Estás viendo un DEMO con datos ficticios de una empresa ejemplo — ningún documento es descargable ni válido, y no puedes modificar nada en esta vista.

Thinkbox — Recorrido interactivo

Así ve su cumplimiento Retail Andino SpA (DEMO)

Esta es una organización ficticia, precargada para que veas de qué se trata el producto sin crear una cuenta. Todo lo que ves abajo — el score, los gaps, los documentos y el plan de remediación — es exactamente lo que vería el equipo de Retail Andino SpA (DEMO) si tuviera una cuenta real: solo que acá es de solo lectura, sin descargas y con marca de agua.

1. Panorama

El score resume el avance del plan de cumplimiento frente a la Ley 21.719 — nunca una probabilidad de pasar una fiscalización. Sube solo con evidencia real: documentos generados, medidas técnicas implementadas y evidencias registradas.

53% de avance de tu plan de cumplimiento — no es una probabilidad de pasar una fiscalización.
Este número resume tu progreso frente al plan de cumplimiento, no una probabilidad de pasar una fiscalización — sujeto a revisión legal.

Evaluado el 06-07-2026 21:52 — perfil evaluado congelado en este diagnóstico.

Documentos

2/5

plantillas legales generadas para esta organización

Gaps de cumplimiento

6

obligaciones o medidas con evidencia pendiente

Plan de remediación

12%

de las tareas del plan ya completadas

2. Diagnóstico

Cada fila es una obligación o medida técnica de la Ley 21.719 que el motor de Thinkbox detectó como aplicable a esta empresa, con su severidad y el porqué. Esta lista es exactamente la que alimenta el plan de remediación de la sección 4.

Gaps de cumplimiento (6)

  • Reporte de vulneraciones de seguridad

    Alta✔ verificado: Parcial

    Por qué aplica: Aplica (condición: siempre)

    Recomendación: Generar y aprobar el Procedimiento de Gestión y Notificación de Vulneraciones

  • Atención de derechos del titular

    Alta✔ verificado: Sin evidencia

    Por qué aplica: Aplica (condición: siempre)

    Recomendación: Habilitar canal y procedimiento de atención de derechos ARCO+P

  • Evaluación de impacto (EIPD)

    Alta✔ verificado: Sin evidencia

    Por qué aplica: Aplica (condición: o)

    Recomendación: Generar y aprobar la Evaluación de Impacto (EIPD)

  • Contratos con encargados (DPA)

    Media✔ verificado: Sin evidencia

    Por qué aplica: Aplica (condición: siempre)

    Recomendación: Generar el Contrato de Encargo de Tratamiento (DPA) modelo

  • Medidas de seguridad

    Media✔ verificado: Parcial

    Por qué aplica: Aplica (condición: siempre)

    Recomendación: Implementar registro de auditoría (logs)

  • Transferencias internacionales

    Media✔ verificado: Sin evidencia

    Por qué aplica: Aplica (condición: campo)

    Recomendación: Evaluar y documentar las transferencias internacionales de datos

3. Documentos

Las 5 plantillas legales de la Ley 21.719 se generan automáticamente con los datos de la empresa. Acá ves 2 ya generadas para Retail Andino SpA (DEMO) — contenido real, con marca de agua y sin opción de descarga (en tu cuenta real, sin marca de agua ni restricciones).

Registro de Actividades de Tratamiento (RAT)

El inventario de todos tus tratamientos de datos: el documento madre.

Generado — v1

Registro de Actividades de Tratamiento (RAT)

⚠️ BORRADOR — pendiente de revisión de un abogado. No usar en producción sin validar.

Retail Andino SpA — RUT 76.543.210-3

Registro de Actividades de Tratamiento (RAT). Versión 1.0.0 · Actualizado al 06-07-2026. Responsable de mantenerlo actualizado: Tomás Ignacio Bravo Léniz (Delegado de Protección de Datos).

1. Objeto y marco legal

Este Registro documenta, para cada actividad de tratamiento de datos personales, la información que la Ley N° 19.628 (según su modificación por la Ley N° 21.719) exige mantener a disposición (deber de información y transparencia, art. 14 ter) y las medidas de seguridad adoptadas, cuya existencia y funcionamiento el responsable debe poder acreditar (deber de adoptar medidas de seguridad, art. 14 quinquies). La ley no define un formato único de "Registro de Actividades de Tratamiento"; la estructura de fichas siguiente es una herramienta de gestión (accountability) extensible, pendiente de verificación de un abogado en cuanto a su suficiencia para el giro específico de la empresa.

