Checklist Ley 21.719 pymes: 12 puntos y evidencia
Checklist Ley 21.719 para pymes: los 12 puntos que debes cumplir antes del 1 de diciembre de 2026, la evidencia que pide la Agencia y el año de gracia.
Faltan menos de cinco meses para el 1 de diciembre de 2026. Ese día la Ley 21.719 empieza a regir con una autoridad que fiscaliza de verdad, y la pregunta que le van a hacer a tu empresa no es “¿tienes una política de datos?”. Es “muéstrame el registro”. Este checklist Ley 21.719 recorre los 12 puntos que tienes que tener listos y, en cada uno, la evidencia concreta que debes poder mostrar.
Cumplir y poder demostrar que cumples son dos proyectos distintos: el primero se resuelve con un documento, el segundo con sistemas que dejan rastro.
¿Prefieres partir por el diagnóstico? Nuestro test gratuito de cumplimiento Ley 21.719 son 12 preguntas y te muestra tus brechas al instante. Si aún no tienes claro qué exige la ley, parte por la guía completa de la Ley 21.719.
Qué es el checklist de la Ley 21.719
Es la lista de obligaciones verificables que la Agencia de Protección de Datos Personales puede pedirte que acredites desde diciembre de 2026. No es un trámite: nadie te va a pedir “el checklist”. Es la carpeta que necesitas tener armada el día que llegue un requerimiento, un reclamo o una brecha.
Los 12 puntos salen de las obligaciones de la ley, del contenido mínimo que el reglamento de modelos de prevención exige a un programa de cumplimiento, y de la guía oficial de implementación de la Secretaría de Gobierno Digital.
Los 12 puntos del checklist Ley 21.719
La columna que importa es la tercera. Cualquiera puede marcar “sí” en la primera.
| # | Punto | Evidencia que debes poder mostrar |
|---|---|---|
| 1 | Responsable designado | Acta o designación escrita, con nombre, cargo y facultades reales |
| 2 | Registro de actividades de tratamiento (RAT) | Documento vivo por proceso: categorías de datos, finalidad, base de licitud, destinatarios, plazos de conservación |
| 3 | Base de licitud por cada tratamiento | Para cada finalidad, qué la habilita: consentimiento, contrato, ley o interés legítimo |
| 4 | Consentimiento demostrable | Registro fechado y versionado: quién, cuándo, para qué, y cómo lo revocó |
| 5 | Información al titular | Aviso de privacidad publicado, con versiones e historial de cambios |
| 6 | Procedimiento de derechos ARCO + portabilidad | Canal habilitado, plazos y bitácora de cada solicitud con fecha de respuesta |
| 7 | Plazos de conservación y borrado | Política de retención con reglas por tipo de dato, y prueba de que el borrado ocurre |
| 8 | Contratos con encargados | Un anexo de tratamiento (DPA) firmado con cada proveedor que toca tus datos |
| 9 | Medidas de seguridad | Control de acceso por rol, cifrado de datos sensibles, respaldos probados |
| 10 | Protocolo de brechas | Procedimiento escrito con plazos auditables y logs que permitan detectar la brecha, no solo reportarla |
| 11 | Transferencias internacionales | Dónde vive cada nube y bajo qué garantía sale el dato de Chile |
| 12 | Capacitación y trazabilidad | Registro de quién se capacitó y bitácoras datadas de acceso a datos personales |
Falta uno que no aplica a todos y por eso va aparte: la evaluación de impacto (DPIA). Si haces scoring, biometría, salud o monitoreo masivo, necesitas un informe previo y documentado del riesgo. Si tu pyme solo vende, factura y hace marketing, probablemente no te toca.
De los 12, tres concentran casi todo el trabajo real. El punto 8 —el anexo de tratamiento con cada proveedor que toca tus datos— es el más rápido de cerrar y el que más veces está vacío.
