Evaluación de Impacto DPIA / EIPD — Ley 21.719 | KLG Technology

Ley 21.719 · Art. 14 quater — Protección desde el diseño

Evaluación de impacto
(DPIA / EIPD):
obligatoria en tratamientos
de alto riesgo.

La Ley 21.719 exige realizar una Evaluación de Impacto en Protección de Datos (EIPD o DPIA) antes de iniciar cualquier tratamiento que pueda representar un alto riesgo para los derechos y libertades de los titulares. Es preventiva, obligatoria y su documentación es exigible ante la APDP en cualquier momento.

Vigente 1 dic. 2026 · Obligatoria antes de iniciar el tratamiento

Aplica a datos sensibles y tratamientos de alto riesgo

Si el riesgo persiste: consulta previa obligatoria a la APDP

Artículo 14 quater — Protección desde el diseño y por defecto · Ley N° 21.719

"Con la finalidad de cumplir los principios y los derechos de los titulares establecidos en esta ley, el responsable debe aplicar medidas técnicas y organizativas adecuadas desde el diseño con anterioridad y durante el tratamiento de los datos personales. Cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de los titulares, el responsable deberá realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales."

Fuente oficial: Ley 21.719 · Biblioteca del Congreso Nacional de Chile ↗

Los cuatro componentes obligatorios de la EIPD

¿Qué debe contener una EIPD según la Ley 21.719?

La ley no define la EIPD como un documento genérico de riesgo. Exige que el responsable detalle cuatro componentes específicos que deben estar documentados, analizados y disponibles ante la APDP.

01

Descripción del tratamiento

Documentar la naturaleza, alcance, contexto, fines y tecnologías involucradas

El primer componente obliga a describir exhaustivamente el tratamiento proyectado: qué datos se tratan, con qué finalidad, quiénes tienen acceso, qué tecnologías se utilizan y en qué contexto organizacional se enmarca.

Naturaleza de los datos: categorías, volumen, origen y flujos del ciclo de vida del dato
Alcance y contexto: universo de titulares afectados, segmentos etarios, vulnerabilidades de los titulares
Fines y base legal: finalidad declarada, base de licitud y relación con los principios del art. 3°
Tecnologías y sistemas: plataformas, proveedores, modelos de IA, herramientas de perfilamiento
Flujo de datos: mapa completo desde la recoleción hasta la eliminación, incluyendo terceros y transferencias internacionales

02

Evaluación de necesidad y proporcionalidad

Demostrar que el tratamiento es necesario, adecuado y proporcional a su fin

El responsable debe justificar que el tratamiento es genuinamente necesario para el fin declarado y que no existe una alternativa menos invasiva que alcance el mismo objetivo con menor riesgo para los titulares.

Análisis de necesidad: ¿es estrictamente necesario tratar estos datos para este fin?
Análisis de proporcionalidad: ¿los medios empleados son proporcionales al objetivo perseguido?
Alternativas evaluadas: documentación de las opciones menos invasivas que fueron consideradas y descartadas
Minimización: acreditación de que solo se tratan los datos estrictamente necesarios (principio art. 3°)
Coherencia con la finalidad: verificación de que el tratamiento no excede los fines informados al titular

03

Identificación y análisis de riesgos

Evaluar probabilidad e impacto de cada riesgo sobre los derechos de los titulares

El núcleo de la EIPD es el análisis sistémico de riesgos para los titulares. No son riesgos para la organización, sino riesgos para las personas: discriminación, pérdida de control, daño económico, violación de intimidad.

Identificación de escenarios de riesgo: acceso no autorizado, uso indebido, discriminación, pérdida de datos
Valoración de probabilidad e impacto para cada escenario identificado
Matriz de riesgo residual: nivel de riesgo antes y después de aplicar controles
Análisis diferenciado para datos sensibles: salud, biométricos, origen étnico, ideología, orientación sexual
Evaluación de riesgos de los sistemas automatizados y perfilamiento incluidos en el tratamiento

04

Medidas de mitigación y salvaguardas

Diseñar e implementar controles que reduzcan los riesgos a niveles aceptables

Por cada riesgo identificado, la EIPD debe definir medidas concretas de mitigación. Si después de aplicar todas las medidas posibles el riesgo continúa siendo alto, el responsable debe consultar previamente a la APDP antes de iniciar el tratamiento.

