Guía de Implementación Ley 21.719
Importante: Esta guía tiene fines informativos y entrega una visión general de las principales tareas que normalmente deben realizarse para adecuar un sitio web a la Ley N.º 21.719 sobre Protección de Datos Personales. La implementación específica dependerá del tipo de empresa, del sitio web, de los datos tratados y de los sistemas utilizados.
1. Realizar una auditoría inicial del sitio web
Antes de modificar cualquier aspecto del sitio, es indispensable identificar qué datos personales recopila la empresa.
La auditoría debería responder, entre otras, las siguientes preguntas:
- ¿Qué formularios existen?
- ¿Qué datos personales se solicitan?
- ¿Dónde se almacenan?
- ¿Quién tiene acceso?
- ¿Se envían mediante correo electrónico?
- ¿Existen integraciones con CRM?
- ¿Se utilizan herramientas de marketing?
- ¿Se emplea Google Analytics?
- ¿Se utiliza Meta Pixel?
- ¿Se utilizan herramientas de Inteligencia Artificial?
- ¿Se almacenan cookies?
- ¿Se transfieren datos fuera de Chile?
- ¿Existen plugins que recopilen información?
Sin una auditoría resulta muy difícil determinar el nivel real de cumplimiento.
2. Identificar todos los tratamientos de datos personales
Es necesario elaborar un inventario de todos los datos que procesa la empresa.
Por ejemplo:
- Formularios de contacto.
- Formularios de cotización.
- Ecommerce.
- Registro de clientes.
- Newsletter.
- WhatsApp Business.
- CRM.
- Chatbots.
- Reservas.
- Agendamientos.
- Soporte técnico.
- Sistemas de pago.
- Comentarios.
- Encuestas.
Cada uno constituye un tratamiento de datos distinto.
3. Revisar la infraestructura del servidor
Debe verificarse que el servidor cuente con las medidas mínimas de seguridad necesarias para proteger la información personal y reducir el riesgo de accesos no autorizados.
- Certificado SSL vigente.
- Versiones actualizadas de PHP.
- Sistema operativo actualizado.
- Firewall.
- Protección contra malware.
- Backups automáticos.
- Monitoreo del servidor.
- Control de accesos y permisos.
- Protección frente a ataques de fuerza bruta.
- Configuración de encabezados de seguridad (HTTP Security Headers).
- Políticas de actualización y mantenimiento.
En Estudio Ideas, todos los servicios de hosting administrado y los servidores que gestionamos para nuestros clientes consideran estas medidas de seguridad como parte de nuestra política de operación y mantenimiento. Nuestro equipo realiza monitoreo continuo, actualizaciones periódicas, respaldos automáticos y aplica buenas prácticas de ciberseguridad.
4. Configurar Cloudflare
En algunos casos, puede resultar imprescindible incorporar Cloudflare como capa adicional de seguridad y protección perimetral del sitio web, especialmente cuando el sistema está integrado con plataformas críticas como CRM, ecommerce o herramientas que procesan datos personales sensibles, y existe exposición directa a tráfico público o intentos de ataque automatizado.
Una configuración adecuada puede incluir:
- DNS protegidos.
- Firewall (WAF).
- Protección contra ataques DDoS.
- Protección contra bots.
- Reglas de seguridad.
- Limitación de intentos de acceso.
- Protección de páginas administrativas.
- Optimización HTTPS.
- Encabezados de seguridad.
Cloudflare no reemplaza las medidas de seguridad del servidor, sino que las complementa.
5. Implementar Cloudflare Turnstile
Todos los formularios públicos deberían protegerse frente al spam y ataques automatizados.
Cloudflare Turnstile permite:
- Reducir envíos automáticos.
- Disminuir ataques de bots.
- Proteger formularios.
- Mejorar la seguridad del sitio.
- Reemplazar CAPTCHA tradicionales.
Generalmente se instala en:
- Formularios de contacto.
- Formularios de cotización.
- Login.
- Registro.
- Recuperación de contraseña.
- Comentarios.
6. Implementar autenticación en dos pasos (2FA)
Todo acceso administrativo debería utilizar autenticación en dos factores.
Especialmente:
- WordPress.
- Hosting.
- Cloudflare.
- Correos corporativos.
- CRM.
- Google Workspace.
- Microsoft 365.
Una contraseña por sí sola ya no constituye una medida de seguridad suficiente.
7. Revisar usuarios y permisos
Debe verificarse:
- Usuarios activos.
- Usuarios antiguos.
- Permisos de administradores.
- Accesos compartidos.
- Contraseñas débiles.
- Cuentas sin uso.
El principio de mínimo privilegio debe aplicarse siempre.
8. Actualizar WordPress, plugins y temas
Todos los componentes deben mantenerse actualizados de forma periódica para reducir vulnerabilidades y asegurar el correcto funcionamiento del sitio web.
Debe revisarse:
- WordPress.
- Plugins.
- Temas.
- PHP.
- Base de datos.
Las vulnerabilidades conocidas constituyen una de las principales causas de incidentes, especialmente en entornos con plugins desactualizados o configuraciones heredadas.
En el caso de sitios web cuyo diseño y desarrollo ha sido realizado por Estudio Ideas, y que además cuentan con hosting administrado con nosotros, este punto se considera gestionado dentro del servicio, ya que las actualizaciones de núcleo, plugins, temas, entorno PHP y mantenimiento de base de datos forman parte de la administración técnica continua del sistema, orientada a mantener el sitio actualizado y asegurar su estabilidad y continuidad operativa.
