El Art. 14 ter de la Ley N° 21.719 establece el «deber de información y transparencia» del responsable. Vigente desde el 1 de diciembre de 2026. Esta guía recoge la Guía Práctica de la Secretaría de Gobierno Digital (Min. Segpres, dic 2025), adaptada a PYMEs del sector privado.
Obligación: Publica tu política con fecha de vigencia y número de versión. Cada cambio material debe quedar registrado.
Práctica recomendada: Vigencia visible al pie del documento, historial de versiones disponible bajo solicitud.
Obligación: Razón social, RUT, domicilio del Responsable del Tratamiento. Si tienes Encargado de Prevención (Art. 49 modelo prevención), indicar también.
Práctica recomendada: DPO (Art. 50) ≠ Encargado de Prevención (Art. 49). El primero protege datos, el segundo cubre prevención de delitos económicos.
Obligación: Canal claro y accesible para notificaciones formales del titular y de la APDP. Email dedicado (privacidad@) + formulario web + dirección postal.
Práctica recomendada: El canal debe estar visible en cada página, no oculto en una sub-página.
Obligación: Describir qué datos tratas, de quién, a quién se ceden o comunican, para qué fines y sobre qué base legal (consentimiento, contrato, obligación legal, interés legítimo). Si es interés legítimo, declarar cuál.
Práctica recomendada: Estructura tipo tabla. Una fila por finalidad facilita auditoría.
Obligación: Detalla las medidas técnicas y organizativas. Se recomienda alinear con el Decreto N° 7/2023 del Min. Segpres (Norma Técnica de Seguridad de la Información y Ciberseguridad, Ley 21.180).
Práctica recomendada: Cifrado en tránsito, control de accesos, gestión de incidentes, capacitación y revisiones periódicas.
Obligación: Acceso, Rectificación, Cancelación, Oposición + Portabilidad. Plazo máximo de respuesta: 30 días corridos.
Práctica recomendada: Habilita un canal específico (mailto o formulario) e indícalo en la política.
Obligación: Si el responsable rechaza o no responde oportunamente, el titular puede acudir directamente a la Agencia de Protección de Datos Personales.
Práctica recomendada: Independiente de los derechos ARCO. Indícalo expresamente.
Obligación: Declarar si hay transferencia a un tercer país u organización internacional. Si el país NO tiene nivel adecuado, indicar las garantías (típicamente Cláusulas Contractuales Modelo aprobadas por el Min. Economía, RAEX 2025-03731 dic 2025).
Práctica recomendada: AWS USA, Stripe, Mailchimp y la mayoría de los SaaS yanquis requieren las CCM Min. Economía.
Generador de Cláusulas Contractuales Modelo →Obligación: Plazo específico por cada categoría de dato + condiciones que fijan ese período (legal, contractual, justificación).
Práctica recomendada: Una tabla con 'categoría / plazo / criterio' es lo que la APDP espera ver.
Obligación: Indicar si los datos provienen del titular directamente o de fuentes de acceso público (registros públicos, prensa, redes sociales abiertas).
Práctica recomendada: Si los obtienes de un broker de datos o lista comprada, la base legal de interés legítimo difícilmente se sostiene.
Obligación: Cuando el tratamiento se base en consentimiento, debe ser tan fácil retirarlo como darlo. El retiro no afecta lo ya tratado lícitamente.
Práctica recomendada: Botón 'Cancelar suscripción' en cada email + opción 'Eliminar mi cuenta' en el perfil.
Obligación: Si tu sitio usa chatbot IA, A/B testing, scoring crediticio, recommendation engines o modelos ML que influyan en el titular, debes informar: (a) que existen, (b) la lógica aplicada, (c) las consecuencias previstas, (d) cómo oponerse o pedir intervención humana.
Práctica recomendada: Aplica a Intercom, Drift, Optimizely, Algolia, scoring de fraude (Sift), ranking algorítmico, etc.
Cláusula de Decisiones Automatizadas →