"¿Qué tengo que hacer exactamente para cumplir la Ley 21.719?" Esta es la pregunta que importa, y la respuesta cabe en una lista. Estas son las obligaciones concretas que tu empresa debe tener listas antes de que la Agencia empiece a fiscalizar.
Las obligaciones de la Ley 21.719, una por una
La Ley 21.719 impone deberes claros a quien trata datos personales. No son sugerencias: son exigibles y fiscalizables. Aquí van las siete obligaciones centrales que toda organización debe cubrir.
1. Mantener un Registro de Actividades de Tratamiento (RAT)
El RAT es el inventario formal de todos los tratamientos de datos que hace tu empresa. Por cada tratamiento debe indicar finalidad, categorías de datos y de titulares, destinatarios, transferencias internacionales y plazos de conservación. Debe estar actualizado y disponible para la Agencia. Suele ser lo primero que pide un fiscalizador.
2. Tener una base legal para cada tratamiento
No puedes tratar datos "porque sí". Cada uso necesita una base de licitud: consentimiento, contrato, obligación legal, interés vital o interés legítimo. Tratar datos sin base legal es una infracción que puede calificarse como grave.
3. Garantizar los derechos ARCO+ de los titulares
Las personas pueden exigir acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos. Tu empresa debe habilitar un canal para recibir y resolver esas solicitudes dentro del plazo legal (las fuentes citan plazos de entre 15 días hábiles y 30 días corridos — verificar el plazo exacto en el reglamento).
4. Notificar las brechas de seguridad
Si ocurre una vulneración que afecte datos personales, debes notificarla a la Agencia y, cuando corresponda, a los titulares afectados. El plazo más citado es de 72 horas a la autoridad (verificar en el reglamento definitivo). Por eso necesitas un procedimiento que defina quién detecta, evalúa y comunica.
5. Designar un Delegado de Protección de Datos (DPO) cuando corresponda
La figura del DPO es obligatoria en ciertos casos —típicamente organismos públicos y empresas que tratan datos sensibles o a gran escala como actividad principal (verificar los supuestos exactos)—. En el resto de los casos es voluntaria, pero recomendable: reduce el riesgo regulatorio y ordena la gestión.
6. Hacer Evaluaciones de Impacto (EIPD) en tratamientos de alto riesgo
Antes de iniciar un tratamiento que implique alto riesgo para los derechos de las personas, debes realizar una Evaluación de Impacto en Protección de Datos. Esta documenta los riesgos, las medidas de mitigación y la justificación del tratamiento.
7. Aplicar medidas de seguridad acordes al riesgo
Debes proteger los datos con medidas técnicas y organizativas proporcionales al riesgo. Si tu empresa ya tiene un sistema de gestión de seguridad (por ejemplo, ISO 27001), cubre buena parte de este requisito.
Resumen visual de las obligaciones
| Obligación | Qué debes tener listo |
|---|---|
| RAT | Inventario actualizado de tratamientos |
| Base legal | Justificación legal por cada tratamiento |
| Derechos ARCO+ | Canal y procedimiento de respuesta |
| Brechas | Protocolo de detección y notificación |
| DPO | Designación cuando aplique |
| EIPD | Evaluación en tratamientos de alto riesgo |
| Seguridad | Medidas técnicas y organizativas |
Conclusión
Las obligaciones de la Ley 21.719 se resumen en una idea: saber qué datos tienes, justificarlos, protegerlos y poder demostrarlo. Tener esta lista resuelta antes de diciembre de 2026 es la diferencia entre una fiscalización tranquila y una multa. Puedes revisar qué obligaciones ya cumple tu empresa acá.