Volver a los 4 casos
Caso 2 · Plataforma SaaS

SaaS: cuando eres responsable y encargado al mismo tiempo

Tu plataforma tiene datos propios (las cuentas que se registran) y datos ajenos (lo que tus clientes empresa suben sobre sus propios usuarios). La Ley 21.719 te trata distinto en cada caso, y tus subprocesadores de nube — casi todos fuera de Chile — entran directo al radar de las transferencias internacionales.

AWS / GCP Stripe SendGrid Intercom Modelos de IA propios o de terceros
Mapa de datos

Datos propios vs. datos de tus clientes empresa

La columna "base legal" cambia según si el dato es tuyo (relación directa con quien se registra) o es del cliente que contrató tu producto para sus propios usuarios.

Dato personalSensibilidadFinalidadBase legalDónde vive
Cuenta del cliente que se registra (nombre, email, empresa) Normal Gestión de la cuenta y facturación Ejecución de contrato Base de datos propia
Datos que un cliente empresa sube sobre sus propios usuarios Depende del cliente Prestar el servicio contratado por el cliente El cliente la define — tú eres encargado Base de datos multi-tenant
Datos de pago (tarjeta, facturación) Crítico, no sensible per se Cobro de la suscripción Ejecución de contrato Stripe (tokenizado)
Logs de uso y analítica de producto Normal Mejorar el producto, soporte técnico Interés legítimo Analítica interna, seudonimizada
Resultado de features con IA/ML (scoring, recomendaciones) Puede ser perfilamiento Personalizar o decidir automáticamente Revisar Art. 8° bis caso a caso Modelo propio o API de terceros
Obligaciones específicas

Lo que la Ley 21.719 exige a un SaaS

Muchas de estas exigencias ya deberían estar en tu roadmap de seguridad — la ley les pone plazos y consecuencias.

Doble rol: responsable y encargado

Para tu propia base de cuentas eres responsable. Para los datos que un cliente sube sobre sus usuarios, eres encargado — necesitas un DPA claro por cada cliente empresa.

"El responsable puede efectuar el tratamiento de datos en forma directa o a través de un tercero mandatario o encargado (...) El encargado no podrá delegar parte o la totalidad del encargo, salvo que conste una autorización específica y por escrito del responsable. (...) La Agencia pondrá a disposición del público modelos tipo de contratos en su página web."— Ley 21.719, Art. 15 bis

Privacidad desde el diseño

Aislamiento de datos por tenant desde la arquitectura, no como parche posterior. Configuración por defecto restrictiva (opt-in, no opt-out).

"(...) el responsable debe aplicar medidas técnicas y organizativas adecuadas desde el diseño con anterioridad y durante el tratamiento de los datos personales. Las medidas a aplicar deberán tener en consideración el estado de la técnica; los costos de implementación; la naturaleza, ámbito, contexto y fines del tratamiento de datos; así como los riesgos asociados a dicha actividad."— Ley 21.719, Art. 14 quáter

Seguridad técnica

Cifrado en tránsito y reposo, RBAC, pentesting periódico, backups probados y capacidad de restaurar rápido tras un incidente.

"a) La seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico."— Ley 21.719, Art. 14 quinquies

Brechas de seguridad

Un incidente en un SaaS multi-tenant puede afectar a decenas de clientes a la vez. Necesitas runbook y plazos de notificación ya definidos.

"El responsable deberá reportar a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares."— Ley 21.719, Art. 14 sexies

DPIA para features de alto riesgo

Scoring, recomendadores o cualquier decisión automatizada con efecto significativo requiere evaluación de impacto antes de lanzar.

"Cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto, tecnología utilizada o fines, pueda producir un alto riesgo para los derechos de las personas titulares de los datos personales, el responsable del tratamiento deberá realizar, previo al inicio de las operaciones del tratamiento, una evaluación del impacto en protección de datos personales."— Ley 21.719, Art. 15 ter

Derechos ARCOP+ vía API

Exportar, rectificar o eliminar cuenta debe poder resolverse en autoservicio o con un proceso documentado de máximo 30 días.

