Ley 21.719 vs ISO 9001, 27001 y 27701: qué camino le conviene a tu empresa

Cuando una empresa escucha por primera vez sobre la Ley 21.719, suele cometer uno de estos dos errores.

El primero es pensar que todo se resuelve con una política, un consentimiento y un par de ajustes legales.

El segundo es creer que la única salida seria es certificarse en varias normas ISO y embarcarse en un proyecto largo y costoso.

La verdad está en un punto intermedio.

La Ley 21.719 fija la exigencia que deberán cumplir las empresas en Chile. Las normas ISO, en cambio, ayudan a ordenar procesos, seguridad y privacidad para que ese cumplimiento no dependa de improvisaciones. La ley fue publicada el 13 de diciembre de 2024 y entrará en vigencia el 1 de diciembre de 2026.

Antes de seguir, conviene revisar primero nuestro checklist ejecutivo de la Ley 21.719, donde resumimos fechas, impacto y primeras prioridades para las empresas.

La ley no reemplaza a las ISO, y las ISO no reemplazan a la ley

La Ley 21.719 regula el tratamiento de datos personales en Chile y exige principios concretos como finalidad, responsabilidad, seguridad, transparencia y conservación limitada de los datos. También refuerza derechos de los titulares y obliga a las organizaciones a poder demostrar que cumplen.

ISO 9001 juega en otra cancha. Es una norma de gestión de calidad que ayuda a que una organización trabaje con procesos definidos, control documental, mejora continua y responsabilidades claras.

ISO/IEC 27001 entra cuando la conversación deja de ser solo de procesos y pasa a seguridad de la información. Es la base para gestionar confidencialidad, integridad y disponibilidad de los datos.

ISO/IEC 27701 da un paso más y aterriza la privacidad. Su foco está en ayudar a gestionar información personal identificable de manera responsable y alineada con obligaciones de privacidad.

Y si tu empresa trabaja con nube pública y proveedores que procesan datos personales, aparece además ISO/IEC 27018, orientada a proteger datos personales en servicios cloud cuando el proveedor actúa como procesador.

La forma más simple de entenderlo

Piénsalo así.

La ley es el examen.

ISO 9001 es el orden interno para no improvisar.

ISO 27001 es el sistema para proteger la información.

ISO 27701 es la capa de privacidad.

ISO 27018 es el refuerzo cuando tus datos pasan por cloud.

Ese enfoque suele ser mucho más claro para un gerente general, un equipo comercial o un responsable de operaciones que una explicación llena de tecnicismos.

Camino 1: cumplir la Ley 21.719 sin certificarte

Este es el camino que muchas empresas van a tomar primero.

Consiste en construir un piso mínimo serio de cumplimiento: inventario de datos, revisión de bases de licitud, contratos con proveedores, reglas de retención, eliminación, consentimiento, respuesta a solicitudes de titulares y ajustes en CRM, formularios y automatizaciones.

Es el camino más directo para llegar a diciembre de 2026 con un plan razonable. También es el más accesible al comienzo.

El problema es que, cuando una empresa tiene información repartida entre CRM, planillas, formularios web, sistemas internos, plataformas de marketing y servicios externos, este camino se vuelve más lento y más frágil. No porque la ley sea imposible, sino porque los datos están desordenados.

Qué ventajas tiene

Permite avanzar rápido y priorizar riesgos reales.

Evita invertir antes de entender el problema.

Sirve para empresas que todavía no necesitan una certificación formal.

Qué riesgos tiene

Puede depender demasiado de personas específicas.

Tiende a dejar controles dispersos entre áreas.

Si la arquitectura de datos es mala, el costo operativo sube mucho con el tiempo.

Costo referencial

Aquí el mayor costo no suele estar en comprar una norma, sino en horas de levantamiento, rediseño de procesos, revisión de contratos, adecuación de sistemas y coordinación interna. En la práctica, este camino se paga más en tiempo y complejidad que en licencias.

Este camino se puede complementar con un Diagnóstico Ejecutivo Ley 21.719 para conseguir un Plan de Adecuación por etapas.

Camino 2: usar ISO 9001 como columna vertebral

Aquí aparece una idea que a muchas empresas les hace sentido de inmediato.

ISO 9001 no fue creada para privacidad, pero ayuda muchísimo cuando el problema de fondo es el desorden.

Si la empresa no tiene dueños claros de proceso, si los procedimientos cambian según la persona que esté de turno o si no existen evidencias consistentes, entonces el cumplimiento de la Ley 21.719 se vuelve inestable. ISO 9001 ayuda justamente a ordenar esa base.

Qué ventajas tiene

Ordena procesos y responsabilidades.

Mejora la trazabilidad documental.

Facilita auditoría interna y mejora continua.

Ayuda a que el cumplimiento no dependa de memoria institucional.

Qué no resuelve por sí sola

No reemplaza controles técnicos de seguridad.

No cubre por sí misma privacidad ni tratamiento de datos personales.

No basta si tienes integraciones complejas o datos sensibles distribuidos.

Costo referencial

La compra oficial de la norma ISO 9001 tiene un valor de CHF 179 (USD 231 aprox.).

A eso hay que sumar formación, implementación y, si se busca certificación, auditorías externas. En la práctica, el costo final depende del tamaño de la empresa, su madurez y si parte desde cero. Lo importante es entender que ISO 9001 no reemplaza el trabajo de adecuación legal, pero sí puede reducir mucho el costo de gobernar bien los procesos.

