90 días es el tiempo que necesita una empresa digital de tamaño mediano para cubrir el cumplimiento mínimo viable de la Ley 21.719: RAT operativo, base de licitud documentada, DPD designado, políticas vigentes, derechos ARCOP+ atendibles y EIPD para los tratamientos de alto riesgo. Este roadmap divide el proyecto en 6 fases, cada una con entregables medibles.
Antes de empezar: principios del roadmap
Tres reglas guían este plan, basadas en proyectos reales con empresas chilenas y latinoamericanas:
- Mínimo viable primero, perfección después. Mejor un RAT con 80 % de los tratamientos en 30 días que uno completo en 9 meses.
- Evidencia, no documentación. Cada artefacto que produces debe ser auditable y utilizable, no decorativo.
- Encadena con seguridad. Si ya tienes ISO 27001 (o estás avanzando), reutiliza controles. Si no lo tienes, la Ley 21.719 es el momento perfecto para iniciar el SGSI en paralelo.
Equipo mínimo viable
El proyecto no requiere un ejército. El equipo núcleo es:
| Rol | Dedicación | Responsabilidad principal |
|---|---|---|
| Sponsor ejecutivo | ~2 h/sem | Desbloqueo, presupuesto, alineación directiva. |
| Líder de proyecto (futuro DPD) | 50 % del tiempo | Coordinar, ejecutar entregables, reportar al sponsor. |
| Referente legal | ~6 h/sem | Bases de licitud, contratos con encargados, política de privacidad. |
| Referente TI / Seguridad | ~6 h/sem | Mapeo técnico, medidas de seguridad, gestión de brechas. |
| Referentes por área | ~2 h/sem c/u | Levantamiento de tratamientos en su área (RR.HH., marketing, comercial, soporte). |
| Consultor externo (opcional) | según contrato | Aporta metodología, plantillas, expertise normativo y acelera el cronograma. |
Fase 0 — Diagnóstico inicial (días 1–10)
Sin diagnóstico, cualquier plan posterior es ficción. Esta fase es corta pero condiciona todo lo que sigue.
Actividades
- Entrevistas con líderes de cada área (1 h cada uno) para mapear tratamientos a alto nivel.
- Inventario preliminar de sistemas con datos personales (CRM, ERP, payroll, marketing, antivirus...).
- Revisión de la política de privacidad actual, términos y consentimientos vigentes.
- Mapeo de transferencias internacionales (proveedores SaaS no chilenos).
- Evaluación de madurez de seguridad existente (¿ISO 27001? ¿controles formales?).
Entregables
- Documento de diagnóstico inicial (~15 páginas) con brechas identificadas por obligación.
- Lista preliminar de tratamientos (versión 1 del RAT).
- Mapa de flujos de datos.
- Estimación presupuestaria del proyecto.
Fase 1 — RAT y mapeo de flujos (días 11–30)
El RAT es el documento central del cumplimiento. En esta fase pasa de ser una lista preliminar a un registro auditable.
Actividades
- Por cada tratamiento, completar las 8 dimensiones obligatorias del RAT: identificación, finalidad, base de licitud, categorías de titulares/datos, destinatarios, transferencias internacionales, plazos de conservación y medidas de seguridad.
- Validar con cada área que la información levantada es correcta.
- Identificar y documentar los tratamientos de datos sensibles y a gran escala (gatillan EIPD en fase 4).
- Construir un modelo de datos de flujos (data flow diagrams).
Entregables
- RAT v1.0 completo y validado por las áreas.
- Lista de tratamientos que requieren EIPD.
- Mapa de transferencias internacionales con países, proveedores y garantías existentes.
Levantar tratamientos a nivel de detalle excesivo (cada formulario, cada exportación) en lugar de agruparlos por finalidad. El RAT eficaz tiene 30–80 tratamientos en una empresa mediana, no 500.
Fase 2 — Políticas, procedimientos y bases de licitud (días 31–50)
Una vez que el RAT está, hay que cerrar los procesos formales que soportan cada obligación.
Actividades
- Redactar nueva política de privacidad alineada con la Ley 21.719.
- Redactar política interna de protección de datos personales.
- Definir procedimiento de gestión de derechos ARCOP+ (canales, plazos, evidencias).
- Definir procedimiento de notificación de brechas (interno + a la Agencia + a titulares).
- Definir procedimiento de evaluación de impacto (EIPD).
- Documentar la base de licitud aplicable por tratamiento en el RAT.
Entregables
- Política de privacidad pública (sitio web).
- Política interna de protección de datos.
- 5 procedimientos operativos firmados (derechos, brechas, EIPD, RAT, retención).
- Bases de licitud documentadas en el RAT.
Fase 3 — Consentimientos y cláusulas contractuales (días 51–65)
Esta fase ataca dos frentes simultáneos: los consentimientos al titular (públicos) y los contratos con encargados (privados).
Actividades — consentimientos
- Auditar todos los formularios donde la empresa recolecta datos: web, app, papel, llamadas.
- Rediseñar los textos de consentimiento (claro, granular, específico, evidente).
- Implementar mecanismos de revocación tan simples como los de otorgamiento.
- Diseñar el banner de cookies (si aplica).
Actividades — contratos con encargados
- Listar todos los proveedores que tratan datos personales por cuenta de la empresa (cloud, SaaS, consultores, agencias).
- Clasificarlos por criticidad (volumen de datos, sensibilidad).
- Redactar cláusula contractual tipo de tratamiento.
- Iniciar la firma de adendas con los proveedores principales.
Entregables
- Inventario de consentimientos actualizado (versión por canal).
- Cláusula contractual tipo aprobada por legal.
- Calendario de firma de adendas con los 10–20 proveedores más críticos.