"Toda persona, actuando por sí o a través de su representante legal o mandatario, según corresponda, tiene derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos personales, de conformidad a la presente ley." (Art. 4°) — "Los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz." (Art. 10°)— Ley 21.719, Arts. 4° y 10°
Diagrama de flujo

Arquitectura multi-tenant, con los controles marcados

El dato viaja del usuario final a tu base de datos, y de ahí a un conjunto de subprocesadores. Cada salto necesita su propio control.

Usuario final Se registra o usa una cuenta de un cliente empresa App SaaS Multi-tenant, aislamiento por cliente desde el diseño Base de datos Cifrada en tránsito y en reposo Subprocesadores Stripe, SendGrid, AWS, Intercom (mayoría fuera de Chile) Panel admin/soporte Acceso interno con logs de auditoría Aislamiento por tenant Ningún cliente ve datos de otro (Art. 14 quáter) Cifrado + seudonimización Claves gestionadas (KMS), logs seudonimizados DPA por subprocesador Con ubicación de servidores documentada Acceso limitado y auditado "Impersonation logging" y necesidad de saber

Al terminar un contrato (offboarding): los datos del cliente deben suprimirse o devolverse, según el DPA — no basta con desactivar la cuenta. Automatiza un job de borrado con un plazo definido (ej. 30 días tras el offboarding).

Responsabilidades por relación

¿Qué te exige la ley según con quién te relacionas?

No es una sola responsabilidad — es una distinta con cada grupo de personas con las que te relacionas: tu equipo, tus proveedores y tus clientes. Aquí está cada una, explicada simple.

Tu SaaS Trabajadores Confidencialidad y acceso interno Proveedores DPA con cada subprocesador cloud Clientes / titulares Transparencia y derechos ARCOP+

Con tus trabajadores

Confidencialidad de los datos de tus clientes

Quien de tu equipo acceda a datos de un cliente para dar soporte firma un compromiso de confidencialidad, vigente incluso después de dejar la empresa.

"El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular. (...) El responsable debe adoptar las medidas necesarias con el objeto que sus dependientes o las personas naturales o jurídicas que ejecuten operaciones de tratamiento de datos bajo su responsabilidad, cumplan el deber de secreto o confidencialidad establecidos en este artículo."— Ley 21.719, Art. 14 bis
Acceso interno bajo el principio de necesidad

RBAC y logs: un ingeniero solo accede a los datos que necesita para resolver el ticket, no a toda la base.

"a) La seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento."— Ley 21.719, Art. 14 quinquies

Con tus proveedores

DPA con cada subprocesador

Cada proveedor cloud que toca datos de tus clientes (hosting, email, analítica) necesita su propio contrato de encargo.

"El responsable puede efectuar el tratamiento de datos en forma directa o a través de un tercero mandatario o encargado (...) quedándole prohibido su tratamiento para un objeto distinto del convenido con el responsable, así como su cesión o entrega en los casos en que el responsable no lo haya autorizado de manera expresa (...)."— Ley 21.719, Art. 15 bis
Eliminar o devolver datos al cambiar de subprocesador

Si dejas de usar un proveedor, los datos que quedaron en su poder deben eliminarse o devolverse.

"Cumplida la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda."— Ley 21.719, Art. 15 bis

Con tus clientes y sus usuarios

Transparencia sobre quién trata los datos

Tus clientes — y los usuarios de tus clientes — deben poder ver qué subprocesadores tocan sus datos.

"El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información: (...) Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento (...) En su caso, la transferencia de datos personales a un tercer país u organización internacional y si éstos ofrecen o no un nivel adecuado de protección."— Ley 21.719, Art. 14 ter, letras d) y h)
Derechos ARCOP+ vía autoservicio

Exportar, rectificar o eliminar la cuenta, resuelto en autoservicio o en un plazo máximo de 30 días.

"Toda persona, actuando por sí o a través de su representante legal o mandatario, según corresponda, tiene derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos personales, de conformidad a la presente ley." (Art. 4°) — "Los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz." (Art. 10°)— Ley 21.719, Arts. 4° y 10°
Checklist técnico

Ruta de cumplimiento, paso a paso

En el orden en que normalmente se resuelve: primero lo legal, luego la configuración técnica, después la operación día a día. Marca cada punto a medida que lo implementes.