El RAT es el punto que ordena todo lo demás
El registro de actividades de tratamiento es el que hace posible los otros once: sin RAT no sabes a quién notificar una brecha ni dónde buscar cuando alguien pide que lo borren. Si necesitas el detalle de qué es y cómo se levanta, está en la guía de la Ley 21.719.
Lo que importa acá es cómo se audita, y no es por lo que dice: es por su fecha de última actualización. Si la Agencia pide el registro y la última modificación es de hace ocho meses, el documento prueba lo contrario de lo que pretendes: que tu operación cambió y el papel no. Un RAT mantenido a mano siempre pierde esa carrera; conectado a tus fuentes, se defiende solo. Ahí el software a medida rinde más que una planilla.
Los derechos ARCO se ganan o se pierden en la bitácora
Cuando alguien pide acceder, corregir, portar o borrar sus datos, la evidencia no es que respondiste: es cuándo respondiste. La prueba es el timestamp —fecha de ingreso, fecha de respuesta, quién la firmó—. Una solicitud bien resuelta pero sin registro fechado es, para efectos de fiscalización, una solicitud que nunca contestaste.
Ese es el argumento para automatizar el flujo: no ahorrar tiempo, sino que la prueba se genere sola en vez de depender de que alguien se acuerde de anotarla. Es el tipo de proceso que resuelve la automatización con IA.
Las brechas: ojo con el mito de las 72 horas
Vas a leer en muchas partes que la Ley 21.719 te da 72 horas para notificar una brecha. No es así. La ley no fija un número: obliga a reportar a la Agencia “por los medios más expeditos posibles y sin dilaciones indebidas”. Las 72 horas vienen del RGPD europeo y, en Chile, de la Ley 21.663 Marco de Ciberseguridad —otra norma, con otro alcance—.
Que no haya número no te deja más tranquilo: te deja sin defensa. Con un plazo fijo sabes cuándo cumpliste; con “sin dilaciones indebidas” lo que se evalúa es tu diligencia, y eso solo se prueba con la bitácora del incidente. Fíjate tú un plazo interno —48 o 72 horas es la vara razonable— y déjalo escrito en el protocolo. El problema de fondo, eso sí, es anterior: sin logs ni alertas ya incurriste en dilación indebida cuando te enteras, meses después, porque te avisó un cliente. Son los mismos controles que exige la ciberseguridad para pymes.
Los 4 puntos donde las pymes chilenas fallan
Un análisis publicado en junio de 2026 advierte que hay prácticas habituales en pymes que quedan en zona gris bajo la nueva ley. Cuatro aparecen una y otra vez:
- Promociones por WhatsApp a una base armada sin consentimiento documentado. El canal es legítimo; el problema es no poder probar de dónde salió cada número. La WhatsApp Business API al menos te deja registro de opt-in.
- Biometría para marcar asistencia. La huella es dato sensible y se trata con el estándar más alto. Ojo si estás implementando el registro electrónico de asistencia.
- Traspaso de bases de clientes a terceros sin consentimiento ni contrato de por medio.
- Cesión de facturas a factoring sin protocolo de protección de datos, algo cotidiano en cualquier operación de cobranza.
Ninguna de las cuatro se arregla con un PDF de política. Las cuatro se arreglan cambiando cómo funciona el proceso.
El año de gracia no es un pase libre
Acá hay una buena noticia con letra chica. Las empresas de menor tamaño definidas en la Ley 20.416 tienen una marcha blanca: durante el primer año de vigencia, la primera infracción se sanciona con amonestación escrita en lugar de multa. Es un colchón real frente a una escala que llega hasta 20.000 UTM en infracciones gravísimas.
La letra chica: aplica a la primera infracción y la amonestación queda registrada. Te compra una segunda oportunidad, no un año sin obligaciones. Y no cubre lo que más duele: la Agencia puede ordenar suspender un tratamiento —dejar de usar una base de datos clave— aunque no te multe. Para una pyme, frenar el proceso de ventas pesa más que cualquier UTM.
