Askesis
Ley 21.719

Capacitación en protección de datos: qué debe saber tu equipo sobre la Ley 21.719

La Ley 21.719 exige capacitar a los empleados que tratan datos personales. Descubre qué contenidos son obligatorios, cómo estructurar el programa y cómo evidenciarlo ante la Agencia.

Equipo Askesis24 de abril de 20268 min de lectura

La Ley 21.719 no es solo un asunto del departamento legal o de TI: involucra a toda la organización. Un empleado de RRHH que comparte un contrato con datos personales por WhatsApp, un vendedor que registra datos de clientes en una planilla no cifrada, o un gerente que autoriza el uso de una herramienta SaaS sin revisar sus términos de privacidad: todos pueden generar una infracción.

Por eso, el artículo 14 de la Ley 21.719 establece explícitamente que el responsable del tratamiento debe asegurarse de que las personas que tratan datos personales en su nombre actúen bajo sus instrucciones y reciban la formación necesaria para hacerlo correctamente.

Sin capacitación documentada, no hay cumplimiento real.

¿Qué dice exactamente la ley sobre capacitación?

La ley no prescribe un número de horas ni un formato específico, pero sí establece tres principios que obligan de facto a un programa de capacitación:

Principio de responsabilidad: El responsable del tratamiento debe poder demostrar que cumple con la ley. Una brecha causada por un empleado sin capacitación no exime al responsable: agrava su situación ante la Agencia.

Principio de confidencialidad: Las personas que tratan datos personales deben estar sujetas a una obligación de secreto o confidencialidad, tanto durante su relación laboral como después. Este compromiso debe ser informado y comprendido, no solo firmado.

Obligación de instrucciones documentadas: Los empleados deben actuar bajo instrucciones documentadas del responsable. Sin capacitación que comunique esas instrucciones, son letra muerta.

¿Quiénes deben capacitarse?

El universo es más amplio de lo que parece:

Capacitación obligatoria para todos los empleados

Cualquier persona en la organización que tenga acceso a datos personales —aunque sea incidental— debe recibir una formación básica. Esto incluye:

  • Qué son los datos personales y los datos sensibles
  • Qué derechos tienen los titulares (ARCO)
  • Qué hacer si reciben una solicitud de acceso o rectificación
  • Cómo actuar ante un posible incidente de seguridad
  • Qué conductas están prohibidas (ceder datos a terceros, usar datos para fines distintos, etc.)

Capacitación específica por rol

RRHH: Tratamiento de datos de empleados, contratos de trabajo, datos de salud para seguros, registros de evaluación de desempeño. Deben conocer los plazos de conservación y los procedimientos de eliminación.

Marketing: Gestión de bases de datos de clientes, consent management, opt-outs, segmentación, envío de comunicaciones. El marketing directo tiene reglas específicas en la ley.

TI/Sistemas: Seguridad técnica (cifrado, control de acceso, logs, backups), gestión de proveedores SaaS que acceden a datos, protocolo de respuesta ante incidentes, gestión de cuentas y permisos.

Área comercial/ventas: Registro de datos de prospectos y clientes, uso del CRM, transferencia de datos entre áreas, obligaciones al finalizar una relación comercial.

Atención al cliente: Identificación de solicitudes ARCO, respuesta ante consultas sobre privacidad, escalamiento correcto.

Gerencia y directivos: Responsabilidades del responsable del tratamiento, criterios de evaluación de impacto, decisiones sobre nuevos tratamientos, relación con el DPO.

Estructura de un programa de capacitación efectivo

Un buen programa de capacitación en privacidad no es un evento único: es un proceso continuo con tres componentes.

1. Inducción inicial

Todo nuevo empleado debe recibir una formación básica en su primera semana:

  • Módulo de concienciación general (qué es la Ley 21.719 y qué implica para su trabajo)
  • Firma del compromiso de confidencialidad
  • Módulo específico de su área (si trata datos sensibles o en volumen)

2. Capacitación anual de actualización

Al menos una vez al año, toda la organización debe recibir un repaso actualizado. La ley es nueva, la Agencia irá publicando criterios interpretativos, y los procesos internos cambian. Lo que era correcto hace 12 meses puede no serlo hoy.

3. Capacitación reactiva ante incidentes

Cuando ocurre una brecha o una solicitud ARCO mal gestionada, es una oportunidad de aprendizaje. Un módulo específico post-incidente tiene mayor impacto que cualquier charla teórica.