0/9 pasos completados
1

Fundamentos legales

Antes de tratar el primer dato
  • Mapa de subprocesadores documentadoNombre, función, país donde procesan datos y estado del DPA — publicado o disponible bajo solicitud.
    "El responsable puede efectuar el tratamiento de datos en forma directa o a través de un tercero mandatario o encargado (...) El encargado no podrá delegar parte o la totalidad del encargo, salvo que conste una autorización específica y por escrito del responsable. (...) La Agencia pondrá a disposición del público modelos tipo de contratos en su página web."— Ley 21.719, Art. 15 bis
  • DPA firmado con cada cliente empresa (encargado)Distinto del mapa de subprocesadores: aquí tú eres el encargado, y el cliente empresa es quien define el objeto del tratamiento.
    "En este último caso, el tercero mandatario o encargado realiza el tratamiento de datos personales conforme al encargo y a las instrucciones que le imparta el responsable (...) En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes."— Ley 21.719, Art. 15 bis
  • DPIA integrado al proceso de lanzamientoChecklist obligatorio antes de lanzar features de IA, scoring o decisiones automatizadas.
    "Cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto, tecnología utilizada o fines, pueda producir un alto riesgo para los derechos de las personas titulares de los datos personales, el responsable del tratamiento deberá realizar, previo al inicio de las operaciones del tratamiento, una evaluación del impacto en protección de datos personales."— Ley 21.719, Art. 15 ter
2

Configuración técnica

Cómo se construye en la plataforma
  • Aislamiento de datos por tenant desde el diseñoCada cliente empresa ve solo lo suyo, desde la arquitectura — no como parche posterior.
    "(...) el responsable debe aplicar medidas técnicas y organizativas adecuadas desde el diseño con anterioridad y durante el tratamiento de los datos personales. Las medidas a aplicar deberán tener en consideración el estado de la técnica; los costos de implementación; la naturaleza, ámbito, contexto y fines del tratamiento de datos; así como los riesgos asociados a dicha actividad."— Ley 21.719, Art. 14 quáter
  • Endpoints self-service de exportación y borradoExportar en JSON y eliminar cuenta, o un proceso documentado que responda en máximo 30 días.
    "El titular de datos tiene derecho a solicitar y recibir una copia de los datos personales que le conciernen (...) en un formato electrónico estructurado, genérico y de uso común, que permita ser operado por distintos sistemas (...) Los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz."— Ley 21.719, Arts. 9 y 10
  • Cifrado + gestión de llaves (KMS)En tránsito y en reposo, con rotación de llaves y seudonimización de logs/analítica.
    "a) La seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico."— Ley 21.719, Art. 14 quinquies
  • Logging de acceso admin/soporteModo "impersonation" auditable: quién vio qué cuenta, cuándo y por qué.
    "(...) el responsable de datos deberá aplicar medidas técnicas y organizativas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales específicos y estrictamente necesarios para dicha actividad. Para ello, se tendrá en consideración el número de datos recogidos, la extensión del tratamiento, el plazo de conservación y su accesibilidad."— Ley 21.719, Art. 14 quáter
3

Operación y mantención

El trabajo del día a día
  • Runbook de incidentes de seguridadPlantillas de notificación a la Agencia y a los clientes afectados, con plazos ya definidos.
    "El responsable deberá reportar a la Agencia, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable para los derechos y libertades de los titulares."— Ley 21.719, Art. 14 sexies
  • TTL de retención y borrado en el offboardingJob automatizado que elimina o devuelve los datos del cliente al terminar el contrato.
    "Cumplida la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda."— Ley 21.719, Art. 15 bis
Riesgos de no cumplir

Lo que está en juego

Infracción grave

Medidas de seguridad insuficientes o no reportar una brecha a tiempo: hasta 10.000 UTM.

Infracción gravísima

Usar datos de un cliente para fines propios sin autorización (ej. entrenar un modelo con su base): hasta 20.000 UTM o 2–4% de ingresos.

Riesgo comercial

Clientes enterprise piden el DPA y evidencia de cumplimiento antes de firmar. Sin esto, pierdes negociaciones B2B.