Medidas técnicas: cifrado, seudonimización, control de accesos, minimización de datos, retención limitada
Medidas organizativas: políticas de acceso, capacitación del personal, contratos con encargados
Riesgo residual: valoración del riesgo que subsiste después de aplicar los controles diseñados
Consulta previa obligatoria a la APDP si el riesgo residual continúa siendo alto
Plan de revisión periódica: la EIPD no es estática; debe revisarse ante cambios significativos del tratamiento

Criterios de activación — ¿cuándo es obligatoria la EIPD?

Seis escenarios que activan la obligación de realizar una EIPD

La ley y la práctica internacional identifican categorías de tratamiento que por su naturaleza implican alto riesgo. La APDP publicará una lista oficial, pero estos escenarios son los más reconocidos.

📊

Perfilamiento sistemático a gran escala

Tratamientos que impliquen evaluación sistemática y exhaustiva de características personales mediante métodos automatizados, incluida la elaboración de perfiles que produzca efectos jurídicos o significativos.

Alto riesgo · Obligatorio

🤓

Datos sensibles a gran escala

Tratamiento masivo de datos de salud, biométricos, genéticos, origen racial o étnico, opiniones políticas, creencias religiosas, vida sexual u orientación sexual.

Alto riesgo · Obligatorio

📷

Vigilancia sistemática a gran escala

Monitoreo sistemático de espacios públicos u otras actividades, como CCTV extendido, seguimiento de comportamiento en línea o monitorización laboral a gran escala.

Alto riesgo · Obligatorio

🤖

Decisiones automatizadas con efectos jurídicos

Tratamientos que sean la base única de decisiones automatizadas que produzcan efectos jurídicos significativos para el titular: crédito, contratación, acceso a servicios públicos.

Alto riesgo · Obligatorio

👤

Datos de personas vulnerables

Tratamiento de datos de niños, adultos mayores, pacientes, personas privadas de libertad u otras categorías especialmente vulnerables frente a posibles desequilibrios de poder.

Alto riesgo · Recomendado

📼

Nuevas tecnologías o usos innovadores

Cuando el tratamiento involucra tecnologías nuevas o usos innovadores (IA generativa, reconocimiento facial, análisis predictivo de comportamiento) cuyo impacto en la privacidad no está plenamente conocido.

Alto riesgo · Recomendado

Metodología y herramientas de la EIPD

La EIPD no es un formulario:
es un proceso estructurado

Una EIPD efectiva requiere metodologías estructuradas y herramientas específicas que garanticen análisis exhaustivos y resultados técnicamente sólidos y jurídicamente robustos.

📌

Data flow mapping

Representación visual de todos los flujos de datos personales desde la recolección hasta la eliminación, identificando puntos críticos y todas las interfaces entre sistemas y terceros.

📊

Matriz de riesgos cuantificada

Herramienta cuantitativa para evaluar probabilidad e impacto de cada riesgo identificado, permitiendo priorización objetiva de las medidas de mitigación a implementar.

👥

Consulta a partes interesadas

Proceso estructurado de consulta a los propios titulares de datos, expertos técnicos y representantes de grupos de interés afectados por el tratamiento a evaluar.

📋

Opinión del DPO

El Delegado de Protección de Datos debe emitir opinión formal sobre la EIPD. Su revisión garantiza objetividad, exhaustividad y calidad técnico-jurídica de la evaluación.

🏛

Consulta previa a la APDP

Cuando la EIPD identifique riesgos altos que no pueden mitigarse adecuadamente, es obligatorio consultar a la Agencia antes de iniciar el tratamiento. La Agencia puede emitir recomendaciones vinculantes.

🔄

Revisión periódica

La EIPD no es un documento estático. Debe revisarse cuando se produzcan cambios significativos en el tratamiento, la tecnología utilizada o el contexto de riesgo del tratamiento.

Proceso de elaboración

Las cuatro fases para elaborar una EIPD conforme a la Ley 21.719

La ley exige que la EIPD sea realizada antes de iniciar el tratamiento. Esto implica integrarla en los procesos de diseño de nuevos sistemas, productos o servicios que involucren datos personales.

Fase 1 · Alcance

Definir y delimitar

Identificar el tratamiento a evaluar, verificar si es obligatoria la EIPD, definir el alcance, convocar a los stakeholders (DPO, TI, legal, negocio) y establecer el cronograma.

→

Fase 2 · Análisis

Describir y mapear

Documentar el tratamiento en detalle, construir el data flow map, evaluar necesidad y proporcionalidad, e identificar todos los riesgos con su probabilidad e impacto.

→

Fase 3 · Mitigación

Diseñar controles

Diseñar las medidas técnicas y organizativas para cada riesgo, calcular el riesgo residual y determinar si es necesaria la consulta previa a la APDP.