2. Responsable del tratamiento

Razón social: Retail Andino SpA. RUT: 76.543.210-3. Giro: Comercio al por menor de artículos para el hogar y electrodomésticos. Domicilio: Av. Providencia 1550, of. 802, Providencia, Santiago. Representante legal: Francisca Javiera Muñoz Solar. Encargado de prevención / DPO: Tomás Ignacio Bravo Léniz (Delegado de Protección de Datos). Contacto: privacidad@retailandino.cl.

3. Fichas de actividades de tratamiento

Por cada actividad de tratamiento se documenta: finalidad, categorías de titulares y de datos tratados, base de licitud, destinatarios y encargados que intervienen, transferencias internacionales (si existen), plazo de conservación y medidas de seguridad específicas.

Ficha 1 — Gestión de remuneraciones y RR.HH.
- Finalidad: Administrar contratos, liquidaciones de sueldo, licencias médicas y beneficios del personal..
- Categorías de titulares: Trabajadores y ex trabajadores de la empresa.
- Categorías de datos: Identificación, datos bancarios, remuneraciones, licencias médicas (incluye datos sensibles).
- Base de licitud: Ejecución de un contrato del que el titular es parte.
- Destinatarios / encargados: Proveedor de software de remuneraciones (nube), Dirección del Trabajo, Previred.
- Transferencias internacionales: no.
- Plazo de conservación: Durante la relación laboral y hasta 6 años después de su término (normativa laboral y tributaria).
- Medidas de seguridad: Acceso restringido por rol, cifrado en tránsito y en reposo, respaldo periódico.

Ficha 2 — Gestión de clientes y ventas
- Finalidad: Procesar compras, emitir boletas/facturas y gestionar el programa de fidelización..
- Categorías de titulares: Clientes personas naturales.
- Categorías de datos: Identificación, contacto, historial de compras.
- Base de licitud: Ejecución de un contrato del que el titular es parte.
- Destinatarios / encargados: Plataforma de punto de venta, servicio de contabilidad externo.
- Transferencias internacionales: no.
- Plazo de conservación: 6 años desde la última transacción (obligaciones tributarias).
- Medidas de seguridad: Control de acceso por rol, cifrado en tránsito.

Ficha 3 — Marketing y comunicaciones comerciales
- Finalidad: Envío de boletines, promociones y campañas de fidelización por correo electrónico..
- Categorías de titulares: Clientes y prospectos suscritos.
- Categorías de datos: Nombre, correo electrónico, preferencias de compra.
- Base de licitud: Consentimiento del titular.
- Destinatarios / encargados: Plataforma de email marketing (proveedor SaaS extranjero).
- Transferencias internacionales: sí — Estados Unidos.
- Plazo de conservación: Hasta que el titular retire su consentimiento o se dé de baja.
- Medidas de seguridad: Doble opt-in, cifrado en tránsito, acceso restringido.

Ficha 4 — Videovigilancia de tiendas y bodegas
- Finalidad: Prevención de pérdidas y seguridad de personas y bienes en tiendas y bodegas..
- Categorías de titulares: Clientes, trabajadores y público general que ingresa a las tiendas.
- Categorías de datos: Imagen captada por cámaras de seguridad en zonas de acceso público (incluye datos sensibles).
- Base de licitud: Interés legítimo del responsable.
- Destinatarios / encargados: Empresa de seguridad externa que monitorea las cámaras.
- Transferencias internacionales: no.
- Plazo de conservación: 30 días, salvo que las imágenes deban conservarse por un incidente en curso.
- Medidas de seguridad: Acceso restringido a las grabaciones, cifrado de almacenamiento, registro de auditoría.

Ficha 5 — Gestión de proveedores y encargados de tratamiento
- Finalidad: Administrar contratos con proveedores que tratan datos personales por cuenta de la empresa (hosting, contabilidad, logística)..
- Categorías de titulares: Contactos de proveedores; clientes y trabajadores cuyos datos tratan estos proveedores.
- Categorías de datos: Identificación y contacto de contactos de proveedores; datos operacionales según el servicio contratado.
- Base de licitud: Ejecución de un contrato del que el titular es parte.
- Destinatarios / encargados: Proveedor de hosting en la nube, servicio de logística y despacho.
- Transferencias internacionales: sí — Estados Unidos, Irlanda.
- Plazo de conservación: Durante la vigencia del contrato de servicio y hasta 2 años después de su término.
- Medidas de seguridad: Contrato de encargo de tratamiento (DPA), cifrado en tránsito, control de acceso.

