Ley 21.719 · Arts. 3° N°4–5 y 15

Responsable y Encargado
del Tratamiento de Datos

La Ley 21.719 distingue dos roles fundamentales. Entender cuál eres — y qué contrato debes firmar con tus proveedores de datos — es el primer paso del cumplimiento.

Evalúa tu cumplimiento gratis →Volver a Ley 21.719
Los dos roles

Responsable vs. Encargado: las diferencias clave

Responsable del TratamientoArt. 3° N°4

Decide los fines y medios del tratamiento. Tiene la relación directa con el titular. Asume las obligaciones principales de la ley.

Ejemplos

  • ·Tu empresa con sus clientes o empleados
  • ·Un banco que recopila datos para otorgar créditos
  • ·Un retailer que gestiona su programa de lealtad
  • ·Un hospital que maneja fichas clínicas

Obligaciones principales

  • ·Publicar política de tratamiento de datos
  • ·Responder solicitudes ARCOP de los titulares
  • ·Notificar brechas a la Agencia y a los titulares
  • ·Firmar contratos con todos sus Encargados
  • ·Implementar medidas de seguridad adecuadas
  • ·Realizar EIP cuando el tratamiento sea de alto riesgo
Encargado del TratamientoArt. 3° N°5

Trata datos por cuenta del Responsable y bajo sus instrucciones. No decide los fines ni los medios: los recibe del Responsable.

Ejemplos

  • ·Proveedor de CRM (HubSpot, Salesforce)
  • ·Plataforma de email marketing
  • ·Call center que atiende a tus clientes
  • ·Consultora de datos que procesa tu información

Obligaciones principales

  • ·Tratar los datos solo según las instrucciones del Responsable
  • ·Garantizar confidencialidad de quienes acceden a los datos
  • ·Implementar las medidas de seguridad acordadas
  • ·Informar al Responsable sobre brechas de seguridad
  • ·Devolver o eliminar los datos al terminar el contrato
  • ·No subcontratar sin autorización previa del Responsable
El contrato obligatorio

8 cláusulas mínimas del contrato con tu Encargado

El Art. 15 de la Ley 21.719 exige que la relación entre Responsable y Encargado conste por escrito con un contenido mínimo. Sin este contrato, el tratamiento carece de base de licitud adecuada.

01

Objeto y duración

Qué datos se tratan, para qué finalidad y durante cuánto tiempo. Sin esta definición, el encargado no sabe qué puede hacer con los datos.

02

Naturaleza y finalidad del tratamiento

Descripción del tratamiento que realizará el Encargado: almacenamiento, análisis, envío de comunicaciones, soporte técnico, etc.

03

Tipo de datos y categorías de titulares

Qué tipos de datos personales serán tratados (nombre, email, RUT, datos financieros) y a quién pertenecen (clientes, empleados, usuarios).

04

Instrucciones documentadas

Las instrucciones del Responsable al Encargado deben constar por escrito. El Encargado no puede actuar fuera de esas instrucciones salvo obligación legal.

05

Medidas de seguridad

Las medidas técnicas y organizacionales que el Encargado debe implementar. Referencia a estándares como ISO 27001, SOC 2 o equivalentes.

06

Sub-encargamiento

Si el Encargado puede o no subcontratar, y bajo qué condiciones. El sub-encargado debe asumir las mismas obligaciones mediante contrato escrito.

07

Colaboración con el Responsable

El Encargado debe ayudar al Responsable a cumplir con los derechos ARCOP y con las obligaciones de seguridad y notificación de brechas.

08

Devolución o eliminación al término

Al terminar el contrato, el Encargado debe devolver o eliminar todos los datos personales, salvo que la ley exija conservarlos por un período adicional.

Nota práctica: Los grandes proveedores SaaS (Google, Microsoft, AWS, HubSpot) ofrecen contratos de procesamiento de datos (DPA) que cumplen con estas cláusulas. Debes aceptarlos activamente y documentar que lo hiciste. Para proveedores locales o medianos, es posible que debas negociar el contrato directamente.

FAQ

Preguntas frecuentes

¿Qué es el Responsable del Tratamiento?

Es quien decide los fines y medios del tratamiento de datos personales. Si tu empresa decide qué datos recopila, para qué los usa y cómo los trata, es el Responsable. Asume las obligaciones principales de la ley frente a los titulares y a la Agencia.

¿Qué es el Encargado del Tratamiento?

Es quien trata datos por cuenta y bajo instrucciones del Responsable. No decide los fines ni los medios: los recibe. Ejemplos: tu CRM, plataforma de email, call center o consultora de datos.

¿Qué pasa si no tengo contrato con mi Encargado?

El tratamiento carece de base de licitud adecuada. Además, si el Encargado sufre una brecha o hace un uso indebido de los datos, el Responsable puede ser considerado corresponsable. El Art. 15 lo exige expresamente.

¿Puede el Encargado usar los datos para sus propios fines?

No. El Encargado solo puede tratar los datos según las instrucciones del Responsable. Si los usa para fines propios, pasa a ser Responsable del Tratamiento y asume todas las obligaciones legales correspondientes, con las sanciones que eso implica.

Más sobre Ley 21.719

← Guía completaPlazos y fechasServicios en la nubeMultas y sancionesDerechos ARCOP

¿Tienes contratos con tus Encargados?

Te ayudamos a inventariar tus Encargados, verificar los contratos vigentes e implementar el cumplimiento completo.

Hacer diagnóstico gratis →Ver consultoría completa