Saltar al contenido principal
Vermont Solutions

CUMPLIMIENTO · PROTECCIÓN DE DATOS · CHILE

Adecuación a la Ley 21.719 de Protección de Datos Personales

Acompañamos a la banca y los seguros en Chile a cumplir la nueva Ley 21.719 con criterio experto: descubrimos dónde están sus datos personales, levantamos el Registro de Actividades de Tratamiento y diseñamos un programa de cumplimiento cuyo entregable es de su propiedad.

  • Microsoft Presidio
  • Apache Atlas
  • OpenMetadata
  • SQL Server · Azure · O365
  • APIs ARCOP
  • 15+ años en banca y seguros
  • ISO 27001 certificada
  • Implementador Líder ISO 27001 e ISO 42001 en plantilla

El problema

La Ley 21.719 ya marca el estándar; el plazo de adecuación corre

La Ley 21.719 moderniza la protección de datos personales en Chile siguiendo el modelo del Reglamento europeo (RGPD): responsabilidad proactiva, derechos reforzados para los titulares (ARCOP), la creación de la Agencia de Protección de Datos Personales y un régimen de sanciones con peso real para una entidad financiera.

Para banca y seguros —que tratan datos sensibles a gran escala— la exigencia no es documental: es demostrar, con evidencia, dónde están los datos, con qué finalidad se tratan y bajo qué control.

La ley entra en plena vigencia el 1 de diciembre de 2026. Quien llega con su inventario del dato y su matriz de tratamiento al día reduce su exposición ante la autoridad.

La causa

El dato personal está disperso y nadie tiene el mapa

En una entidad financiera los datos personales viven repartidos entre bases SQL Server, cargas en Azure y Microsoft 365, file servers y aplicaciones heredadas. Sin un inventario fiable, cualquier respuesta a la autoridad o a un titular es una estimación.

El atajo habitual —contratar una plataforma comercial en modelo de licencia perpetua (OPEX)— enciende una herramienta, pero no aporta el criterio que decide qué es dato sensible, qué tratamiento es lícito o qué riesgo justifica una evaluación de impacto. La herramienta sin criterio multiplica el coste sin cerrar el cumplimiento.

La solución

Un programa de cumplimiento con entregable propio, no una licencia perpetua

Cerramos la adecuación a la Ley 21.719 como un proyecto acotado cuyo resultado —inventarios, matrices, políticas y automatizaciones— queda en su propiedad y se integra con los sistemas que ya opera. Trabajamos de forma agnóstica: con open source (Microsoft Presidio, Apache Atlas, OpenMetadata) y aprovechando las licencias que su organización ya tiene.

Data Discovery y clasificación

Descubrimos y clasificamos datos personales y sensibles en orígenes estructurados y no estructurados —SQL Server, Azure, Microsoft 365, file servers— para saber con certeza qué dato existe y dónde reside.

Matriz RAT (Registro de Actividades de Tratamiento)

Levantamos y mantenemos el registro que exige la ley: finalidades, bases de licitud, categorías de datos y de titulares, encargados, flujos y plazos de conservación. Un inventario vivo y auditable, no una foto que caduca.

Evaluaciones de Impacto (PIA)

Evaluamos el impacto en protección de datos de los tratamientos de mayor riesgo, con metodología y evidencia que sostiene la decisión ante la autoridad.

Gobierno del dato: catálogo y linaje

Implantamos clasificación, catálogo y linaje del dato para que el cumplimiento sea sostenible: trazabilidad de extremo a extremo entre el origen, el tratamiento y el uso.

Integración con portales ARCOP y de consentimiento

Conectamos vía API sus portales de derechos ARCOP y de gestión del consentimiento ya existentes, para que las solicitudes de los titulares se resuelvan sobre sus propios sistemas y en los plazos previstos.

Modelo de prevención de infracciones

Diseñamos el modelo de prevención de infracciones (programa de cumplimiento) y su evidencia. La ley contempla que su adopción pueda operar como atenuante en la graduación de sanciones; su certificación y valoración corresponden al marco y a la autoridad vigentes.

Por qué Vermont

Criterio experto, no una herramienta encendida

Criterio experto, no una herramienta encendida

Decidimos con usted qué es dato sensible, qué base de licitud aplica y qué riesgo exige una evaluación de impacto. La herramienta ejecuta; el criterio cumple.