4. Encargados del tratamiento (terceros)

Los siguientes terceros tratan datos personales por cuenta de Retail Andino SpA, en calidad de encargados (art. 15 bis), conforme al contrato suscrito con cada uno:

- Gestión de remuneraciones y RR.HH.: Proveedor de software de remuneraciones (nube), Dirección del Trabajo, Previred
- Gestión de clientes y ventas: Plataforma de punto de venta, servicio de contabilidad externo
- Marketing y comunicaciones comerciales: Plataforma de email marketing (proveedor SaaS extranjero)
- Videovigilancia de tiendas y bodegas: Empresa de seguridad externa que monitorea las cámaras
- Gestión de proveedores y encargados de tratamiento: Proveedor de hosting en la nube, servicio de logística y despacho

5. Transferencias internacionales

Retail Andino SpA transfiere datos personales al extranjero en el contexto de las actividades descritas. - Marketing y comunicaciones comerciales: Estados Unidos.
- Gestión de proveedores y encargados de tratamiento: Estados Unidos, Irlanda. Se evalúa si el país de destino ofrece un nivel adecuado de protección y, en su defecto, se adoptan garantías apropiadas.

6. Medidas de seguridad generales

Con independencia de las medidas específicas de cada ficha, Retail Andino SpA aplica de forma transversal: Acceso restringido por rol, cifrado en tránsito y en reposo, respaldo periódico; Control de acceso por rol, cifrado en tránsito; Doble opt-in, cifrado en tránsito, acceso restringido; Acceso restringido a las grabaciones, cifrado de almacenamiento, registro de auditoría; Contrato de encargo de tratamiento (DPA), cifrado en tránsito, control de acceso.

7. Mantenimiento y actualización

Este Registro debe revisarse y actualizarse cada vez que se incorpore, modifique o elimine una actividad de tratamiento, y en todo caso de forma periódica, para reflejar el estado real del tratamiento y poder servir de evidencia ante la Agencia de Protección de Datos Personales o ante los tribunales.

*Fuente legal: Ley N° 19.628 (ref. Ley N° 21.719), arts. 14 ter (deber de información) y 14 quinquies (deber de medidas de seguridad y carga de la prueba). La estructura de este Registro es una herramienta de accountability sin formato legal único — pendiente de revisión de abogado.*

Política de Privacidad

Cómo tratas los datos personales, para cumplir el deber de información (art. 14 ter).

Generado — v1

Política de Privacidad y Tratamiento de Datos Personales

⚠️ BORRADOR — pendiente de revisión de un abogado. No usar en producción sin validar.

Retail Andino SpA — RUT 76.543.210-3

Versión 1.0.0 · Vigente desde el 06-07-2026

La presente Política describe cómo Retail Andino SpA ("nosotros", el "Responsable") trata los datos personales de las personas ("titulares") con quienes se relaciona, en cumplimiento de la Ley N° 19.628 sobre Protección de los Datos Personales, según su modificación por la Ley N° 21.719.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es Retail Andino SpA, RUT 76.543.210-3, con domicilio en Av. Providencia 1550, of. 802, Providencia, Santiago. Su representante legal es Francisca Javiera Muñoz Solar. El encargado de prevención / delegado de protección de datos designado es Tomás Ignacio Bravo Léniz (Delegado de Protección de Datos).

2. Contacto y cómo ejercer tus derechos

Puedes contactarnos y ejercer tus derechos escribiendo a privacidad@retailandino.cl o mediante el formulario de contacto disponible en nuestro sitio web. Toda solicitud será atendida en los plazos y condiciones que establece la ley.

3. Qué datos tratamos y para qué

A continuación se describen las categorías de datos personales que tratamos, las finalidades de cada tratamiento, las categorías de titulares, los destinatarios a quienes podemos comunicar los datos y la base de licitud que ampara cada tratamiento:

Tratamos datos de identificación y contacto de clientes y trabajadores, datos de remuneraciones y licencias médicas del personal, historial de compras, imágenes de videovigilancia en tiendas y bodegas, y datos de contacto de proveedores — ver el detalle completo en el Registro de Actividades de Tratamiento (RAT).

4. Seguridad de tus datos

Aplicamos medidas técnicas y organizativas apropiadas al nivel de riesgo para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y datos, y para evitar su pérdida, alteración o acceso no autorizado. Evaluamos periódicamente la eficacia de estas medidas. Entre otras, aplicamos: Acceso restringido por rol, cifrado en tránsito y en reposo, respaldo periódico; Control de acceso por rol, cifrado en tránsito; Doble opt-in, cifrado en tránsito, acceso restringido; Acceso restringido a las grabaciones, cifrado de almacenamiento, registro de auditoría; Contrato de encargo de tratamiento (DPA), cifrado en tránsito, control de acceso.

