ISO 27701 y la Ley 21.719 de Chile: Cómo Cumplir | GRC360

La Ley 21.719 de Protección de Datos Personales marca un antes y un después en la regulación de la privacidad en Chile. Esta nueva legislación, que moderniza profundamente la antigua Ley 19.628, introduce estándares de protección alineados con las mejores prácticas internacionales y establece la Agencia de Protección de Datos Personales como autoridad de control. Para las empresas, la pregunta ya no es si deben prepararse, sino cómo hacerlo de manera eficiente y demostrable. ISO 27701 ofrece una respuesta estructurada.

Principales exigencias de la Ley 21.719

La nueva ley introduce un conjunto de obligaciones que las organizaciones deben cumplir en el tratamiento de datos personales:

Principios de tratamiento: Licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y transparencia
Bases de licitud: El tratamiento requiere consentimiento del titular u otra base legal reconocida (contrato, interés legítimo, obligación legal, interés vital)
Derechos de los titulares: Acceso, rectificación, supresión, oposición, portabilidad y decisiones automatizadas
Deber de seguridad: Implementar medidas técnicas y organizativas adecuadas al nivel de riesgo
Notificación de brechas: Comunicar vulneraciones de seguridad a la Agencia y a los titulares afectados
Evaluaciones de impacto: Realizar evaluaciones previas cuando el tratamiento pueda generar riesgos significativos
Responsabilidad proactiva: Demostrar el cumplimiento efectivo de la ley mediante evidencia documentada

Mapeo: Ley 21.719 vs controles ISO 27701

Uno de los mayores valores de ISO 27701 para las empresas chilenas es que sus controles se alinean directamente con las obligaciones de la nueva ley:

Obligación Ley 21.719	Control ISO 27701	Implementación práctica
Registro de actividades de tratamiento	A.7.2.8	Inventario documentado de todas las actividades de tratamiento con fines, bases legales y destinatarios
Gestión del consentimiento	A.7.2.3, A.7.2.4	Mecanismos para obtener, registrar, verificar y revocar el consentimiento
Derechos ARCO	A.7.3.1 - A.7.3.9	Procedimientos documentados para recibir, verificar, procesar y responder solicitudes de derechos
Deber de seguridad	Controles ISO 27001 + extensiones	Medidas técnicas y organizativas proporcionales al riesgo del tratamiento
Notificación de brechas	A.7.3.10, Extensión 6.1.3	Procedimiento de detección, evaluación, notificación a la Agencia y comunicación a los titulares
Evaluación de impacto	A.7.2.5	Metodología de evaluación de impacto en privacidad con criterios definidos de aplicación
Responsabilidad proactiva	Todo el SGIP	Sistema de gestión documentado, auditable y con evidencia de mejora continua
Encargado de protección de datos	Cláusula 6.3 (roles)	Designación formal con funciones, recursos y reporte a la dirección

El principio de responsabilidad proactiva

Quizás el aspecto donde ISO 27701 aporta mayor valor es en el cumplimiento del principio de responsabilidad proactiva (accountability). La Ley 21.719 no solo exige cumplir con sus disposiciones, sino demostrar que se cumple. Un SGIP certificado bajo ISO 27701 proporciona exactamente eso: un sistema de gestión auditable con evidencia documentada de las medidas adoptadas, los controles implementados y la mejora continua del sistema.

Ante una inspección de la Agencia de Protección de Datos Personales o ante una reclamación de un titular, la organización puede presentar su certificación, los registros de auditoría interna, las evaluaciones de impacto realizadas, los registros de capacitación y la documentación del sistema como evidencia concreta de su compromiso con la protección de datos.

Dato clave: La Ley 21.719 reconoce como atenuante la existencia de modelos de prevención certificados. Un SGIP conforme a ISO 27701 puede actuar como factor mitigante en procedimientos sancionatorios ante la Agencia de Protección de Datos Personales.

Transferencias internacionales de datos

La nueva ley regula las transferencias internacionales de datos personales, permitiéndolas solo bajo condiciones específicas: país con nivel adecuado de protección, garantías contractuales adecuadas, consentimiento expreso del titular, entre otras. ISO 27701 incluye controles específicos para gestionar estas transferencias, documentar las garantías ofrecidas y verificar que los destinatarios cumplen con estándares equivalentes de protección.

Implementación práctica para empresas chilenas

Organizaciones que ya tienen ISO 27001

Si tu empresa ya cuenta con certificación ISO 27001, la ruta más eficiente es extender tu SGSI con ISO 27701. La infraestructura de gestión, los procesos de auditoría y la cultura de seguridad ya existen; solo necesitas agregar la capa de privacidad.

Organizaciones sin sistema de gestión

Para empresas que parten desde cero, la recomendación es implementar ISO 27001 e ISO 27701 simultáneamente. Esto permite diseñar el sistema considerando ambos conjuntos de requisitos desde el inicio, evitando retrabajos posteriores.

Priorización basada en riesgos

No todas las organizaciones necesitan el mismo nivel de sofisticación en su SGIP. La ley establece que las medidas deben ser proporcionales al riesgo del tratamiento. Una empresa que solo trata datos básicos de contacto de sus clientes tiene requisitos diferentes a una que procesa datos de salud o datos financieros sensibles.

Plazo importante: Las empresas deben prepararse para cumplir con la Ley 21.719 dentro de los plazos de entrada en vigencia establecidos. No esperes al último momento: implementar un SGIP requiere tiempo para diseñar, implementar, capacitar y verificar la eficacia de los controles.

Beneficios más allá del cumplimiento

Implementar ISO 27701 no solo ayuda a cumplir con la Ley 21.719: genera beneficios adicionales para la organización. Fortalece la confianza de clientes y usuarios que valoran la transparencia en el uso de sus datos. Facilita relaciones comerciales con empresas internacionales que exigen evidencia de protección de datos. Reduce el riesgo de brechas de datos gracias a controles sistemáticos de seguridad y privacidad. Y crea una cultura organizacional de respeto por la privacidad que se refleja en todas las operaciones.

Prepárate para la Ley 21.719 con GRC360

GRC360 te ayuda a implementar ISO 27701 y cumplir con la Ley 21.719 de forma integrada: registro de actividades de tratamiento, gestión de derechos ARCO, evaluaciones de impacto y notificación de brechas.

Crear Cuenta Gratis

Profundiza en la comparativa con la regulación europea en nuestro artículo sobre GDPR vs Ley 21.719 y conoce los detalles de los controles de privacidad de ISO 27701.