Sus datos ya son
un activo regulado.
¿Está listo para el
1 de diciembre de 2026?
El reloj no corre solo para la multa. Adecuar una estructura de datos promedio toma entre 14 y 40 semanas. Cada mes que pasa sin comenzar reduce su margen operativo de implementación.
Gobierno de datos como servicio: DPO externo, ROPA completo y arquitectura de cumplimiento para llegar a diciembre de 2026 con evidencia real — no con supuestos.
La Ley 21.719
lo cambia todo.
Publicada el 13 de diciembre de 2024, vigente desde el 1 de diciembre de 2026. Reemplaza la Ley 19.628 de 1999 y crea la Agencia de Protección de Datos Personales (APDP) con facultades para fiscalizar, sancionar y publicar en el Registro Nacional de Sanciones — de acceso público.
Las infracciones leves corresponden a errores de gestión que no cumplen totalmente las normas de transparencia y deber de información. No implican daño directo a los titulares pero muestran ausencia de gobernanza.
Las infracciones graves implican tratamiento de datos sin base de licitud válida, o vulneraciones que afectan directamente los derechos de los titulares. Para medianas y grandes empresas que reincidan: hasta el 2% de los ingresos anuales.
Las infracciones gravísimas implican intencionalidad o negligencia grave con impacto masivo en titulares. Pueden derivar en suspensión de actividades de tratamiento y registro público en el Padrón Nacional de Sanciones por hasta 5 años. Para grandes empresas, la multa puede alcanzar el 4% de los ingresos anuales.
Cumplimiento real. Sin inflar estructura.
DGaaS es el modelo fraccionado de gobierno de datos: un DPO externo certificado, la arquitectura de cumplimiento completa y la gestión continua de privacidad — sin contratar, sin sobredimensionar, sin perder el control.
Delegado de Protección de Datos certificado bajo Ley 21.719. Disponible para la APDP, entrenado en tu organización. Sin el costo de una contratación a tiempo completo.
Registro de Actividades de Tratamiento. El documento que la APDP solicitará primero en una auditoría. Inventario estructurado de todos los flujos de datos personales de tu organización.
Arquitectura que cumple por diseño, no por parche. Las bases de licitud, los mecanismos de consentimiento y los controles de acceso se integran en sus sistemas, no se agregan encima.
Workflows automatizados para Acceso, Rectificación, Cancelación, Oposición y Portabilidad. Respuesta documentada en los 30 días que exige la ley. Protocolo de brechas en 72 horas.
Los datos gobernados bajo la Ley 21.719 no solo evitan multas — son la materia prima para modelos de IA, campañas de marketing personalizadas y ventajas competitivas sostenibles. Sin gobierno de datos, no hay IA de alto impacto. Sin cumplimiento, no hay gobierno de datos. El orden importa.
El modelo de entrada.
El camino correcto.
Antes de elegir un plan, entiende exactamente dónde está tu empresa hoy. El Gap Analysis es la única forma objetiva de saberlo.
Gap Analysis de Cumplimiento Ley 21.719
Una auditoría acotada con precio conocido antes de comprometer un retainer mensual. Diagnosticamos exactamente qué brechas tiene tu organización frente a la ley y te entregamos la hoja de ruta priorizada lista para presentar al directorio. El costo es 100% aplicable como crédito al plan Professional.
esencial.
Política de privacidad legal, inventario básico de datos, formulario de consentimiento web y base de licitud por canal. Para empresas con menos de 2.400 UF de ingresos anuales que necesitan cumplir sin sobredimensionar.
completo fraccionado.
DPO externo fraccionado, ROPA definitivo, evaluación de riesgo continua, gestión de brechas de datos, workflows ARCOP automatizados y training mensual del equipo. El plan para organizaciones que necesitan cumplimiento real, no sólo documentación.
a escala organizacional.
