Ley 21.719 · Vigencia 1 dic 2026 --meses --sem --días Prepárate ahora
Módulos 22 de abril, 2026 10 min de lectura

Cómo hacer una EIPD / DPIA bajo la Ley 21.719: guía con ejemplo

La Evaluación de Impacto en Protección de Datos (EIPD) es obligatoria para tratamientos de alto riesgo bajo la Ley 21.719. Aquí está cómo hacerla bien — desde el test de obligatoriedad hasta el cierre con medidas de mitigación.

Test de obligatoriedad: ¿necesito hacer EIPD?

No todo tratamiento requiere EIPD. La Ley 21.719 la exige cuando el tratamiento implica alto riesgo para los derechos de los titulares. Si tu tratamiento cumple 2 o más de estos 9 criterios, la EIPD es obligatoria:

Criterios para obligatoriedad de EIPD 1. EVALUACIÓN SISTEMÁTICA Scoring crediticio, perfilamiento RRHH 2. DATOS SENSIBLES Salud, biométricos, ideología, vida sexual 3. OBSERVACIÓN GRAN ESCALA CCTV masivo, geolocalización flota 4. DECISIONES AUTOMATIZADAS IA que decide aprobaciones 5. CRUCE DE BASES Combinar fuentes de origen distinto 6. MENORES DE EDAD Tratamientos de datos de menores 7. NUEVA TECNOLOGÍA IoT, blockchain, reconocimiento facial 8. TRANSFERENCIA INTERNAC. A país sin nivel adecuado 9. BLOQUEO DE DERECHOS Impide ejercicio de derechos ARCOP ¿2 o más criterios marcados? → EIPD OBLIGATORIA
Diagrama 1 — Los 9 criterios. Si marcas 2 o más, la EIPD es obligatoria.

Estructura de una EIPD completa

Una EIPD bien hecha tiene 7 secciones obligatorias:

  1. Descripción del tratamiento: qué se hace, quién, cómo, con qué finalidad
  2. Necesidad y proporcionalidad: ¿es necesario tratar TODOS esos datos para esa finalidad?
  3. Riesgos identificados: amenazas a derechos de titulares (acceso ilícito, uso indebido, pérdida)
  4. Probabilidad e impacto: matriz de riesgo
  5. Medidas de mitigación: técnicas y organizativas
  6. Riesgo residual: lo que queda después de mitigar
  7. Aprobación: del DPO y validación por el responsable

Ejemplo real: EIPD de biometría laboral

Una empresa quiere instalar lectores biométricos para registro de asistencia (huella + reconocimiento facial). Veamos la EIPD:

DescripciónCaptura biométrica diaria para control horario en 12 sucursales (1.200 empleados)
FinalidadVerificación de asistencia con base legal en contrato de trabajo
DatosTemplates biométricos (sensibles), nombre, RUT, fecha-hora, sucursal
NecesidadSÍ — sistema actual (tarjetas) tiene 18% de fraude por préstamo
ProporcionalidadTemplates almacenados, NO imágenes. Cifrado AES-256. Retención 90 días
RiesgosFuga de templates, uso para fines ajenos al horario, acceso no autorizado
Medidas(1) Cifrado en reposo y tránsito (2) Acceso solo a 3 personas de RRHH (3) Audit log inmutable (4) Imposibilidad de extraer templates (5) Consentimiento explícito firmado por trabajador
Riesgo residualBAJO — controlable con el monitoreo continuo
Aprobación DPOCarolina G., 22 abril 2026, vigencia 24 meses
Esta EIPD es defendible ante la Agencia Cubre los 7 puntos, justifica necesidad, demuestra proporcionalidad, propone medidas concretas y deja evidencia auditable. Esto es lo que la Agencia espera ver.

Medidas de mitigación típicas

  • Técnicas: cifrado, seudonimización, control de accesos, audit log, retención mínima, anonimización en analítica
  • Organizativas: capacitación, políticas internas, contratos con encargados, revisiones periódicas
  • Transparencia: información clara al titular, canal ARCOP accesible

Cuándo consultar a la Agencia

Si después de aplicar medidas el riesgo residual sigue siendo alto, la Ley 21.719 obliga a hacer una consulta previa a la Agencia de Protección de Datos antes de iniciar el tratamiento. La Agencia tiene plazos para responder con recomendaciones o eventualmente prohibir el tratamiento.

EIPDs con IA: del Excel al sistema vivo

Confirmer360 incluye plantillas guiadas, test de obligatoriedad automatizado y propuestas de medidas con IA.

Solicitar demo gratuita

Sigue aprendiendo

Módulos

Cómo armar tu RAT paso a paso

 Módulos

Cómo responder ARCOP en 30 días

 Módulos

Protocolo brecha 72 horas