¿Qué es la Ley 21.719 y a quién aplica?

La Ley 21.719 es el nuevo marco chileno de Protección de Datos Personales, alineado con GDPR. Aplica a toda persona natural o jurídica, pública o privada, que trate datos de residentes en Chile. La supervisión está a cargo de la Agencia de Protección de Datos Personales (APDP).

¿En cuánto tiempo debo notificar una brecha de datos personales?

72 horas desde la detección, conforme al artículo 13. Vigía centraliza el registro y dispara un countdown automático con plantilla de notificación a la APDP.

¿Qué plazo tengo para responder a un derecho ARCO+?

30 días desde la recepción de la solicitud (art. 5 y art. 8 ter). Vigía calcula el SLA y permite generar la respuesta con IA usando tus RAT como contexto.

¿Cuándo es obligatoria la DPIA (Evaluación de Impacto)?

Cuando el tratamiento implica biometría, datos sensibles masivos, perfilamiento, decisiones automatizadas significativas o transferencias internacionales a países sin nivel adecuado (art. 14 quater).

¿Necesito un DPO (Delegado de Protección de Datos)?

Sí, en organismos públicos, en empresas que traten datos a gran escala o datos sensibles, y en cualquier organización con tratamientos de alto riesgo. El DPO debe tener autonomía y reportar a la dirección (art. 14 octies).

¿Qué pasa si contrato a un proveedor que procesa datos por mí?

Debes firmar un contrato DPA con cláusulas mínimas del artículo 9: finalidades, plazo, medidas de seguridad, sub-encargados autorizados, devolución o eliminación al término. Vigía mantiene un DPA Registry con expiraciones monitoreadas.

¿Qué sanciones contempla la Ley 21.719?

Sanciones administrativas con multas según gravedad. Las infracciones más graves se asocian a brechas no reportadas, falta de bases de licitud y violación de derechos del titular. Una bitácora inmutable es defensa documental clave.

¿Cómo se relaciona la Ley 21.719 con ISO 27001?

ISO 27001 cubre seguridad de la información en general; la Ley 21.719 cubre privacidad y derechos de los titulares. Vigía mapea 36 controles ISO 27001/27701 directamente a artículos de la Ley 21.719 en el módulo Crosswalk.

¿Qué sectores son los más fiscalizados por la APDP?

Fintech y banca (KYC biométrico), salud y seguros (datos sensibles), retail y e-commerce (marketing y perfilamiento), RRHH (gestión de personas) y empresas de IA/ML con decisiones automatizadas.

¿Cuánto tiempo toma implementar un programa de privacidad con Vigía?

8 a 12 semanas para un programa funcional: RAT inicial, DPIA priorizadas, workflow ARCO+, registro de brechas con countdown 72h, DPA Registry y Plan Anual de Privacidad.

Ley 21.719 · Fiscalización APDP activa

/// Privacidad continua, no reactiva.

Ley 21.719 Chile.
Protección de Datos Personales
sin excel ni sustos.

Vigía transforma privacidad y protección de datos en una operación continua basada en evidencia. RAT versionado, DPIA con scoring IA, brechas con countdown 72h a la APDP, ARCO+ con SLA 30 días, DPA Registry y Plan Anual con 7 actividades obligatorias auto-inyectadas.

Evaluar mi preparación Calcular mi ROI →

Sin tarjeta · 30 min · Diagnóstico de tu programa de privacidad

/// Plazos legales · Ley 21.719

Reloj corriendo desde la primera brecha

La APDP no espera. Cualquier organización que trate datos personales en Chile está sujeta a estos plazos.

72h

Notificación de brechas a la APDP

Art. 13

30d

Respuesta a derechos ARCO+

Art. 5 · Art. 8 ter

12s

Implementación completa con Vigía AI

RAT + DPIA + Brechas + DPA

Anual

Plan documentado de privacidad

Art. 14 octies · 7 actividades

/// Privacy Operations

PrivacyOps — privacidad operacional.

RATs, DPIAs, brechas, ARCO+ y encargados conectados en un mismo flujo operacional. Evidencia viva, no PDFs estáticos.

✅ RAT vivo

Inventario continuo de actividades de tratamiento sincronizado con Data Discovery.

✅ DPIA con scoring IA

Riesgos para titulares en 4 dimensiones, refrescados en cada cambio del RAT.

✅ Brechas 72h

Countdown APDP con plantilla, evidencia y bitácora inmutable.

✅ ARCO+ 30 días

Workflow de derechos con SLA monitoreado y trazabilidad completa.

✅ DPA Registry

Encargados con cláusulas mínimas, vencimientos y due diligence continua.

/// Obligaciones clave

Las 11 cosas que sí o sí debes documentar

Cada una está mapeada a un artículo de la Ley 21.719 y a un módulo activo en Vigía.

RAT — Registro de Actividades de Tratamiento

Art. 14 ter · 12 secciones · 67 campos

Inventario inmutable de cada actividad que toca datos personales. Versionado y firma del DPO.

DPIA — Evaluación de Impacto (EIPD)

Art. 14 quater · scoring 4 dimensiones

Obligatoria para biometría, perfilamiento, decisiones automatizadas y datos sensibles a gran escala.

Notificación de brechas a la APDP

Art. 13 · countdown 72h

Registro centralizado con workflow open → investigando → cerrado y plantilla de notificación.

