La Ley 21.719 de protección de datos personales entra en vigencia en diciembre de 2026. Si eres founder de una startup en Chile y todavía no has hecho nada al respecto, no estás solo. La mayoría no lo ha hecho. Pero la ventana se está cerrando.
La buena noticia: no necesitas 12 meses ni un presupuesto de multinacional. Si tu startup tiene menos de 50 personas y un modelo relativamente estándar (SaaS, e-commerce, marketplace, app), puedes pasar de cero a un nivel sólido de cumplimiento en 90 días, trabajando unas pocas horas por semana.
Este roadmap está dividido en 3 fases. Cada fase tiene un objetivo claro y entregables concretos. Al final de los 90 días, vas a tener lo esencial resuelto — y vas a dormir mejor.
En startups early-stage, generalmente es el founder o COO. En equipos más grandes, puede ser alguien de operaciones o producto. No necesitas un abogado permanente, pero sí conviene tener una asesoría puntual al inicio para validar tus decisiones. Lo importante es que una persona sea dueña del proceso.
Mapea todos tus flujos de datos
Haz un inventario de cada punto donde tu empresa recopila datos personales: formularios web, app, checkout, registro de empleados, proveedores, CRM, herramientas de analytics, email marketing. Para cada uno, documenta: qué datos recopilas, para qué los usas, dónde se almacenan y quién tiene acceso.
Esfuerzo medio · 4-6 horasIdentifica tus bases jurídicas
Para cada tratamiento de datos, define bajo qué fundamento legal lo haces: consentimiento del titular, ejecución de un contrato, obligación legal o interés legítimo. Si no puedes identificar una base legal clara para un tratamiento, probablemente no deberías estar haciéndolo.
Esfuerzo medio · 3-4 horasLista a todos tus proveedores que tocan datos
Haz un inventario de cada servicio o herramienta que procesa datos personales por ti: plataforma de pagos, hosting/cloud, email marketing, analytics, CRM, soporte al cliente, contabilidad, RRHH. Anota dónde alojan los datos (Chile, EE.UU., Europa) y si tienes un contrato que cubra protección de datos.
Esfuerzo bajo · 2-3 horasHaz un diagnóstico de brechas
Con el mapa de datos en mano, identifica las brechas: ¿tienes aviso de privacidad? ¿Es específico para tu negocio o es genérico? ¿Tienes acuerdos de procesamiento de datos con tus proveedores? ¿Hay control de accesos por rol? ¿Existe un proceso para responder si alguien pide acceso a sus datos? Haz una lista de todo lo que falta.
Esfuerzo bajo · 2 horasLa Fase 1 parece la menos "productiva" porque no generas documentos ni cambias nada visible. Pero es la más importante. Cada decisión de las Fases 2 y 3 depende de tener un mapa claro. Si te saltas el diagnóstico, vas a producir documentos genéricos que no reflejan tu realidad — exactamente el error que cometen las empresas que copian templates de internet.
Crea tu aviso de privacidad
Redacta un aviso que refleje tu tratamiento real de datos (no un template genérico). Usa información por capas: una primera capa breve junto a cada formulario, y una segunda capa con toda la información detallada. Incluye los 10 elementos obligatorios de la ley, en lenguaje claro y cotidiano.
Esfuerzo medio · 3-5 horasCrea tu registro de actividades de tratamiento
Es el documento interno que detalla cada tratamiento de datos que haces: qué datos, con qué finalidad, sobre qué base legal, quién accede, a quién se transfieren, cuánto tiempo se retienen. Es obligatorio bajo la ley y es lo primero que pediría la Agencia de Protección de Datos en una inspección.
Esfuerzo medio · 4-6 horasFirma acuerdos de procesamiento de datos con tus proveedores
Cada proveedor que procese datos personales en tu nombre necesita un acuerdo formal (DPA, Data Processing Agreement). Los grandes (AWS, Google, Stripe, HubSpot) ya tienen DPAs disponibles — generalmente los encuentras en sus páginas de compliance. Para proveedores más pequeños, necesitarás proponer uno.
Esfuerzo alto · 6-10 horasDefine tu política de retención de datos
Para cada categoría de dato, establece cuánto tiempo lo conservas y qué pasa después (se elimina, se anonimiza). Ejemplo: datos de clientes activos mientras dure la relación + 5 años por obligaciones tributarias. Datos de postulantes a empleo no seleccionados: 6 meses. CVs espontáneos: 12 meses. Documéntalo.