Fase 4 — DPD, capacitación y EIPD (días 66–80)
Los tres frentes en paralelo:
DPD
- Formalizar la designación del DPD (interno o virtual).
- Comunicar a la Agencia y publicar los datos de contacto.
- Definir funciones, recursos e independencia funcional.
Capacitación
- Diseñar plan de capacitación segmentado: directorio, mandos medios, todos los colaboradores, áreas críticas (RR.HH., marketing, soporte).
- Ejecutar primera ola de capacitaciones (1–2 horas para colaboradores, 3–4 para áreas críticas).
- Documentar asistencia, evaluaciones y firmas de acuse.
EIPD
- Por cada tratamiento de alto riesgo identificado en Fase 1, ejecutar la EIPD: descripción, necesidad y proporcionalidad, riesgos, medidas.
- Documentar la consulta previa a la Agencia si persiste riesgo alto.
Entregables
- Designación formal del DPD y comunicación a la Agencia.
- Plan de capacitación ejecutado (con evidencia).
- EIPD completadas para todos los tratamientos críticos.
Fase 5 — Auditoría interna y cierre (días 81–90)
La última fase verifica que todo lo construido es real, no decorativo. Es la puesta a punto previa a diciembre de 2026.
Actividades
- Auditoría interna por una persona distinta a la que ejecutó (puede ser un consultor externo).
- Simulacro de solicitud ARCOP+ (medir tiempo de respuesta real).
- Simulacro de gestión de brecha (mesa de trabajo).
- Revisión de evidencia documental: ¿la podría revisar la Agencia sin dolor?
- Plan de mejora continua para los 12 meses siguientes.
Entregables
- Informe de auditoría interna con no conformidades y observaciones.
- Plan de acción para cerrar gaps detectados antes de diciembre de 2026.
- Dashboard de cumplimiento para reporte al directorio.
Software recomendado por fase
No necesitas comprar software en el día 1. Estas son las fases donde se vuelve crítico:
| Necesidad | Cuándo | Opción |
|---|---|---|
| RAT inicial | Fase 0–1 | Excel o Google Sheets con plantilla. |
| RAT en producción | Fase 2 en adelante | Software de gestión (Confirmer360, OneTrust, TrustArc). |
| Gestor de consentimientos | Fase 3 | CMP integrado al sitio web y app. |
| Portal de derechos ARCOP+ | Fase 4 | Formulario web ↔ inbox del DPD ↔ ticket en CRM. |
| Gestión de brechas | Fase 4–5 | Workflow en herramienta de tickets (Jira, Notion) con plantilla. |
| Capacitación trazable | Fase 4 | LMS (Certisec Academy u otro) con evaluaciones y certificados. |
Cuándo conviene asesoría externa
El roadmap puede ejecutarse 100 % in-house si:
- El líder de proyecto tiene experiencia previa en privacidad (GDPR, Ley 19.628 madura).
- Hay capacidad de dedicarle 50 % de un FTE durante 3 meses.
- Existe acceso a plantillas de calidad (RAT, EIPD, contratos).
Si alguna de esas tres condiciones falla, una consultoría de implementación reduce el cronograma, evita errores costosos y entrega entregables auditables desde el día uno.
¿Listo para empezar tu roadmap?
Confiden360 acompaña empresas chilenas en cada una de las 6 fases con metodología propia, plantillas verificadas y un equipo de privacidad con experiencia regional. El diagnóstico inicial es gratuito.
Agendar diagnóstico gratuito → Ver servicio →Preguntas frecuentes
¿Es posible implementar la Ley 21.719 en solo 90 días?
Sí, en empresas medianas y digitales con liderazgo comprometido y un equipo pequeño dedicado. Para empresas grandes o muy reguladas, 90 días cubre el primer ciclo (mínimo viable). El cumplimiento maduro suele requerir 6 a 9 meses.
¿Qué tamaño de equipo necesito para el proyecto?
El mínimo viable es un sponsor ejecutivo, un líder de proyecto (futuro DPD), un referente legal, un referente de TI/Seguridad, y un referente por cada área que trate datos personales.
¿Tengo que comprar software desde el día uno?
No. Excel funciona para el RAT inicial. El software se vuelve crítico cuando el volumen de tratamientos y solicitudes ARCOP+ supera la capacidad de gestión manual, lo cual suele ocurrir entre el mes 3 y el 6.
¿Puedo hacer el roadmap solo, sin consultoría externa?
Es posible si tienes en casa expertise en privacidad. La mayoría de empresas chilenas no lo tiene, y el costo de aprender en el camino suele superar el costo de la asesoría.
¿Cuánto cuesta implementar la Ley 21.719?
En empresas digitales medianas, un proyecto de 90 días típicamente oscila entre CLP 12 y 35 millones según alcance, número de tratamientos y modalidad (interna vs. consultoría externa). El software añade entre USD 200 y 1.500 mensuales.
¿El DPD tiene que estar contratado desde el inicio?
No necesariamente. Es buena práctica designarlo preliminarmente al iniciar el proyecto para que adquiera el contexto, pero la formalización contractual y comunicación a la Agencia puede ocurrir hacia el final del roadmap.
¿Qué pasa si no termino en 90 días?
Nada catastrófico —el plazo real es diciembre 2026. El roadmap de 90 días es una guía de eficiencia, no un mandato legal. Lo importante es llegar a diciembre de 2026 con todas las obligaciones cumplidas.
¿Por dónde empiezo si tengo cero avance hoy?
Por la Fase 0: diagnóstico de brecha. En dos semanas tendrás claro qué tratamientos existen, qué controles ya funcionan y dónde están los gaps. Sin diagnóstico, cualquier plan posterior es ficción.