Agnóstico de herramienta

Trabajamos con open source —Microsoft Presidio, Apache Atlas, OpenMetadata— y aprovechamos las licencias que su organización ya tiene. Sin atarle a un proveedor ni a una licencia perpetua.

Entregable de su propiedad

El proyecto se cierra y los inventarios, matrices, políticas y automatizaciones quedan en su organización, integrados con sus sistemas. No es una suscripción que paga indefinidamente.

CREDENCIALES · PROTECCIÓN DE DATOS

  • · 15+ años entregando proyectos críticos en banca y seguros.
  • · ISO 27001 certificada — gestión de seguridad de la información.
  • · ISO 42001 (gestión de IA): un especialista Implementador Líder ISO 27001 e ISO 42001 en plantilla; certificación de empresa ISO 42001 en curso.
  • · Integración por API con portales ARCOP y de consentimiento propios del cliente.

Ley 21.719 · RGPD (modelo de referencia) · ISO 27001 · ISO 42001

Continúe por aquí

Servicios y recursos relacionados

Gobernanza de datos e IA (ISO 42001)

Control documental, evidencia automática y trazabilidad para modelos y datos en entornos regulados, alineado con la Norma CMF de Gobernanza Algorítmica.

Ver gobernanza de datos e IA →

Glosario: Ley 21.719

Qué exige la Ley 21.719, los derechos ARCOP, la matriz RAT y la evaluación de impacto, y cómo se traduce en decisiones de sistemas.

Leer la ficha de la Ley 21.719 →

Sector seguros

Cómo abordamos el dato y el cumplimiento en aseguradoras chilenas, del cálculo regulatorio a la protección de datos.

Ver sector seguros →

Sector banca

Modernización y gobierno del dato en banca, con la trazabilidad que exige operar bajo supervisión de la CMF.

Ver sector banca →

¿Quiere saber dónde están hoy sus datos personales y qué le exige la Ley 21.719?

Agendar diagnóstico

Contenido informativo de Vermont Solutions. No constituye asesoramiento jurídico; la normativa puede evolucionar y tiene plazos de adecuación — verifique la versión vigente en bcn.cl.

Preguntas frecuentes

¿Qué exige la Ley 21.719 a mi organización?
Cumplir los principios de la ley (licitud, finalidad, proporcionalidad, calidad, transparencia, seguridad y responsabilidad proactiva), atender los derechos ARCOP de los titulares, mantener el registro de actividades de tratamiento (matriz RAT), evaluar el impacto de los tratamientos de riesgo y proteger de forma reforzada los datos sensibles. Para banca y seguros, todo ello se sostiene sobre el conocimiento de dónde residen los datos.
¿Qué es la matriz RAT (Registro de Actividades de Tratamiento)?
Es el inventario documentado de los tratamientos de datos personales de la organización: finalidades, bases de licitud, categorías de datos y de titulares, encargados, flujos y plazos de conservación. La levantamos y la mantenemos viva y auditable, conectada con el data discovery para que no quede desactualizada.
¿Puedo cumplir la Ley 21.719 sin comprar una plataforma comercial?
Sí. Trabajamos de forma agnóstica de herramienta: con open source (Microsoft Presidio, Apache Atlas, OpenMetadata) y aprovechando las licencias que su organización ya tiene. El cumplimiento lo aporta el criterio experto sobre el dato, no una licencia perpetua; el entregable queda en su propiedad.
¿Cómo se integran los derechos ARCOP con mis sistemas?
Conectamos vía API sus portales de derechos ARCOP y de gestión del consentimiento ya existentes, para que las solicitudes de acceso, rectificación, cancelación, oposición y portabilidad se resuelvan sobre sus propios sistemas y en los plazos previstos por la ley.
¿El modelo de prevención reduce las sanciones?
La Ley 21.719 contempla un modelo de prevención de infracciones (programa de cumplimiento) cuya adopción puede operar como atenuante en la graduación de las sanciones. Diseñamos el modelo y su evidencia; su certificación y la valoración de su efecto corresponden al marco y a la autoridad vigentes. No constituye asesoramiento jurídico.