Tu plataforma tiene datos propios (las cuentas que se registran) y datos ajenos (lo que tus clientes empresa suben sobre sus propios usuarios). La Ley 21.719 te trata distinto en cada caso, y tus subprocesadores de nube — casi todos fuera de Chile — entran directo al radar de las transferencias internacionales.
La columna "base legal" cambia según si el dato es tuyo (relación directa con quien se registra) o es del cliente que contrató tu producto para sus propios usuarios.
| Dato personal | Sensibilidad | Finalidad | Base legal | Dónde vive |
|---|---|---|---|---|
| Cuenta del cliente que se registra (nombre, email, empresa) | Normal | Gestión de la cuenta y facturación | Ejecución de contrato | Base de datos propia |
| Datos que un cliente empresa sube sobre sus propios usuarios | Depende del cliente | Prestar el servicio contratado por el cliente | El cliente la define — tú eres encargado | Base de datos multi-tenant |
| Datos de pago (tarjeta, facturación) | Crítico, no sensible per se | Cobro de la suscripción | Ejecución de contrato | Stripe (tokenizado) |
| Logs de uso y analítica de producto | Normal | Mejorar el producto, soporte técnico | Interés legítimo | Analítica interna, seudonimizada |
| Resultado de features con IA/ML (scoring, recomendaciones) | Puede ser perfilamiento | Personalizar o decidir automáticamente | Revisar Art. 8° bis caso a caso | Modelo propio o API de terceros |
Muchas de estas exigencias ya deberían estar en tu roadmap de seguridad — la ley les pone plazos y consecuencias.
Para tu propia base de cuentas eres responsable. Para los datos que un cliente sube sobre sus usuarios, eres encargado — necesitas un DPA claro por cada cliente empresa.
Aislamiento de datos por tenant desde la arquitectura, no como parche posterior. Configuración por defecto restrictiva (opt-in, no opt-out).
Cifrado en tránsito y reposo, RBAC, pentesting periódico, backups probados y capacidad de restaurar rápido tras un incidente.
Un incidente en un SaaS multi-tenant puede afectar a decenas de clientes a la vez. Necesitas runbook y plazos de notificación ya definidos.
Scoring, recomendadores o cualquier decisión automatizada con efecto significativo requiere evaluación de impacto antes de lanzar.
Exportar, rectificar o eliminar cuenta debe poder resolverse en autoservicio o con un proceso documentado de máximo 30 días.
El dato viaja del usuario final a tu base de datos, y de ahí a un conjunto de subprocesadores. Cada salto necesita su propio control.
Al terminar un contrato (offboarding): los datos del cliente deben suprimirse o devolverse, según el DPA — no basta con desactivar la cuenta. Automatiza un job de borrado con un plazo definido (ej. 30 días tras el offboarding).
No es una sola responsabilidad — es una distinta con cada grupo de personas con las que te relacionas: tu equipo, tus proveedores y tus clientes. Aquí está cada una, explicada simple.
Quien de tu equipo acceda a datos de un cliente para dar soporte firma un compromiso de confidencialidad, vigente incluso después de dejar la empresa.
RBAC y logs: un ingeniero solo accede a los datos que necesita para resolver el ticket, no a toda la base.
Cada proveedor cloud que toca datos de tus clientes (hosting, email, analítica) necesita su propio contrato de encargo.
Si dejas de usar un proveedor, los datos que quedaron en su poder deben eliminarse o devolverse.
Tus clientes — y los usuarios de tus clientes — deben poder ver qué subprocesadores tocan sus datos.
Exportar, rectificar o eliminar la cuenta, resuelto en autoservicio o en un plazo máximo de 30 días.
En el orden en que normalmente se resuelve: primero lo legal, luego la configuración técnica, después la operación día a día. Marca cada punto a medida que lo implementes.
Medidas de seguridad insuficientes o no reportar una brecha a tiempo: hasta 10.000 UTM.
Usar datos de un cliente para fines propios sin autorización (ej. entrenar un modelo con su base): hasta 20.000 UTM o 2–4% de ingresos.
Clientes enterprise piden el DPA y evidencia de cumplimiento antes de firmar. Sin esto, pierdes negociaciones B2B.