Ilustración: dashboard de software para Ley 21.719

Para empresas con menos de 30 tratamientos, Excel resuelve. Para todo lo demás, necesitas software dedicado. Estas son las 8 funcionalidades que debe tener cualquier plataforma seria para cumplir la Ley 21.719 en Chile, ordenadas por criticidad.

Por qué Excel deja de escalar

El RAT (Registro de Actividades de Tratamiento) parece un buen candidato para vivir en una planilla: al fin y al cabo es una tabla. El problema aparece cuando se cruzan tres factores típicos en empresas medianas:

  • Volumen. Más de 50 tratamientos, con 8 columnas obligatorias cada uno y actualizaciones continuas.
  • Multi-usuario. Varios responsables actualizan en paralelo, sin control de versiones ni auditoría de cambios.
  • Dependencias. El RAT alimenta consentimientos, EIPD, contratos con encargados y respuestas ARCOP+. Mantener consistencia entre 5 planillas conectadas es inviable.

El resultado típico: el RAT se desactualiza a los pocos meses, las EIPD quedan huérfanas, los contratos no se firman, y cuando la Agencia pida evidencia la empresa no la puede generar a tiempo.

Las 8 funcionalidades imprescindibles

1. RAT automatizado y vivo

El núcleo de la plataforma. Debe permitir:

  • Registrar tratamientos con todos los campos obligatorios de la Ley 21.719.
  • Vincular cada tratamiento con: bases de licitud, encargados, transferencias internacionales, sistemas, datos involucrados, plazos de conservación.
  • Trazabilidad de cambios (quién, cuándo, qué modificó).
  • Vistas filtradas por área, finalidad o nivel de riesgo.
  • Generación automática del documento RAT exportable (PDF, Excel) para auditoría.

El RAT debe ser un sistema en vivo, no un archivo. Si el director de RR.HH. crea un nuevo proceso de selección, la plataforma debe permitirle registrarlo en minutos.

2. Gestor de consentimientos (CMP)

El consentimiento debe ser libre, informado, específico, inequívoco y, sobre todo, demostrable. El software debe capturar y conservar evidencia de cada consentimiento:

  • Texto exacto que aceptó el titular.
  • Fecha, hora y canal.
  • Versión de la política y de los términos vigentes en ese momento.
  • Mecanismo de revocación con la misma facilidad que el otorgamiento.

El gestor también debe manejar el banner de cookies (con categorías granulares: necesarias, analíticas, marketing) si tu sitio web es público.

3. Portal y workflow de derechos ARCOP+

La plataforma debe ofrecer un portal donde el titular pueda ejercer sus derechos sin fricción, y un workflow interno para resolverlos en plazo. Funciones clave:

  • Formulario público con verificación de identidad.
  • Ticket interno asignado automáticamente al DPD o área responsable.
  • SLA configurable según el tipo de derecho.
  • Plantillas de respuesta validadas por legal.
  • Evidencia documental archivada (qué pidió, qué se entregó, cuándo).
  • Dashboard de cumplimiento (% en plazo, derechos vencidos, tendencias).

4. Gestión de brechas (incident response)

Cuando ocurre una brecha, el reloj corre. La plataforma debe ofrecer:

  • Workflow estructurado: detección → análisis → contención → notificación → cierre.
  • Cálculo automático del nivel de riesgo (impacto × probabilidad).
  • Plantillas de notificación a la Agencia y a titulares.
  • Cronómetro de cumplimiento del plazo de notificación.
  • Registro histórico de todas las brechas (incluso las que no requirieron notificación externa).
  • Lecciones aprendidas y plan de mejora.

5. Evaluaciones de Impacto (EIPD / DPIA)

El software debe asistir el proceso de EIPD sin reducirlo a un formulario lineal. Buena EIPD:

  • Cuestionario adaptativo que detecta automáticamente si un tratamiento requiere EIPD.
  • Vinculación con el RAT (no se re-ingresan los datos).
  • Análisis de necesidad y proporcionalidad guiado.
  • Matriz de riesgos (probabilidad × impacto) con cálculo automático del nivel.
  • Catálogo de medidas mitigantes pre-cargado por tipo de riesgo.
  • Workflow de aprobación (DPD → sponsor → ejecución).

6. Gestión de proveedores / encargados

Todos los proveedores que tratan datos personales por cuenta de la empresa son encargados. El software debe gestionar:

  • Inventario de encargados con clasificación de riesgo.
  • Repositorio de contratos firmados (con cláusulas de tratamiento).
  • Cuestionarios de evaluación (due diligence) periódicos.
  • Tracking de garantías de transferencias internacionales (cláusulas tipo, certificaciones).
  • Alertas de vencimientos contractuales o cambios en condiciones del proveedor.

