El responsable de datos
raulr · 1 de febrero de 2026
¿Qué significa ser «Responsable de Datos» hoy?
Bajo la Ley 21.719, este es el concepto más importante que debes entender. Ya no basta con no hacer mal uso de la información; ahora debes demostrar activamente que la cuidas.
Si tu empresa recolecta información de personas (clientes, trabajadores, proveedores), la ley te asigna automáticamente el rol de Responsable de Datos. En términos simples, eres quien decide el «por qué» y el «cómo» se usan esos datos.
🚫 La responsabilidad no se delega
Aunque contrates a una agencia de marketing o una empresa de software para procesar esa información (ellos son los «Encargados»), tú sigues siendo el Responsable legal ante la Agencia de Protección de Datos. Si ellos se equivocan, la multa principal es para ti.
Tus Principales Obligaciones: El Decálogo del Cumplimiento
La Ley 21.719 establece un catálogo de deberes proactivos. Estas son las 8 obligaciones críticas que debes implementar:
1 Principio de Licitud (Probar que es legal)
No puedes tratar datos «porque sí». Debes acreditar una base legal válida: consentimiento expreso, obligación legal o ejecución de un contrato.
2 Deber de Transparencia (Art. 14 ter)
Se acabó la «letra chica». Debes publicar una política de privacidad clara que informe:
- Quién eres (identificación).
- Qué datos recolectas y para qué.
- Por cuánto tiempo los guardarás.
- Cómo ejercer derechos.
3 Deber de Secreto (Art. 14 bis)
Tú y tus empleados están obligados a la confidencialidad, incluso tras terminar la relación laboral. Debes establecer controles de acceso internos.
4 Seguridad y Ciberseguridad
No existe una medida única, pero la ley obliga a aplicar seguridad técnica (cifrado, firewalls) acorde al riesgo y volumen de datos que manejas.
5 Reportar Hackeos o Fugas
Si sufres un incidente de seguridad, tienes la obligación legal de reportarlo a la Agencia «sin dilaciones indebidas». Si afecta datos sensibles, también debes avisar a los afectados.
6 Privacidad desde el Diseño
Tus sistemas deben estar configurados para recolectar, por defecto, solo los datos estrictamente necesarios (minimización).
7 Evaluaciones de Impacto (EIPD)
Si harás un tratamiento de alto riesgo (biometría, perfiles masivos), debes realizar obligatoriamente un estudio técnico de riesgos previo.
8 Responder a Derechos ARCOP
Debes tener un canal expedito para que las personas ejerzan sus derechos. Tienes plazos estrictos (30 días) para responder.
¿Por qué esto es vital para tu negocio?
El incumplimiento de estas obligaciones no es una falta administrativa menor. Bajo el Principio de Responsabilidad, tú debes indemnizar cualquier daño causado a los titulares.
Te expones a multas gravísimas que pueden llegar a las 20.000 UTM.