Camino 3: construir una postura sólida de seguridad y privacidad con ISO 27001 y 27701

Este camino hace más sentido cuando la empresa maneja una cantidad relevante de datos personales, trabaja con proveedores cloud, integra varios sistemas o necesita una postura más defendible ante clientes, auditorías o terceros.

ISO/IEC 27001 establece la estructura del sistema de gestión de seguridad de la información. ISO/IEC 27701 agrega la capa de privacidad para información personal identificable. Y, si existe nube pública de por medio, ISO/IEC 27018 ayuda a aterrizar controles específicos para ese escenario.

Qué ventajas tiene

Da una base más sólida de seguridad y gobierno.

Facilita evaluación de riesgos y definición de controles.

Mejora la postura frente a clientes corporativos y auditorías.

Conversa mejor con arquitectura cloud, integraciones y servicios digitales.

Qué dificultades tiene

Es más exigente que un plan básico de adecuación.

Puede ser demasiado para empresas pequeñas si aún están desordenadas.

Requiere más disciplina interna y patrocinio real desde gerencia.

Costo referencial

La compra oficial de estas normas tiene valores referenciales como los siguientes:

• ISO/IEC 27001: CHF 155 (USD 200 aprox.)

• ISO/IEC 27701: CHF 225 (USD 290 aprox.)

• Paquete de seguridad y privacidad con ISO/IEC 27001, 27701 y 27018: CHF 486 (USD 627 aprox.)

Ese es solo el costo de acceso a los estándares. La implementación y certificación cuestan bastante más, porque involucran trabajo interno, consultoría, documentación, evaluación de riesgos, controles, auditoría y mantención.

Por eso, no siempre es necesario que una empresa pequeña salte de inmediato a un programa completo de certificación. A veces conviene primero ordenar procesos, limpiar arquitectura y reducir dispersión de datos.

El verdadero problema no siempre es la norma: es la dispersión de datos

Muchas empresas no están en riesgo porque no hayan leído la ley. Están en riesgo porque tienen datos personales duplicados en demasiados lugares.

Un lead entra por una landing.

Después pasa al CRM.

Luego termina en una planilla.

Más tarde se exporta a una herramienta de mailing.

Después alguien lo copia a un archivo interno.

Y nadie sabe con certeza cuál es la versión correcta, cuánto tiempo debe guardarse ni cómo eliminarlo bien cuando corresponde.

Mientras más sistemas tienen copias de la información, más caro se vuelve cumplir.

La bóveda de datos como camino práctico

En vez de obligar a la empresa a rediseñar por completo todos sus sistemas, muchas veces conviene crear una capa central de control: una Bóveda de Datos.

La lógica es simple.

La bóveda concentra la información sensible, define reglas de acceso, trazabilidad, retención y conexión con otros sistemas. El resto de las plataformas consume solo lo necesario, sin multiplicar copias innecesarias por toda la operación.

Eso ofrece varias ventajas claras:

• reduce duplicidad de datos

• disminuye exposición innecesaria

• facilita control de accesos

• mejora trazabilidad

• ayuda a aplicar retención, anonimización o supresión de forma más ordenada

• simplifica integraciones entre sistemas

• hace más fácil preparar cumplimiento frente a la Ley 21.719

Dicho de forma directa:

cuando la empresa tiene una bóveda de datos bien diseñada, el cumplimiento deja de depender de perseguir información por todo el negocio.

Entonces, ¿Qué camino conviene elegir?

Depende de tu punto de partida.

Si tu empresa todavía no tiene claridad sobre qué datos trata, dónde viven y quién accede a ellos, el primer paso no es certificarte. El primer paso es hacer diagnóstico, mapa de datos y plan de adecuación.

Si tu principal problema es el desorden de procesos, la falta de responsables y la débil trazabilidad interna, ISO 9001 puede ser un gran aliado para ordenar la casa.

Si tu negocio depende de datos, nube, integraciones o relaciones B2B donde la seguridad y privacidad pesan fuerte, vale la pena mirar más de cerca ISO 27001, 27701 y, en ciertos casos, 27018.

Y si el dolor real está en la dispersión de información entre muchos sistemas, entonces una Bóveda de Datos Datactil puede ser la forma más inteligente de reducir complejidad sin rehacer toda la operación desde cero.

Cómo lo abordamos en Datactil

En Datactil vemos la Ley 21.719 como un desafío de negocio, procesos y arquitectura, no solo como un ajuste legal.

Por eso, nuestro enfoque combina:

• diagnóstico de brechas

• revisión de procesos y contratos

• adecuación tecnológica

• integración de sistemas

• diseño de arquitectura de datos

• implementación de una bóveda de datos para centralizar y controlar la información sensible

Así ayudamos a que las empresas no solo entiendan la norma, sino que puedan operar mejor con ella.

La Ley 21.719 obliga a tomarse en serio el tratamiento de datos personales en Chile. Pero no todas las empresas necesitan recorrer el mismo camino para llegar a cumplimiento.

Algunas deberán partir por ordenar procesos.

Otras por fortalecer seguridad y privacidad.

Y muchas descubrirán que el costo real no está en la ley, sino en la forma en que hoy circulan sus datos.

Si quieres evaluar qué camino tiene más sentido para tu empresa, revisa primero nuestro checklist ejecutivo de la Ley 21.719 y luego agenda una asesoría para revisar si conviene un plan básico de adecuación, una estrategia con enfoque ISO o una arquitectura apoyada en una bóveda de datos.

Nota: Este artículo es informativo y no constituye asesoría legal. Para decisiones formales, recomendamos revisión legal y técnica según tu industria y flujos reales.