5. Tus derechos

Como titular de datos, la ley te reconoce los derechos de: acceso (conocer qué datos tuyos tratamos), rectificación (corregir datos inexactos o desactualizados), supresión (eliminación en los casos que la ley permite), oposición (oponerte a un tratamiento determinado), portabilidad (recibir tus datos en un formato electrónico estructurado y de uso común) y bloqueo. Estos derechos son personales e irrenunciables y su ejercicio es, por regla general, gratuito. Para ejercerlos, contáctanos por los medios indicados en la sección 2.

6. Reclamo ante la Agencia de Protección de Datos

Si rechazamos tu solicitud o no la respondemos oportunamente, tienes derecho a reclamar ante la Agencia de Protección de Datos Personales, en la forma y plazos que establece la ley.

7. Transferencias internacionales

Algunos de tus datos pueden ser tratados por proveedores ubicados fuera de Chile. - Marketing y comunicaciones comerciales: Estados Unidos.
- Gestión de proveedores y encargados de tratamiento: Estados Unidos, Irlanda. Cuando el país de destino no ofrezca un nivel adecuado de protección, adoptamos garantías apropiadas para resguardar tus datos.

8. Conservación de tus datos

Conservamos tus datos personales durante la vigencia de la relación contractual o laboral y hasta 6 años después de su término, conforme a las obligaciones legales, laborales y tributarias aplicables.

9. Origen de los datos

Los datos provienen directamente del titular (contratos, formularios de compra, postulaciones) y, en el caso de proveedores y encargados, de la relación contractual respectiva.

10. Retiro del consentimiento

Cuando un tratamiento se base en tu consentimiento, puedes retirarlo en cualquier momento, sin que ello afecte la licitud del tratamiento realizado antes de dicho retiro. El retiro se realiza por los mismos medios indicados en la sección 2.

Esta Política podrá actualizarse para reflejar cambios normativos u operativos; la versión vigente estará siempre disponible en nuestro sitio web.

*Fuente legal: Ley N° 19.628 (ref. Ley N° 21.719), artículo 14 ter (Deber de información y transparencia), literales a) a l).*

Procedimiento de Gestión y Notificación de Vulneraciones

Cómo detectar, evaluar y notificar una brecha de seguridad (art. 14 sexies).

No generado en esta muestra

Contrato de Encargo de Tratamiento (DPA)

El acuerdo modelo con cada proveedor que trata datos por ti (art. 15 bis).

No generado en esta muestra

Evaluación de Impacto (EIPD)

Análisis de riesgo para tratamientos de alto riesgo (art. 15 ter) — solo aplica si tu perfil activa alguno de los 4 supuestos.

No generado en esta muestra

4. Plan de remediación

Cada gap de la sección 2 se traduce en tareas concretas, agrupadas por fase, con doble validación: una persona responsable la entrega y una persona validadoradistinta la aprueba o la rechaza — el mismo ciclo “maker-checker” que usa tu equipo real.

Plan de remediación — ley-21719

Borrador
17 tareas · 12% completado
1Gobierno
33%

Mapear las actividades de tratamiento de datos personales

Levantar, por área (ventas, RR.HH., marketing, etc.), qué datos se tratan, con qué finalidad, base de licitud, destinatarios/encargados y plazo de conservación — insumo directo del RAT. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

DPO · f4bf4685→ validaGerente de proyecto · 640b4183· vence 10-07-2026 00:00
En curso

Definir responsable interno y canal de reporte de brechas

Designar quién recibe y escala internamente el reporte de una vulneración de seguridad, y el canal por el que el personal debe reportarla (correo/formulario) — precondición del procedimiento de brechas y del playbook del war-room. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

DPO→ validaGerente de proyecto· vence 08-07-2026 00:00
Pendiente

Designar Delegado de Protección de Datos (DPO)

Designar formalmente a la persona (interna o provista por Thinkbox) responsable de coordinar el cumplimiento de la 21.719 en la empresa; habilita el Modelo de Prevención de Infracciones (atenuante). Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

Gerente de proyecto · f4bf4685→ validaAbogado · 640b4183· vence 07-07-2026 00:00
Completada
2Documental
0%

Generar y aprobar la Evaluación de Impacto (EIPD)