Esfuerzo bajo · 2-3 horasImplementa mecanismos de consentimiento
Revisa todos los puntos donde pides datos y asegúrate de que el consentimiento es libre, específico e informado. Nada de casillas pre-marcadas. Nada de "al usar este servicio aceptas todo". Implementa banners de cookies con opciones reales de rechazar, y formularios con links visibles al aviso de privacidad.
Esfuerzo medio · 3-4 horasEsta es la fase donde más sentido tiene usar herramientas como TratoDatos: generar un aviso de privacidad adaptado a tu realidad, estructurado por capas, en español chileno, conforme a la Ley 21.719. Hacerlo a mano toma días. Con una herramienta guiada, toma 30 minutos. Lo mismo aplica para el registro de actividades de tratamiento.
Implementa control de accesos basado en roles
Revisa quién tiene acceso a qué datos en cada sistema. Aplica el principio de mínimo privilegio: cada persona accede solo a los datos que necesita para su función. Revoca accesos de ex-empleados inmediatamente. Configura autenticación de dos factores en los sistemas que manejan datos sensibles.
Esfuerzo medio · 3-5 horasCrea un protocolo para solicitudes de derechos ARCO-PS
Define un proceso claro para cuando alguien pida acceder, rectificar, eliminar o portar sus datos: quién recibe la solicitud, cómo se verifica la identidad del solicitante, quién ejecuta la acción, en qué plazo, y cómo se registra. Publica un canal visible (email dedicado o formulario web) para recibirlas.
Esfuerzo bajo · 2-3 horasCrea un plan de respuesta a incidentes de datos
Documenta qué hacer si ocurre una brecha de seguridad: quién detecta, quién decide, a quién se notifica (la Agencia en 72 horas si hay riesgo), cómo se comunica a los afectados, y cómo se remedia. No tiene que ser un documento de 50 páginas — puede ser un one-pager con roles claros y pasos concretos.
Esfuerzo bajo · 2-3 horasCapacita a tu equipo
No necesitas un curso de 40 horas. Haz una sesión de 30-45 minutos con tu equipo cubriendo: qué datos manejamos, por qué importa la protección de datos, qué deben y no deben hacer (no acceder a datos sin justificación, no compartir bases por email, reportar incidentes), y dónde encontrar las políticas. Repite cada 6 meses.
Esfuerzo bajo · 1-2 horasAgenda una revisión trimestral
Bloquea una hora cada 3 meses para revisar: ¿cambió algo en los datos que recopilamos? ¿Agregamos proveedores nuevos? ¿Recibimos solicitudes de derechos? ¿Hubo incidentes? ¿El aviso de privacidad sigue reflejando la realidad? La protección de datos no es un proyecto con fin — es un proceso continuo.
Esfuerzo bajo · 1 hora trimestral¿Qué tienes al final de los 90 días?
Si seguiste el roadmap completo, tu startup ahora tiene:
Mapa de datos que documenta qué recopilas, por qué y dónde. Aviso de privacidad por capas, específico para tu negocio. Registro de actividades de tratamiento conforme a la ley. Acuerdos de procesamiento con tus proveedores. Política de retención con plazos definidos. Mecanismos de consentimiento implementados. Control de accesos por rol. Protocolo de derechos ARCO-PS con canal publicado. Plan de respuesta a incidentes. Equipo capacitado con revisiones agendadas.
Esto no es cumplimiento perfecto — ninguna empresa lo tiene, ni siquiera las grandes. Pero es una base sólida que demuestra responsabilidad proactiva, que es exactamente lo que la ley pide y lo que la autoridad va a valorar. Es también lo que un cliente enterprise, un inversionista o un socio potencial va a querer ver.
¿Y si no tengo 90 días?
Si tienes un deal enterprise en camino o una ronda que requiere mostrar cumplimiento, prioriza así:
Semana 1: Mapea datos + crea aviso de privacidad + implementa consentimiento en formularios. Semana 2: Registro de actividades + acuerdos con los 3 proveedores principales + protocolo básico de derechos ARCO. No es lo ideal, pero cubre lo esencial y demuestra que te lo tomaste en serio.
La Ley 21.719 no exige perfección desde el día uno. Exige demostrar que estás haciendo el esfuerzo, que tienes un plan y que lo estás ejecutando. Ese es el espíritu del principio de responsabilidad proactiva — y es exactamente lo que este roadmap te ayuda a demostrar.