Los 5 módulos mínimos que debe incluir tu programa

Módulo 1: ¿Qué son los datos personales? (30 minutos)

  • Definición y ejemplos prácticos en el contexto de la empresa
  • Diferencia entre datos personales y datos sensibles
  • Por qué la ley los protege y qué pasa si no se protegen
  • Quiz de verificación de comprensión

Módulo 2: Derechos de los titulares y cómo responderlos (45 minutos)

  • Derechos ARCO+P explicados con ejemplos reales
  • Qué hacer si un cliente o empleado ejerce un derecho
  • Plazos: 10 días hábiles para responder
  • Casos prácticos: cómo gestionar cada tipo de solicitud

Módulo 3: Seguridad básica en el manejo de datos (60 minutos)

  • Contraseñas seguras y gestores de contraseñas
  • Autenticación multifactor
  • Cómo compartir datos de forma segura (cifrado, no WhatsApp para datos sensibles)
  • Dispositivos móviles y trabajo remoto
  • Qué es un incidente de seguridad y cómo reportarlo

Módulo 4: Phishing y concienciación ante amenazas (45 minutos)

  • Cómo funciona el phishing y sus variantes
  • Señales de alerta en correos y mensajes
  • Simulacro práctico (o referencia a los simulacros regulares)
  • Qué hacer si caes en un phishing: reportar inmediatamente, no intentar resolverlo solo

Módulo 5: Responsabilidades específicas del rol (variable)

  • RRHH: tratamiento de datos de empleados, eliminación de datos al término de contrato
  • Marketing: consent management, opt-outs, bases legales del marketing directo
  • TI: seguridad técnica, gestión de proveedores, logs de auditoría
  • Comercial: CRM, datos de clientes, transferencias entre áreas

Cómo evidenciar la capacitación ante la Agencia

La evidencia es tan importante como la capacitación misma. La Agencia puede solicitar demostrar que el programa existe y que se ejecuta. Necesitas conservar:

  • Registros de asistencia o completación de cursos (nombre, fecha, módulo, resultado)
  • Resultados de evaluaciones (quizzes o tests de comprensión)
  • Firmados de compromiso de confidencialidad de cada empleado
  • Materiales de capacitación actualizados (versión vigente)
  • Evidencia de simulacros de phishing (tasas de clics, acciones correctivas)

Con Askesis, todos estos registros se generan automáticamente: el sistema registra el progreso de cada empleado por curso, genera certificados de completación verificables con QR, y el administrador puede exportar el historial completo desde el panel de reportes.

El error más común: capacitar una vez y olvidar

La privacidad no es un proyecto con fecha de fin: es un proceso continuo. Las organizaciones que más incidentes sufren son las que hicieron una capacitación en el lanzamiento y nunca la repitieron.

Los problemas que más frecuentemente se ven:

  • Nuevos empleados que no recibieron inducción en privacidad
  • Cambios en los sistemas o procesos que no fueron comunicados al equipo
  • Empleados que "se olvidaron" de las reglas básicas por falta de refuerzo
  • Rotación de personal que genera brechas de conocimiento

La solución es simple: automatizar el programa. Los módulos de Askesis permiten asignar cursos automáticamente a los nuevos empleados al registrarse, programar recordatorios para la capacitación anual y gestionar el seguimiento desde un solo panel.

Conclusión

La capacitación no es un gasto de cumplimiento: es una inversión en reducción de riesgo. Un empleado que entiende por qué los datos personales importan y qué conductas generan riesgos legales es la mejor defensa contra infracciones costosas y brechas de seguridad.

La Ley 21.719 lo pide explícitamente, pero más allá de la obligación legal, es sentido común empresarial. El 91% de los incidentes de seguridad involucra error humano. La tecnología puede hacer mucho, pero el eslabón más fuerte de la cadena de seguridad es un equipo educado.

Askesis incluye 104 cursos en 18 módulos diseñados específicamente para la realidad de las empresas chilenas, con tracks de capacitación por rol y certificados verificables. Regístrate gratis y asigna los primeros cursos a tu equipo en menos de 10 minutos.

Temas relacionados:

capacitación ley protección datos empleadoscapacitación ley 21719capacitación protección datos personales chileentrenamiento ciberseguridad empresa

¿Quieres saber qué tan preparada está tu empresa?

Realiza el análisis de brecha Ley 21.719 gratuito de Askesis y obtén un diagnóstico en menos de 10 minutos.

Hacer el análisis gratis
Volver al blog