→

Fase 4 · Cierre

Documentar y aprobar

Obtener opinión del DPO, aprobación de la alta dirección, archivar la EIPD con control de versiones y planificar la revisión periódica.

Documentación que la EIPD debe generar y conservar

📌

Ficha de descripción del tratamiento

Documento estructurado con naturaleza, alcance, fines, bases legales, categorías de datos, destinatarios y tecnologías del tratamiento evaluado.

🔍

Análisis de necesidad y proporcionalidad

Justificación documentada de por qué el tratamiento es necesario para el fin declarado y por qué no existe alternativa menos invasiva.

🎯

Matriz de riesgos y riesgo residual

Tabla de escenarios de riesgo, probabilidad, impacto, controles aplicados y riesgo residual resultante para cada escenario identificado.

📋

Opinión formal del DPO

Documento firmado por el Delegado de Protección de Datos con su revisión, observaciones y aprobación o reparos sobre la EIPD elaborada.

🏛

Acta de consulta previa a la APDP (si aplica)

Si el riesgo residual es alto, registro del proceso de consulta previa a la Agencia y las recomendaciones recibidas antes de iniciar el tratamiento.

🔄

Historial de versiones y revisiones

Control de versiones que documente cada actualización de la EIPD, los cambios que la motivaron y las nuevas medidas adoptadas como resultado.

Artículos 38–40 · Infracciones y sanciones

El costo de iniciar un tratamiento de alto riesgo sin EIPD

No realizar la EIPD cuando es obligatoria, o iniciar el tratamiento sin consultar a la APDP cuando el riesgo residual es alto, constituye una infracción directa a la Ley 21.719 con consecuencias significativas.

Infracciones gravísimas

20.000 UTM

O 4% de ingresos anuales en reincidencia grave

Iniciar un tratamiento de alto riesgo sin realizar la EIPD preceptiva
Iniciar el tratamiento sin consultar a la APDP cuando el riesgo residual sigue siendo alto
Tratar datos sensibles a gran escala sin EIPD siendo obligatoria
Usar decisiones automatizadas con efectos jurídicos sin evaluación de impacto previa

Ver art. 40 en BCN ↗

Infracciones graves

10.000 UTM

Equivalente a aprox. USD 775.000

Realizar la EIPD de forma deficiente, sin los cuatro componentes exigidos por la ley
No obtener la opinión del DPO cuando su designación es obligatoria
No documentar la EIPD ni mantenerla disponible para la APDP
No revisar la EIPD ante cambios significativos en el tratamiento evaluado

Ver art. 38 en BCN ↗

Cómo KLG Technology lo acompaña

EIPD / DPIA:
metodología estructurada,
documentación auditable

KLG Technology realiza Evaluaciones de Impacto en Protección de Datos con metodología estructurada y alineada con la Ley 21.719 y estándares internacionales (GDPR, ISO 29134), generando toda la documentación exigible ante la APDP.

La EIPD se integra con el DPO as a Service, el GRC de protección de datos y el SGSI de ciberseguridad, de manera que una sola evaluación produce evidencia operativa para ambas leyes: 21.719 y 21.663.

🔒

DPO as a Service

El DPO lidera la EIPD, emite opinión formal y es el enlace con la APDP si se requiere consulta previa ante riesgo residual alto

🔍

Assessment · Data Mapping y Riesgos

Mapa de flujos de datos, matriz de riesgos cuantificada y análisis de necesidad y proporcionalidad: los cuatro componentes de la EIPD

📋

GRC · Documentación y registro

Elaboración de la EIPD completa, control de versiones, historial de revisiones y archivo disponible ante la APDP en cualquier fiscalización

📡

Implementación de controles técnicos

Cifrado, seudonimización, control de accesos y controles de seguridad que materializan las medidas de mitigación identificadas en la EIPD

🏛

Consulta previa a la APDP

Acompañamiento en el proceso de consulta previa a la Agencia cuando el riesgo residual de la EIPD es alto y el tratamiento no puede suspenderse

¿Su organización tiene tratamientos de alto riesgo que requieren EIPD antes de diciembre 2026?

Si su empresa realiza perfilamiento, trata datos sensibles a escala o usa IA en decisiones que afectan a personas, la EIPD es obligatoria antes de iniciar o continuar ese tratamiento. KLG Technology la elabora con metodología estructurada y documentación auditable.

Solicitar elaboración de EIPD → Ver más sobre la Ley 21.719