Un acuerdo de privacidad de datos empresarial en Chile es el instrumento contractual mediante el cual dos o más organizaciones regulan cómo se recopilarán, tratarán y custodiarán los datos personales que compartan en el marco de una relación comercial. Con la publicación de la Ley 21.719 en diciembre de 2024 —que entra en plena vigencia el 1 de diciembre de 2026—, contar con este documento dejó de ser una buena práctica opcional para convertirse en un requisito de cumplimiento que toda empresa chilena debe preparar con anticipación.
Legal basis: Ley 21.719/2024 (Ley de Protección de Datos Personales); Ley 19.628/1999
acuerdo privacidad datos empresa chile — free, fillable template; download as PDF or Word.
Qué es un acuerdo de privacidad de datos entre empresas
Cuando dos empresas intercambian información que identifica o hace identificable a personas naturales —clientes, empleados, proveedores— se produce un flujo de datos personales que la ley chilena somete a reglas específicas. El acuerdo de privacidad de datos empresarial, también conocido como acuerdo de tratamiento de datos o data processing agreement, es el contrato que formaliza ese flujo: determina quién actúa como responsable del tratamiento, quién como encargado, y cuáles son las obligaciones de cada parte respecto a la información recibida.
La Ley 19.628/1999 fue el primer marco legal que estableció en Chile la distinción entre el titular de los datos y quien los trata. La Ley 21.719/2024 modernizó ese esquema, incorporando principios como la minimización de datos, la limitación de finalidad y la seguridad activa, todos ellos con impacto directo en el contenido mínimo que debe tener un contrato de este tipo. Sin un acuerdo escrito, cada empresa queda expuesta a responsabilidades indeterminadas frente a los titulares de los datos y ante la autoridad de control.
Cuándo se necesita este acuerdo
La obligación de formalizar el tratamiento compartido de datos surge en situaciones cotidianas del mundo empresarial chileno. Una empresa que contrata un proveedor de software en la nube para gestionar nóminas está entregando datos personales de sus trabajadores a un tercero. Una firma que encarga a una agencia de marketing el envío de correos a su base de clientes transmite datos personales sensibles para la relación comercial. Un franquiciador que comparte su base de contactos con franquiciados lo hace también en ese mismo ámbito.
En todos esos casos, la Ley 21.719 —ya publicada y con obligaciones de preparación activas durante el período de transición— exige que exista una base de licitud para el tratamiento y que las partes definan contractualmente sus roles. El acuerdo resulta imprescindible cuando se verifica al menos uno de estos escenarios: transferencia de bases de datos con información de clientes o empleados, subcontratación de servicios que impliquen acceso a datos personales, intercambio de información entre empresas del mismo grupo corporativo, y colaboraciones entre organizaciones que compartan infraestructura tecnológica o sistemas de gestión.
También corresponde suscribir este tipo de acuerdo antes de toda transferencia internacional de datos, es decir, cuando los datos de titulares chilenos van a ser tratados en el extranjero, supuesto que la Ley 21.719/2024 regula de manera expresa.
Cláusulas esenciales que debe contener
Un acuerdo de privacidad de datos empresarial bien redactado debe abordar, como mínimo, los siguientes elementos:
Identificación de las partes y sus roles. El contrato debe señalar con precisión qué empresa actúa como responsable del tratamiento —quien determina los fines y medios— y cuál asume el rol de encargado —quien trata los datos por cuenta del responsable—. La confusión de roles es una de las fuentes más frecuentes de incumplimiento.
Descripción del tratamiento. Una cláusula descriptiva debe detallar la naturaleza de los datos que se comparten, las categorías de titulares afectados, la finalidad del tratamiento y el período durante el cual los datos serán tratados. La Ley 21.719/2024 refuerza el principio de limitación de finalidad: los datos no pueden usarse para propósitos distintos al declarado.
Instrucciones del responsable al encargado. El encargado sólo puede tratar los datos siguiendo las instrucciones documentadas del responsable. Cualquier tratamiento fuera de ese marco hace al encargado responsable directo frente al titular y la autoridad.
Medidas de seguridad. Ambas partes deben comprometerse a implementar salvaguardas técnicas y organizativas apropiadas al nivel de riesgo que supone el tratamiento. La ley no prescribe medidas específicas de carácter universal, pero sí obliga a adoptar un enfoque activo y proporcional.
Subcontratación. Si el encargado prevé subcontratar parte del tratamiento a un tercero, el acuerdo debe regular expresamente esa posibilidad, la exigencia de autorización previa del responsable y la extensión de las obligaciones de privacidad al subencargado.