Derechos ARCO+ del titular

Art. 5 · Art. 8 ter · SLA 30 días

Acceso, rectificación, cancelación, oposición, portabilidad y derecho a no decisiones automatizadas.

Encargados de tratamiento (DPA)

Art. 9 · sub-procesamiento documentado

Cada proveedor que procesa datos requiere contrato con cláusulas mínimas y due diligence.

Privacy by Design

Art. 14 ter · Art. 14 quinquies

Medidas técnicas y organizativas desde el diseño y por defecto.

Continuidad para datos personales

Art. 26 · BCP Privacy

Plan de continuidad específico para ARCO+ y datos post-brecha con RTO/RPO definidos.

Plan Anual de Privacidad

Art. 14 octies · 7 actividades

Calendario 12 meses documentado, revisable y firmado por DPO.

Cooperación con la APDP

Art. 26 · reportes consolidados

Disponibilidad de documentación para fiscalización. PDF apto APDP en un click.

Auditorías Privacy

Art. 14 octies · 6 tipos

DPO Review, RAT Audit, Breach Drill, DSR Audit, DPA Audit, APDP Inspection.

Bitácora inmutable

Art. 14 ter · ISO 27701 7.5

Trazabilidad completa de RAT, brechas, DSR, DPIA, DPA con actor, timestamp y payload.

/// Glosario rápido

Los términos que tu auditor APDP sí o sí va a preguntar

RAT / ROPA

Registro de Actividades de Tratamiento. 12 secciones obligatorias según art. 14 ter.

DPIA / EIPD

Evaluación de Impacto en Protección de Datos. Análisis con scoring de 4 dimensiones.

ARCO+

Acceso, Rectificación, Cancelación, Oposición, Portabilidad, No decisiones automatizadas.

DPA

Data Processing Agreement. Contrato responsable–encargado con cláusulas del art. 9.

DPO

Delegado de Protección de Datos. Autónomo, reporta a dirección. Art. 14 octies.

Datos sensibles

Biométricos, biológicos, financieros, religiosos, sindicales, ideológicos. Art. 2 c).

Base de licitud

6 opciones: consentimiento, contrato, ley, vida, función pública, interés legítimo.

Transferencias internacionales

Datos fuera de Chile requieren cláusulas tipo (CCT), BCR o certificación.

/// Foco de fiscalización APDP

Sectores en la mira

Tratamientos de alto riesgo bajo lupa especial.

💳 Fintech y banca · KYC biométrico 🏥 Salud y seguros · datos sensibles 🛍️ Retail y e-commerce · perfilamiento 👥 RRHH · gestión de personas ☁️ SaaS y cloud · transferencias intl. 🤖 IA/ML · decisiones automatizadas

/// Plataforma Vigía AI

14 módulos para cumplir la Ley 21.719

Cada artículo de la ley tiene un módulo. Cada módulo tiene IA accionable.

📊

Dashboard Privacy

Health Score 0-100 con KPIs RAT / DPIA / Brechas / ARCO+ / DPA.

📋

RAT versionado

12 secciones, 67 campos, 6 plantillas sectoriales, motor de 6 reglas.

🚨

Brechas APDP

Countdown 72h, triage IA, plantilla de notificación lista.

👤

DSR ARCO+

Intake, verificación, RATs vinculados, respuesta IA, SLA 30d.

⚖️

DPIA / EIPD

Wizard 5 pasos, scoring IA, citas legales, PDF firmable.

🤝

DPA Registry

Encargados, contratos firmables, sub-procesamiento, expiraciones.

📄

Reportes APDP

6 reportes consolidados en PDF apto fiscalización.

🛡️

Oficina del DPO

Dashboard ejecutivo, 5 KPIs, tareas urgentes con SLA.

🔗

Crosswalk ISO ↔ Ley

36 cruces ISO 27001/27701 ↔ Ley 21.719.

📒

Bitácora inmutable

Eventos auditables con payload JSONB y actor.

🆘

BCP Privacy

Plan de continuidad para datos personales, RTO/RPO, roles.

📆

Plan Anual

Calendario con 7 actividades obligatorias auto-inyectadas.

🔍

Auditorías Privacy

6 tipos · readiness score · PDF firmable.

🤖

Wigi AI

8 endpoints: RAT autocomplete, DPIA scoring, triage, plantillas.

/// Cómo empezar

7 pasos para cumplir la Ley 21.719

El roadmap que ejecutamos con cada cliente. Listos para auditoría APDP en 8-12 semanas.

PASO 01

Levantar el RAT

Documentar cada tratamiento con las 12 secciones del art. 14 ter. Vigía pre-llena con IA en base a 6 plantillas sectoriales.

PASO 02

Identificar alto riesgo y disparar DPIAs

Biometría, perfilamiento, decisiones automatizadas, datos sensibles masivos (art. 14 quater).

PASO 03

Designar al DPO

Asignar el rol con autonomía y reporte a dirección (art. 14 octies).

PASO 04

Habilitar canal ARCO+

Formulario público + workflow interno con SLA 30 días (art. 5 + 8 ter).

PASO 05

Implementar registro de brechas con countdown

Notificación APDP en 72h (art. 13). Plantilla de notificación lista.

PASO 06

Firmar DPAs con encargados

Contratos con cláusulas mínimas del art. 9. Registry con expiraciones.

PASO 07

Aplicar medidas de seguridad y bitácora

MFA, cifrado, RBAC, anonimización, bitácora inmutable (art. 14 quinquies + ISO 27701).