"¿Qué papeles tengo que tener listos?" Es la pregunta práctica que toda empresa se hace antes de la fiscalización. La Ley 21.719 se basa en demostrar el cumplimiento con documentos, no con buenas intenciones. Esta es la lista completa de lo que deberías tener preparado.
Qué documentos exige la Ley 21.719
La Ley 21.719 se apoya en el principio de responsabilidad proactiva: no basta con cumplir, hay que poder demostrarlo. Por eso la documentación es central. Estos son los documentos clave que tu empresa debe tener listos y actualizados.
La lista completa de documentos
- Registro de Actividades de Tratamiento (RAT): el inventario de todos tus tratamientos de datos. Es el documento más importante y el primero que pide la Agencia.
- Registro de bases legales: la justificación legal (consentimiento, contrato, obligación legal, interés legítimo) de cada tratamiento.
- Registro de consentimientos: evidencia de cuándo, cómo y para qué cada persona autorizó el uso de sus datos.
- Contratos de encargo (DPA): con cada proveedor que trata datos por cuenta tuya (SaaS, call center, agencias).
- Política de privacidad: clara y específica, no genérica, que informe a los titulares sobre el tratamiento.
- Evaluaciones de Impacto (EIPD): para los tratamientos de alto riesgo que lo requieran.
- Registro de brechas: documentación de incidentes de seguridad y de su notificación.
- Procedimiento de derechos ARCO+: el flujo documentado para atender solicitudes de los titulares.
- Designación del DPO: cuando la designación sea obligatoria o se haya hecho voluntariamente.
Tabla resumen: documento y para qué sirve
| Documento | Para qué sirve |
|---|---|
| RAT | Demostrar qué datos tratas y para qué |
| Bases legales | Justificar legalmente cada tratamiento |
| Registro de consentimientos | Probar que el consentimiento fue válido |
| Contratos de encargo | Regular a los proveedores que tratan tus datos |
| Política de privacidad | Informar a los titulares |
| EIPD | Documentar riesgos en tratamientos de alto riesgo |
| Registro de brechas | Acreditar la gestión y notificación de incidentes |
Por dónde partir si no tienes nada
Si tu empresa parte de cero, el orden lógico es:
- El RAT primero: sin saber qué datos tratas, no puedes hacer el resto.
- Las bases legales: asigna una a cada tratamiento del RAT.
- Los contratos de encargo: revisa y formaliza con tus proveedores.
- La política de privacidad y el procedimiento ARCO+: lo que ve y usa el público.
- Los procedimientos de brechas y EIPD: para estar listo ante incidentes y proyectos de riesgo.
Conclusión
La Ley 21.719 exige una carpeta de documentos —RAT, bases legales, consentimientos, contratos, políticas y registros— que demuestren tu cumplimiento ante la Agencia. Tenerlos listos y actualizados es lo que convierte una fiscalización en un trámite y no en una multa. Puedes armar toda tu documentación de cumplimiento acá.