Este servicio se encuentra incluido dentro del plan de hosting anual, el cual contempla la mantención técnica y las actualizaciones necesarias para la estabilidad y continuidad operativa del sitio web.
9. Revisar todos los formularios
Cada formulario debería indicar claramente:
- Qué datos se recopilan.
- Para qué serán utilizados.
- Quién es el responsable.
- Enlace a la Política de Privacidad.
- Consentimiento cuando corresponda.
Además debe verificarse:
- Validación.
- Seguridad.
- Protección contra spam.
- Almacenamiento.
10. Elaborar una Política de Privacidad
La política debe explicar, entre otros aspectos:
- Datos recopilados.
- Finalidad.
- Base legal.
- Plazos de conservación.
- Derechos del titular.
- Transferencias de datos.
- Medidas de seguridad.
- Datos de contacto.
No basta copiar una política desde otro sitio web.
11. Elaborar una Política de Cookies
Debe informar:
- Qué cookies utiliza el sitio.
- Finalidad.
- Duración.
- Cookies propias.
- Cookies de terceros.
- Cómo rechazarlas.
- Cómo eliminarlas.
12. Implementar un Banner de Cookies
El banner debe permitir que el usuario pueda decidir.
Generalmente incluye categorías como:
- Necesarias.
- Estadísticas.
- Marketing.
- Preferencias.
No debería instalar cookies opcionales antes de que exista el consentimiento correspondiente.
13. Configurar el consentimiento
El consentimiento debe almacenarse adecuadamente.
Debe poder demostrarse:
- Fecha.
- Hora.
- Preferencias aceptadas.
- Preferencias rechazadas.
14. Revisar Google Analytics
Debe analizarse la configuración de Google Analytics cuando este sistema esté implementado en el sitio web.
En caso de estar en uso:
- Qué información recopila.
- Configuración de privacidad.
- Retención de datos.
- Anonimización cuando corresponda.
- Integración con Consent Mode o mecanismos de consentimiento.
15. Revisar Meta Pixel
Debe verificarse la configuración del Meta Pixel cuando este sistema esté implementado en el sitio web.
En caso de estar en uso:
- Eventos configurados.
- Datos enviados.
- Relación con el consentimiento de cookies.
- Configuración de privacidad y segmentación.
16. Revisar herramientas de Inteligencia Artificial
Debe revisarse el uso de herramientas de Inteligencia Artificial cuando estas estén integradas en el sitio web o en sus procesos de recolección o tratamiento de datos.
En caso de estar en uso:
- Chatbots.
- Formularios inteligentes.
- Asistentes virtuales.
- Automatizaciones.
- Agentes de IA.
Debe identificarse qué tipo de datos reciben, procesan o almacenan, y bajo qué condiciones operan dentro del sistema.
17. revisar CRM, ERP y aplicaciones SaaS
debe revisarse el uso de sistemas CRM, ERP y aplicaciones SaaS cuando estos estén implementados en la operación del sitio web o en la gestión de clientes, proveedores o procesos internos.
En caso de estar en uso:
- Datos almacenados.
- Usuarios y permisos de acceso.
- Integraciones con otras plataformas.
- Medidas de seguridad aplicadas.
- Procesos de eliminación o exportación de datos.
- Respaldos y continuidad operativa.
18. Revisar servicios externos
Debe revisarse el uso de servicios externos cuando estos estén integrados al sitio web o participen en el tratamiento de datos personales.
En caso de estar en uso:
- Plataformas de email marketing.
- Herramientas de automatización.
- Servicios de almacenamiento en la nube.
- Pasarelas de pago.
- Servicios de mensajería o comunicación (incluyendo WhatsApp Business).
- Herramientas de analítica o publicidad.
En todos los casos debe identificarse qué datos personales se comparten, con qué finalidad y bajo qué condiciones operan dichos proveedores.
19. Definir procedimientos internos
La empresa debería establecer procedimientos para:
- Atención de solicitudes de titulares.
- Eliminación de datos.
- Rectificación.
- Accesos.
- Incidentes de seguridad.
- Brechas de datos.
- Respaldos.
- Restauración.
20. Mantener una revisión permanente
La adecuación a la Ley N.º 21.719 no es un trabajo que se realiza una sola vez.
Debe revisarse cada vez que:
- Se instala un nuevo plugin.
- Se cambia de hosting.
- Se incorpora un CRM.
- Se agrega Inteligencia Artificial.
- Se crean nuevos formularios.
- Se modifica el ecommerce.
- Se integra una nueva plataforma.
- Se cambian proveedores tecnológicos.
- Se producen cambios legales o regulatorios.
Conclusión
cumplir con la Ley N.º 21.719 implica revisar y gestionar cada uno de los puntos descritos en esta guía. no es un proceso opcional ni se resuelve instalando un plugin.
cada empresa debe abordar estos pasos según su realidad, los datos que trata y las herramientas que utiliza.
si su organización aún no ha iniciado este proceso, este es el momento de hacerlo.
Para mayor referencia y consulta del marco práctico de implementación, puede revisarse la guía oficial publicada por la Secretaría de Gobierno Digital del Gobierno de Chile, dependiente del Ministerio Secretaría General de la Presidencia:
👉 Guía práctica de implementación de la Ley 21.719 de Protección de Datos Personales