El modelo de prevención de infracciones: el atenuante voluntario
La novedad que casi nadie tiene en el radar: el Decreto N° 662/2025 del Ministerio de Hacienda —que entra en vigencia junto con la ley, el 1 de diciembre de 2026— regula los modelos de prevención de infracciones del artículo 49. Según el análisis del reglamento publicado en Diario Constitucional, lo relevante para una pyme es esto:
- Es voluntario, pero no te libera del deber general de adoptar medidas de prevención.
- La certificación la otorga la Agencia, dura 3 años renovables y constituye atenuante en caso de infracción.
- Si certificas, designar un delegado de protección de datos pasa a ser obligatorio —interno o externalizado—.
- El contenido mínimo incluye el RAT, una matriz de riesgos, protocolos internos, canales de denuncia, sanciones internas y capacitación.
- Las obligaciones deben incorporarse a contratos de trabajo, de servicios y reglamentos internos.
Traducción práctica: si armas bien los 12 puntos, ya tienes casi todo el contenido mínimo de un modelo certificable. El checklist y el atenuante son el mismo trabajo hecho una vez.
Cómo evidenciar sin ahogarte en papeleo
La trampa del cumplimiento es tratarlo como un proyecto de documentos. Los documentos envejecen; los sistemas no, si están conectados a la operación. La regla que usamos: si un punto del checklist depende de que alguien se acuerde de actualizar una planilla, ese punto va a fallar.
Eso deja una lista corta de cosas que conviene que ocurran solas: que el RAT se actualice cuando cambia el proceso, que cada solicitud ARCO quede fechada al responderse, que el consentimiento se registre al darse y que una brecha dispare una alerta el día uno. El resto puede vivir en un documento.
En Softdigital construimos esa capa. No reemplazamos a tu abogado —la validación legal de la política la hace él—; le damos la infraestructura para que lo escrito se cumpla solo. Es la misma trazabilidad con la que nuestros clientes reducen 60–80% del tiempo en tareas antes manuales.
Si quieres alcance y precio cerrados, nuestros paquetes de adecuación Ley 21.719 parten en $990.000 CLP para pymes, con precio fijo y el código quedando tuyo.
Preguntas frecuentes
¿El checklist de la Ley 21.719 hay que presentarlo en alguna parte? No. No es un trámite. Es la evidencia que debes tener disponible si la Agencia, un cliente o un tribunal te la pide.
¿Cada cuánto hay que actualizar la evidencia? No hay frecuencia legal, pero la regla práctica es: cada vez que cambia un proceso que toca datos personales. Un RAT con ocho meses sin modificaciones delata que la carpeta no refleja la operación.
¿Necesito un delegado de protección de datos (DPO)? Es obligatorio para organismos públicos y para quien certifica un modelo de prevención. Para una pyme privada que no certifica es voluntario, pero designar un responsable interno sigue siendo el punto 1.
¿Alcanzo a estar listo antes del 1 de diciembre de 2026? Sí, si partes por el RAT. Es el punto más lento —toma semanas— y del que dependen los otros once. Si lo dejas para noviembre, no llegas.
Empieza por el punto 2, no por el 1
Casi todas las pymes parten por la política de privacidad porque es lo más visible. Es el orden equivocado: sin el RAT, la política describe una realidad que no conoces. Levanta primero el registro y el resto se ordena solo.
Conversemos 15 minutos: revisamos en qué punto del checklist estás hoy y qué se resuelve con sistemas en vez de papeleo. Diagnóstico gratuito, propuesta en menos de 24 horas y precio fijo sin sorpresas.
Tags
¿Este artículo te fue útil?
Implementamos lo que enseñamos. Agenda una llamada de 15 minutos y analizamos cómo aplicar esto en tu empresa.
Quiero una consulta gratuita