas y vigentes
- Se hace revisión periódica del estado (al menos anual)
B. RAT y bases legales (8 puntos)
- Existe un Registro de Actividades de Tratamiento (RAT) actualizado
- El RAT cubre todos los procesos que tratan datos personales
- Cada tratamiento del RAT tiene base legal documentada
- Cuando se invoca interés legítimo, hay test de balanceo escrito
- Cada ficha RAT tiene un dueño operativo asignado
- El RAT incluye plazos de retención por categoría de dato
- El RAT identifica los datos sensibles separadamente
- Hay proceso documentado de actualización del RAT
C. Derechos del titular (7 puntos)
- Existe canal claro y accesible para ejercer derechos ARCOP
- Hay procedimiento documentado para gestionar solicitudes
- Se valida identidad antes de ejecutar (RUT + OTP recomendado)
- Sistema de control de plazo de 30 días con alertas
- Hay plantillas de respuesta legalmente revisadas
- Se guarda evidencia inmutable de cada respuesta enviada
- Soporta el derecho de portabilidad (exportar en JSON/CSV)
D. Brechas y seguridad (8 puntos)
- Existe protocolo escrito de respuesta a brechas en 72h
- Hay comité de crisis con contactos 24/7
- Se ha realizado al menos un simulacro tabletop
- Plantilla de notificación a la Agencia pre-aprobada por legal
- Plantilla de comunicación a titulares afectados
- Hay medidas de seguridad técnicas mínimas (cifrado, MFA, audit log)
- Hay política de respaldos y recuperación documentada
- Se hacen revisiones de seguridad periódicas
E. Encargados y DPAs (5 puntos)
- Inventario completo de encargados (SaaS, cloud, agencias)
- Cada encargado relevante tiene DPA firmado vigente
- Los DPA tienen renovaciones controladas con alertas
- Se identifican y documentan los subencargados
- Hay evaluación periódica del cumplimiento del encargado
F. Transferencias internacionales (4 puntos)
- Inventario de transferencias internacionales con países destino
- Evaluación de adecuación o garantías por destino
- Cláusulas contractuales tipo (CCT) firmadas donde aplican
- Información a titulares sobre transferencias internacionales
G. EIPD / DPIA (6 puntos)
- Test de obligatoriedad de EIPD aplicado a tratamientos críticos
- EIPDs completadas para tratamientos de alto riesgo
- EIPDs siguen estructura formal de 7 secciones
- Medidas de mitigación implementadas y verificadas
- Riesgo residual evaluado y documentado
- Consulta previa a la Agencia cuando aplica
H. Capacitación y cultura (6 puntos)
- Todos los colaboradores capacitados en lo básico de la ley
- Capacitación reforzada en RRHH, Marketing, TI, Atención
- Procedimientos accesibles en intranet o knowledge base
- Onboarding incluye módulo de protección de datos
- Refresh anual obligatorio para áreas críticas
- FAQ interno actualizado
Scoring: dónde estás
| Puntos cumplidos (de 50) | Diagnóstico |
|---|---|
| 45-50 | 🟢 Excelente. Listo para fiscalización con riesgo bajo |
| 35-44 | 🟡 Adecuado. Pulir gaps específicos antes de diciembre 2026 |
| 20-34 | 🟠 Riesgo medio. Acelerar implementación con foco en quick wins |
| 0-19 | 🔴 Riesgo alto. Iniciar proyecto formal con plazo apretado |
Confirmer360 cubre los 50 puntos del checklist
Una sola plataforma, todos los procesos cubiertos, evidencia inmutable lista para la Agencia.
Solicitar demo gratuita