Derechos de los titulares. El contrato debe establecer cómo colaborarán las partes para atender las solicitudes de acceso, rectificación, cancelación u oposición que puedan presentar los titulares de los datos.
Notificación de incidentes. Ante una brecha de seguridad o filtración de datos, el encargado debe comunicar el incidente al responsable en un plazo acotado para que este pueda cumplir sus obligaciones legales de notificación. La Ley 21.719/2024 impone deberes de notificación tanto a la autoridad como, en ciertos casos, a los propios titulares afectados.
Devolución o destrucción de datos. Al término de la relación contractual, el acuerdo debe prever que el encargado devuelva o destruya los datos recibidos, sin conservar copias salvo que la ley exija lo contrario.
Cómo completar el acuerdo paso a paso
El proceso de redacción y firma de un acuerdo de este tipo no requiere notaría ni trámite registral en la mayoría de los casos, pero sí demanda atención a cada campo del documento. Un punto de partida práctico es usar la plantilla disponible en Acuerdo de Privacidad de Datos Empresa Chile, que guía al usuario a través de las secciones obligatorias.
Al completar el documento, conviene seguir este orden:
Primero, identificar con exactitud el tipo de datos que se compartirán. No es lo mismo transferir un listado de correos electrónicos que entregar historiales de salud o información financiera; el nivel de cuidado exigido varía según la categoría.
Segundo, definir con claridad los roles de cada parte antes de redactar las cláusulas operativas. Una empresa puede ser responsable en algunos flujos y encargada en otros dentro de la misma relación; esa dualidad debe reflejarse con precisión.
Tercero, adaptar las instrucciones de tratamiento a la operación concreta. Las cláusulas genéricas o copiadas sin adaptación no cumplen el propósito legal ni protegen adecuadamente a las partes.
Cuarto, verificar que las medidas de seguridad comprometidas sean factibles y ya estén implementadas o en proceso de implementación. Prometer en un contrato lo que no se cumple agrava la responsabilidad en caso de incidente.
Quinto, firmar el acuerdo con fecha anterior o simultánea al inicio del tratamiento compartido. Formalizar el documento después de que los datos ya circulan es una irregularidad que puede agravarse si ocurre un incidente durante ese período sin cobertura contractual.
Errores frecuentes que conviene evitar
La práctica habitual revela patrones de error que se repiten con independencia del tamaño de la empresa.
Confundir el acuerdo de confidencialidad con el acuerdo de tratamiento de datos. Un NDA protege información confidencial del negocio; el acuerdo de privacidad regula el tratamiento de datos personales de terceros. Muchas empresas presentan un NDA como si cubriera ambas funciones, cuando en realidad deja al descubierto todo el régimen de la Ley 21.719/2024.
No actualizar el acuerdo cuando cambia la operación. Si una empresa amplía el alcance del servicio contratado y ese servicio implica acceso a nuevas categorías de datos, el acuerdo original puede quedar desactualizado. Cada cambio relevante en el tratamiento debe reflejarse en el documento o en un anexo firmado.
Ignorar la cláusula de subcontratación. Muchos encargados subcontratan procesamiento de datos —servidores, soporte técnico, análisis— sin que el responsable lo sepa ni lo haya autorizado. Ese silencio genera responsabilidades para el encargado y pone en riesgo al responsable frente a los titulares.
Omitir el protocolo de respuesta ante incidentes. Un acuerdo que no define tiempos ni procedimientos para la comunicación de brechas de seguridad deja a las partes sin hoja de ruta en el peor momento posible. La Ley 21.719/2024 establece un deber de notificación que no admite improvisación.
Tratar el acuerdo como un trámite burocrático. Quizás el error más extendido sea firmar el documento sin leerlo ni comprender sus implicancias operativas. Un acuerdo de privacidad bien ejecutado es una herramienta de gestión de riesgo; ignorarlo convierte un requisito legal en una obligación en papel que no protege a nadie.
La publicación de la Ley 21.719 en diciembre de 2024 marcó un punto de inflexión en la forma en que el derecho chileno trata la privacidad de datos en el ámbito empresarial. Con su plena entrada en vigencia fijada para el 1 de diciembre de 2026, las organizaciones que ya cuentan con acuerdos de tratamiento actualizados no solo se adelantan al cumplimiento: construyen relaciones comerciales sobre bases más transparentes y sostenibles.
Need the document itself? Download the free template →
This article is general information, not legal advice — see our accuracy & editorial policy. Confirm the cited law is current before relying on it.