7. Capacitación interna trazable

La Ley 21.719 exige formar al personal en protección de datos, y la formación tiene que ser auditable. El software (o un LMS integrado) debe:

  • Asignar capacitaciones por rol o área.
  • Evaluar conocimiento con quizzes o casos.
  • Emitir certificados con timestamp.
  • Dashboard de cobertura: ¿qué porcentaje del personal completó cada módulo?
  • Recordatorios automáticos de re-capacitación anual.

8. Reportes y dashboard para la Agencia

El cierre del ciclo. El software debe permitir generar paquetes de evidencia listos para fiscalización o auditoría externa:

  • RAT exportable en formatos estándar.
  • Listado de tratamientos con base de licitud, finalidad y plazos.
  • Histórico de brechas notificadas y no notificadas.
  • Métricas de cumplimiento ARCOP+ (volumen, plazo promedio, tasa de cumplimiento).
  • EIPD ejecutadas y vigentes.
  • Reportes ejecutivos para directorio (cumplimiento por dimensión).

Criterios para evaluar proveedores

Más allá de las 8 funcionalidades, considera:

Criterio Qué verificar
Localización del proveedor ¿Está adaptado a la Ley 21.719 o solo a GDPR? ¿Tiene clientes en Chile?
Multinorma ¿Cubre también ISO 27001, SOC 2 u otras normas? Una sola plataforma evita duplicación.
Integraciones APIs, conectores con CRMs, ERPs, ticketing y SSO corporativo.
Seguridad del proveedor El proveedor a su vez es encargado tuyo: ¿tiene ISO 27001, SOC 2, cumple GDPR?
Soporte en español Implementación, capacitación y mesa de ayuda en horario LATAM.
Modelo de precios Por usuario, por volumen, por módulo, por número de tratamientos.
Tiempo de implementación Plataformas reales se implementan en 4–12 semanas; cualquier oferta de "instalación en 1 día" debe mirarse con escepticismo.

Integración con ISO 27001: una sola plataforma para dos normas

La Ley 21.719 y la ISO 27001 comparten más del 70 % de los controles de seguridad. Una plataforma multinorma permite:

  • Un único inventario de activos (datos personales son activos de información).
  • Un único registro de riesgos.
  • Un único set de controles que satisface ambas normas (mapeo cruzado).
  • Un único cuerpo de evidencia auditable para certificadores y para la Agencia.

Confirmer360, la plataforma SaaS propia de Confiden360, fue diseñada con este enfoque multinorma. No es la única opción del mercado, pero es la única optimizada para Ley 21.719 chilena con cobertura nativa de ISO 27001:2022.

¿Quieres ver Confirmer360 en acción?

Demo guiada con un consultor de privacidad. Mostramos cómo se mapean tus tratamientos al RAT, se gestionan derechos ARCOP+ y se preparan reportes para la Agencia. 45 minutos.

Solicitar demo → Ver software →

Preguntas frecuentes

¿Es obligatorio tener un software para cumplir la Ley 21.719?

La ley no exige un software específico. Lo obligatorio es cumplir las 11 obligaciones (RAT, DPD, brechas, etc.). El software es el medio más eficiente para hacerlo en empresas con más de 30–50 tratamientos o más de 200 empleados.

¿Hasta qué tamaño de empresa funciona Excel?

Excel resuelve el RAT en empresas con menos de ~30 tratamientos y un volumen bajo de solicitudes ARCOP+ (menos de 10 al mes). Más allá de eso, la sincronización entre archivos y el control de versiones se vuelven inmanejables.

¿Software internacional o chileno?

Software internacional (OneTrust, TrustArc, BigID) tiene más funcionalidades pero está optimizado para GDPR y suele requerir customización para Ley 21.719. Software chileno (como Confirmer360) viene preparado para la ley local.

¿Cuánto cuesta un software de Ley 21.719?

Para empresas medianas chilenas, los rangos típicos van desde USD 200 hasta USD 1.500 mensuales. Soluciones enterprise globales pueden superar los USD 5.000.

¿El software puede integrarse con mi CRM o ERP?

Sí. Las mejores soluciones ofrecen APIs y conectores para CRMs (HubSpot, Salesforce), herramientas de marketing (Mailchimp) y sistemas internos. La integración acelera el descubrimiento automático de tratamientos.

¿Necesito un software diferente para ISO 27001?

No necesariamente. Algunas plataformas multinorma (como Confirmer360) cubren ISO 27001 y Ley 21.719 en una sola suite, reutilizando riesgos, activos y controles.

¿Cuánto demora la implementación del software?

Entre 4 y 12 semanas. La parte rápida es la configuración técnica; la lenta es el levantamiento del RAT y la migración del inventario actual.

¿Y si solo necesito un portal para derechos ARCOP+?

Hay soluciones específicas (DSR portals) por USD 50–200 al mes. Funcionan bien como primer paso, pero limitan el cumplimiento al frontend; el RAT y la trazabilidad interna quedan sin resolver.