¿Tu organización está preparada para la Ley 21.719?

El 1 de diciembre de 2026 entra en vigencia la nueva Ley 21.719 de Protección de Datos Personales en Chile. Y hay una verdad que muchas organizaciones aún no han internalizado: ningún framework abarca por sí solo todo lo que exige esta ley.

No basta con implementar ISO 27001. No basta con tener un DPO. No basta con cumplir el RGPD europeo. La Ley 21.719 exige un modelo integrado que combine gobierno corporativo, seguridad de la información, gestión de privacidad, calidad de datos y accountability - todo conectado y demostrable.

La primera capa es de gobernanza y dirección estratégica: marcos como ISO/IEC 38500, COBIT 2019 y Open FAIR permiten establecer la supervisión, las métricas y la cuantificación financiera del riesgo desde el nivel directivo.

La segunda capa es operativa y se divide en tres ejes: seguridad de la información (ISO/IEC 27001, ISO/IEC 27002), gestión de privacidad (ISO 27701, ISO 27018, NIST Privacy Framework, CSA CCM, Toolkit RGPD) y calidad y madurez de datos (DAMA-DMBOK, DCAM). Estos marcos operativos implementan los controles concretos que exige la ley.

La tercera capa es transversal: ISO 31000 para gestión de riesgo y TOGAF para integrar privacidad por diseño en la arquitectura. Son los marcos que sostienen el principio de accountability que la ley demanda.

El error más común es abordar la adecuación como un proyecto puramente técnico o legal. La realidad es que se trata de articular gobierno, datos, seguridad, privacidad y riesgo en un modelo adaptado a cada organización.

La ley exige cumplimiento demostrable - lo que significa que no alcanza con tener políticas escritas. Hay que poder probar que se aplican, que se monitorean y que se ajustan cuando cambian las condiciones. Eso requiere un diseño estratégico, no solo una checklist.

El primer paso no es implementar un framework completo. Es entender dónde estás hoy: qué datos personales tratas, con qué base de licitud, quién es responsable, qué controles existen y dónde están las brechas más relevantes.

A partir de ese diagnóstico, se construye una hoja de ruta priorizada que permite avanzar por etapas, atendiendo primero los riesgos de mayor impacto. La adecuación no tiene que ser perfecta desde el día uno, pero sí tiene que ser trazable, gobernable y demostrable ante la nueva Agencia de Protección de Datos.