Diciembre de 2026 no es una fecha abstracta, es el mes en que la Agencia de Protección de Datos comenzará a fiscalizar activamente y a sancionar a las empresas que no hayan cumplido con la Ley 21.719 de Protección de Datos Personales. Y si hay algo que hemos aprendido acompañando empresas en este proceso, es que la mayoría no sabe exactamente qué tiene que tener listo.
Este checklist es exactamente eso: una guía práctica con los elementos mínimos que tu empresa debe tener antes de esa fecha. Sin tecnicismos innecesarios, sin rodeos. Una advertencia antes de partir, este es el piso mínimo. Si tu empresa maneja datos
sensibles, datos de menores o grandes volúmenes de información, las exigencias suben. Pero si partes por aquí, vas bien encaminado.
La Ley 21.719 fue publicada el 13 de diciembre de 2024 y el cumplimiento será exigible desde diciembre de 2026, cuando la Agencia de Protección de Datos entre en pleno funcionamiento. Eso suena a que hay tiempo, pero en la práctica, un proceso de adecuación bien hecho toma entre 4 y 24 semanas dependiendo del tamaño y complejidad de la empresa. Si empiezas hoy, llegas cómodo. Si lo dejas
para octubre, vas a correr.
Vamos punto por punto. Para cada uno te explico qué es, por qué importa y qué forma concreta toma dentro de tu empresa. pedirá. Aquí van los más relevantes:
Es el documento base de todo el cumplimiento. Debe explicarle a tus clientes, trabajadores y cualquier persona cuyos datos manejes: qué datos recopilas, para qué los usas, con quién los compartes, por cuánto tiempo los guardas y cómo pueden ejercer sus derechos.
La mayoría de las empresas tiene una política de privacidad copiada de internet, desactualizada o que no refleja lo que realmente hace con los datos. Eso no sirve. La ley exige que sea específica, veraz y accesible.
¿Qué debe cubrir? Tu sitio web, tus formularios, tu e-commerce si tienes, y el tratamiento interno de datos de trabajadores y proveedores.
El consentimiento bajo la Ley 21.719 tiene que ser libre, previo, específico e informado. Eso significa que ese checkbox que dice «acepto los términos y condiciones» y que nadie lee no cumple. El titular del dato tiene que saber exactamente para qué está autorizando el uso de su información.
Esto aplica a tus formularios de contacto, cotización, suscripción a newsletter, registro de clientes y cualquier punto donde recolectes datos.
IMPORTANTE: si ya tienes bases de datos construidas sin consentimiento adecuado, hay que revisar cómo regularizar esa situación. No es insalvable, pero hay que abordarlo.
La ley exige que las empresas documenten qué datos tratan, con qué finalidad, quién tiene acceso y por cuánto tiempo. Este registro es básicamente el mapa de tu ciclo del dato, puesto en papel.
Es uno de los primeros documentos que pedirá la Agencia si te fiscaliza, y también es la base para saber si estás cumpliendo o no. Sin este registro, no puedes demostrar cumplimiento aunque lo estés haciendo todo bien.
Cada vez que un proveedor, una plataforma tecnológica o un tercero accede a los datos de tus clientes o trabajadores, necesitas un contrato que regule ese acceso. Esto se llama «encargado de datos» en la ley, y si no tienes las cláusulas correctas, la responsabilidad legal recae sobre ti.
Ejemplos concretos: tu proveedor de email marketing que tiene tu lista de contactos, tu plataforma de e-commerce, tu software de RRHH, tu empresa de nómina. Todos deben tener cláusulas actualizadas y ¿los titulares de los datos te autorizaron a transferirlos?
Los titulares de datos tienen derechos: pueden pedir acceso a su información, corregirla, eliminarla, oponerse a su uso o solicitar su portabilidad. Esto se conoce como derechos ARCO+, ¿Cuál es el procedimiento de tu empresa para esto?
Si sufres un incidente de seguridad que afecte datos personales, un hackeo, un envío masivo erróneo, un robo de laptop con información, tienes obligación de notificarlo a la Agencia de Protección de Datos dentro de ciertos plazos.
La ley no exige que todas las empresas implementen sistemas de seguridad de nivel bancario. Exige que las medidas sean proporcionales al tipo de datos que manejas y al riesgo que implican.
De nada sirve tener todos los documentos bien redactados si la persona que atiende clientes no sabe que no puede compartir datos personales por WhatsApp, o si el área comercial no entiende que no puede comprar bases de datos de terceros. El cumplimiento requiere que el equipo lo entienda.
Para que lo tengas de un vistazo, esto es el desde.
|
☐ Checklist mínimo — Ley 21.719 |
|
☐ Política de Privacidad actualizada y específica para tu empresa. |
|
☐ Consentimientos correctamente redactados en formularios y puntos de contacto. |
|
☐ Registro de tratamiento de datos (qué datos, para qué, quién accede, por cuánto tiempo). |
|
☐ Cláusulas de protección de datos en contratos con proveedores y plataformas tecnológicas. |
|
☐ Procedimiento interno para responder solicitudes ARCO+ en 30 días. |
|
☐ Protocolo ante brechas de seguridad (quién actúa, cómo y en qué plazo). |
|
☐ Medidas de seguridad proporcionales al tipo de dato. |
|
☐ Capacitación básica al equipo en manejo de datos personales. |
Este checklist cubre el nivel de adecuación básico. Si tu empresa es una clínica, un colegio, un jardín infantil, una plataforma de salud o cualquier organización que trate datos especialmente protegidos por la ley, las exigencias son mayores: necesitas una Evaluación de Impacto en la Privacidad (EIPD), un Modelo de Prevención de Datos y políticas de seguridad reforzadas.
Si tienes dudas sobre en qué categoría cae tu empresa, el primer paso es hacer un diagnóstico del ciclo del dato. Eso es exactamente lo que hacemos en CZ Abogados antes de proponer cualquier solución.
Guarda este checklist, compártelo con quien corresponda en tu empresa y evalúa honestamente cuántos puntos ya tienes cubiertos. Si la respuesta es «ninguno» o «algunos», estás a tiempo de resolverlo bien antes de diciembre de 2026. Si la respuesta es «casi todos», probablemente lo que falta es revisar la calidad de lo que ya tienes.
En cualquier caso, el siguiente paso es el mismo: saber con precisión dónde estás parado. Y para eso ofrecemos un diagnóstico gratuito que te dice exactamente eso, sin compromiso
También te puede interesar: ¿Tu empresa maneja datos sensibles o de menores? Esto es lo que necesitas saber