Gobierno de datos completo con integración a tu arquitectura cloud, marcos de IA ética, auditoría ISO 27701 y gestión continua bajo supervisión directa de la APDP. Para organizaciones con operaciones en múltiples jurisdicciones.
| Característica | Starter PYME | Professional | Enterprise |
|---|---|---|---|
| Política de privacidad Ley 21.719 | ✓ | ✓ | ✓ |
| ROPA completo | Básico | ✓ Completo | ✓ Completo |
| DPO externo fraccionado | — | ✓ | ✓ Senior |
| Workflows ARCOP automatizados | — | ✓ | ✓ Avanzado |
| Protocolo brechas 72 hrs | — | ✓ | ✓ |
| Integración cloud / arquitectura | — | — | ✓ |
| ISO 27701 / Multi-jurisdicción | — | — | ✓ |
La ley no distingue tamaño.
Sí distingue multa.
Tiene 50 empleados, no tiene CDO, pero sí tiene 8.000 registros de clientes en un CRM, una lista de WhatsApp de marketing y un formulario de reservas en su web. El riesgo es real. La solución no tiene que serlo también.
El costo del plan Starter PYME representa menos del 2% de la multa mínima por infracción leve (~USD 387.000). Invertir en cumplimiento antes de la auditoría es la decisión de gestión de riesgo más evidente del año.
Reservas de alojamiento y degustaciones, club de vinos, WhatsApp marketing, POS de tienda, programas de lealtad, newsletters, fotografías con huéspedes consentidas y formularios de visita guiada. Cada flujo requiere una base de licitud diferente bajo la ley.
WhatsApp marketing sin consentimiento explícito = infracción grave (hasta ~USD 775.000). Ausencia de protocolo de notificación de brechas en 72 horas = infracción gravísima. Falta de ROPA ante inspección de la APDP = sanción inmediata.
ROPA específico para viñedos con hotelería, base de licitud por canal (reservas, club, marketing), formulario de consentimiento GDPR-ready para web y presencial, política de privacidad actualizada, protocolo de brechas y proceso ARCOP documentado.
Con los datos gobernados, el viñero puede activar segmentación avanzada del club de vinos, modelos predictivos de ocupación hotelera, campañas de upsell legales hacia visitantes previos y analytics de experiencia de cliente. El cumplimiento desbloquea el valor de los datos.
El costo del plan Starter PYME vs. multa mínima leve (5.000 UTM ≈ USD 387.000). La auditoría cuesta menos que una carta de la APDP.
DAMA-DMBOK + ISO 27701
en 4 fases.
Los directores odian los proyectos de 18 meses sin resultados visibles. Por eso la Fase 1 termina con un entregable concreto, auditable y presentable al directorio — en la semana 4.
"No implementamos software — construimos capacidad organizacional que perdura. Cuando Yaripo finaliza el compromiso, tu equipo sabe qué hacer, por qué hacerlo y cómo documentarlo ante la APDP."
— Andrés Parra · Founder & CEO · Yaripo SpA
Inventario completo de datos personales en todos los sistemas. Análisis de brechas frente a Ley 21.719. Mapa de riesgo priorizado por área de negocio y nivel de exposición.
ROPA definitivo con todas las actividades de tratamiento. Políticas de privacidad y bases de licitud por flujo de datos. Contratos con encargados de tratamiento externos. Mapa de transferencias internacionales.
Integración de controles en sistemas de información. Workflows ARCOP con respuesta documentada en 30 días. Protocolo de notificación de brechas a la APDP en 72 horas. Training del equipo con documentación de evidencia.
DPO externo disponible para la APDP y para tu organización. Auditorías periódicas ante cambios en la ley o en los sistemas. Actualización ante instrucciones técnicas de la Agencia. Reportes periódicos al directorio.
Las preguntas que
aceleran decisiones.
Estas son las preguntas que los directivos hacen antes de firmar un contrato de gobierno de datos. Las respondemos con datos reales, sin eufemismos.
Sí, pero con condiciones específicas. Necesita: (1) consentimiento explícito y verificable del receptor, (2) una base de licitud documentada en el ROPA, y (3) un mecanismo de baja funcional en cada mensaje. Sin estos tres elementos, el envío constituye una infracción grave bajo la Ley 21.719, con multas de hasta 10.000 UTM (~USD 775.000). La diferencia entre seguir enviando y estar en riesgo es puramente documental y técnica — exactamente lo que cubre el plan Starter PYME.