Producir la EIPD cuando el perfil de la empresa activa alguno de los cuatro supuestos del art. 15 ter (perfilamiento con efectos significativos, tratamiento masivo, monitoreo de zona pública o datos sensibles bajo excepción de consentimiento). Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

DPO→ validaAbogado· vence 14-07-2026 00:00
Pendiente

Evaluar y documentar las transferencias internacionales de datos

Revisar cada proveedor/destinatario en el extranjero (incluye SaaS extranjero), determinar si el país ofrece nivel adecuado de protección y, si no, qué garantías aplican (cláusulas contractuales, certificaciones). Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

Abogado→ validaDPO· vence 15-07-2026 00:00
Pendiente

Generar y aprobar el Registro de Actividades de Tratamiento (RAT)

Producir el RAT con el motor de documentos a partir del mapeo de tratamientos, y que el DPO lo revise con el abogado antes de aprobarlo. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

DPO · f4bf4685→ validaAbogado · 640b4183· vence 12-07-2026 00:00
Por validar

Generar el Contrato de Encargo de Tratamiento (DPA) modelo

Producir el modelo de contrato de encargo a partir del RAT (para identificar a los encargados), y que el abogado lo revise antes de usarlo con los proveedores. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

DPO · f4bf4685→ validaAbogado · 640b4183· vence 13-07-2026 00:00
En curso

Generar y aprobar la Política de Privacidad

Producir la política de privacidad (deber de información y transparencia) a partir del RAT ya aprobado, y que el abogado la revise antes de publicarla. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

DPO→ validaAbogado· vence 13-07-2026 00:00
Pendiente

Habilitar canal y procedimiento de atención de derechos ARCO+P

Dejar operativo el canal (formulario/correo) y el procedimiento interno para recibir y responder solicitudes de acceso, rectificación, supresión, oposición y portabilidad, con archivo de respaldo de cada respuesta. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

DPO→ validaGerente de proyecto· vence 15-07-2026 00:00
Pendiente

Generar y aprobar el Procedimiento de Gestión y Notificación de Vulneraciones

Producir el procedimiento de brechas con el responsable/canal interno ya definidos, y que el abogado lo revise antes de aprobarlo. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

DPO→ validaAbogado· vence 09-07-2026 00:00
Pendiente
3Técnica
14%

Implementar privacidad desde el diseño en sistemas nuevos

Establecer una revisión de privacidad (checklist corta) antes de contratar o desarrollar cualquier sistema nuevo que trate datos personales, con configuración menos invasiva por defecto. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

Técnico TI→ validaDPO· vence 09-07-2026 00:00
Pendiente

Implementar respaldos y plan de recuperación

Programar respaldos periódicos de los sistemas con datos personales y probar al menos una vez la restauración. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

Técnico TI→ validaDPO· vence 12-07-2026 00:00
Pendiente

Implementar seudonimización y minimización de datos

Revisar formularios/sistemas y eliminar campos innecesarios; seudonimizar identificadores en entornos de prueba y analítica. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

Ciberseguridad→ validaDPO· vence 13-07-2026 00:00
Pendiente

Implementar políticas de retención y eliminación

Definir plazos de conservación por tipo de dato y automatizar (o agendar) la eliminación/anonimización de datos vencidos. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

Técnico TI→ validaDPO· vence 12-07-2026 00:00
Pendiente

Implementar registro de auditoría (logs)

Activar y centralizar el registro de accesos/actividad sobre datos personales, con retención mínima de 6 meses y acceso restringido para borrarlos. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

Técnico TI→ validaDPO· vence 15-07-2026 00:00
Pendiente

Formalizar y firmar los DPA con cada encargado

Enviar, negociar y firmar el contrato de encargo (DPA) con cada proveedor que trate datos personales por cuenta de la empresa, a partir del modelo ya generado. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

Gerente de proyecto→ validaAbogado· vence 16-07-2026 00:00
Pendiente

Implementar control de acceso por rol (RBAC)

Configurar perfiles de acceso por rol en los sistemas que tratan datos personales, con principio de menor privilegio, y dejar evidencia del estado en org_medida_estado. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.

Técnico TI · f4bf4685→ validaDPO · 640b4183· vence 13-07-2026 00:00
Completada

¿Quieres esto para tu empresa? Conoce el servicio completo en thinkbox.cl/servicios/ley-21719 o escríbenos directamente a contacto@thinkbox.cl.

¿Aún no sabes cómo está tu empresa frente a la ley? Hazte el diagnóstico gratuito de 5 minutos.

Suite Thinkbox v0.10.0 ·