La Ley 21.719 establece que la responsabilidad recae en el responsable del tratamiento, que puede ser la persona natural o jurídica que dirige la organización. En casos de infracciones gravísimas reiteradas, la APDP puede sancionar directamente a los responsables de la entidad. Esto significa que la alta dirección no está automáticamente protegida detrás de la personería jurídica. Contar con un DPO designado y un ROPA vigente es la evidencia de diligencia debida que distingue un accidente de una negligencia.
La multa mínima por infracción leve es de 5.000 UTM, aproximadamente USD 387.000 al tipo de cambio actual. El plan Starter PYME de Yaripo representa menos del 2% de esa cifra. El plan Professional, considerando los derechos ARCOP, DPO y gestión de brechas, genera un ratio de protección superior a 50:1 respecto a la multa mínima. Dicho de otra forma: por cada peso invertido en cumplimiento, se evita una exposición de más de 50 veces ese monto en la sanción más leve posible.
Sí. La Ley 21.719 permite expresamente la figura del Delegado de Protección de Datos externo o compartido entre varias organizaciones. Esta modalidad fraccionada es la solución ideal para PYMEs: tienen acceso a un DPO certificado y disponible para la APDP, sin el costo de un profesional a tiempo completo (que en Chile bordea los $2.5–4M CLP mensuales en el mercado). El DPO externo de Yaripo viene familiarizado con la Ley 21.719, el DAMA-DMBOK y los procedimientos de la Agencia.
Un viñedo con hotelería boutique típicamente recopila datos en al menos 8 flujos: reservas de alojamiento (nombre, RUT, email, tarjeta), club de vinos (preferencias, historial de compra), WhatsApp marketing (número telefónico), POS de tienda (transacciones), catas y degustaciones (registro de visitas), programas de lealtad (frecuencia y gasto), newsletters (email + comportamiento) y fotografías con huéspedes. Cada flujo tiene una base de licitud diferente bajo la ley. Sin un ROPA, la organización no puede demostrar que trata correctamente ninguno de ellos, lo que la expone a inspección por cualquiera de los canales. Con 219 viñas abiertas al turismo en Chile y casi 1 millón de visitantes anuales, este es exactamente el tipo de empresa que la APDP priorizará en sus primeros ciclos de fiscalización.
El ROPA (Registro de Actividades de Tratamiento) es el inventario documentado de todos los datos personales que su organización recopila, procesa, almacena y transfiere. La Ley 21.719 lo exige como documento base para demostrar cumplimiento ante la APDP. En una inspección, es lo primero que solicitan. Sin ROPA, su empresa no puede demostrar que cumple la ley aunque lo haga — lo que transforma un cumplimiento real en una infracción de jure. El ROPA tarda entre 2 y 6 semanas en construirse correctamente según el tamaño de la organización, por lo que esperar hasta el último trimestre de 2026 es el mayor riesgo operativo evitable del año.
El plazo es diciembre 2026.
Quien empiece tarde,
llega sin tiempo real.
El proceso toma entre 14 y 24 semanas. Cada mes que pasa sin comenzar no solo acorta la ventana de implementación — también encarece el proceso y reduce las opciones disponibles.
Un especialista senior revisará tu desafío operativo y te contactará en menos de 24 horas hábiles.
Cuéntanos quién eres y desde dónde operas para personalizar tu diagnóstico.
Selecciona el área donde quieres generar mayor impacto o reducir riesgo.
Un especialista senior te contactará en menos de 24 horas hábiles.
¿Cómo prefieres que te contactemos?
Acepto que Yaripo almacene y use mis datos para responder esta consulta, conforme a la Política de Privacidad y Ley 21.719 de Chile.
Debes aceptar los términos para continuar
Un especialista senior de Yaripo revisará tu desafío operativo y te contactará en menos de 24 horas hábiles. Sin pitch, sin propuesta — solo la conversación que necesitas.