Thinkbox — Recorrido interactivo
Así ve su cumplimiento Retail Andino SpA (DEMO)
Esta es una organización ficticia, precargada para que veas de qué se trata el producto sin crear una cuenta. Todo lo que ves abajo — el score, los gaps, los documentos y el plan de remediación — es exactamente lo que vería el equipo de Retail Andino SpA (DEMO) si tuviera una cuenta real: solo que acá es de solo lectura, sin descargas y con marca de agua.
1. Panorama
El score resume el avance del plan de cumplimiento frente a la Ley 21.719 — nunca una probabilidad de pasar una fiscalización. Sube solo con evidencia real: documentos generados, medidas técnicas implementadas y evidencias registradas.
53%
Avance del plan
53% de avance de tu plan de cumplimiento — no es una probabilidad de pasar una fiscalización.
Este número resume tu progreso frente al plan de cumplimiento, no una probabilidad de pasar una fiscalización — sujeto a revisión legal.
Evaluado el 06-07-2026 21:52 — perfil evaluado congelado en este diagnóstico.
Documentos
2/5
plantillas legales generadas para esta organización
Gaps de cumplimiento
6
obligaciones o medidas con evidencia pendiente
Plan de remediación
12%
de las tareas del plan ya completadas
2. Diagnóstico
Cada fila es una obligación o medida técnica de la Ley 21.719 que el motor de Thinkbox detectó como aplicable a esta empresa, con su severidad y el porqué. Esta lista es exactamente la que alimenta el plan de remediación de la sección 4.
Gaps de cumplimiento (6)
Reporte de vulneraciones de seguridad
Alta✔ verificado: ParcialPor qué aplica: Aplica (condición: siempre)
Recomendación: Generar y aprobar el Procedimiento de Gestión y Notificación de Vulneraciones
Atención de derechos del titular
Alta✔ verificado: Sin evidenciaPor qué aplica: Aplica (condición: siempre)
Recomendación: Habilitar canal y procedimiento de atención de derechos ARCO+P
Evaluación de impacto (EIPD)
Alta✔ verificado: Sin evidenciaPor qué aplica: Aplica (condición: o)
Recomendación: Generar y aprobar la Evaluación de Impacto (EIPD)
Contratos con encargados (DPA)
Media✔ verificado: Sin evidenciaPor qué aplica: Aplica (condición: siempre)
Recomendación: Generar el Contrato de Encargo de Tratamiento (DPA) modelo
Medidas de seguridad
Media✔ verificado: ParcialPor qué aplica: Aplica (condición: siempre)
Recomendación: Implementar registro de auditoría (logs)
Transferencias internacionales
Media✔ verificado: Sin evidenciaPor qué aplica: Aplica (condición: campo)
Recomendación: Evaluar y documentar las transferencias internacionales de datos
3. Documentos
Las 5 plantillas legales de la Ley 21.719 se generan automáticamente con los datos de la empresa. Acá ves 2 ya generadas para Retail Andino SpA (DEMO) — contenido real, con marca de agua y sin opción de descarga (en tu cuenta real, sin marca de agua ni restricciones).
Registro de Actividades de Tratamiento (RAT)
El inventario de todos tus tratamientos de datos: el documento madre.
Registro de Actividades de Tratamiento (RAT)
⚠️ BORRADOR — pendiente de revisión de un abogado. No usar en producción sin validar.
Retail Andino SpA — RUT 76.543.210-3
Registro de Actividades de Tratamiento (RAT). Versión 1.0.0 · Actualizado al 06-07-2026. Responsable de mantenerlo actualizado: Tomás Ignacio Bravo Léniz (Delegado de Protección de Datos).
1. Objeto y marco legal
Este Registro documenta, para cada actividad de tratamiento de datos personales, la información que la Ley N° 19.628 (según su modificación por la Ley N° 21.719) exige mantener a disposición (deber de información y transparencia, art. 14 ter) y las medidas de seguridad adoptadas, cuya existencia y funcionamiento el responsable debe poder acreditar (deber de adoptar medidas de seguridad, art. 14 quinquies). La ley no define un formato único de "Registro de Actividades de Tratamiento"; la estructura de fichas siguiente es una herramienta de gestión (accountability) extensible, pendiente de verificación de un abogado en cuanto a su suficiencia para el giro específico de la empresa.
2. Responsable del tratamiento
Razón social: Retail Andino SpA. RUT: 76.543.210-3. Giro: Comercio al por menor de artículos para el hogar y electrodomésticos. Domicilio: Av. Providencia 1550, of. 802, Providencia, Santiago. Representante legal: Francisca Javiera Muñoz Solar. Encargado de prevención / DPO: Tomás Ignacio Bravo Léniz (Delegado de Protección de Datos). Contacto: privacidad@retailandino.cl.
3. Fichas de actividades de tratamiento
Por cada actividad de tratamiento se documenta: finalidad, categorías de titulares y de datos tratados, base de licitud, destinatarios y encargados que intervienen, transferencias internacionales (si existen), plazo de conservación y medidas de seguridad específicas.
Ficha 1 — Gestión de remuneraciones y RR.HH.
- Finalidad: Administrar contratos, liquidaciones de sueldo, licencias médicas y beneficios del personal..
- Categorías de titulares: Trabajadores y ex trabajadores de la empresa.
- Categorías de datos: Identificación, datos bancarios, remuneraciones, licencias médicas (incluye datos sensibles).
- Base de licitud: Ejecución de un contrato del que el titular es parte.
- Destinatarios / encargados: Proveedor de software de remuneraciones (nube), Dirección del Trabajo, Previred.
- Transferencias internacionales: no.
- Plazo de conservación: Durante la relación laboral y hasta 6 años después de su término (normativa laboral y tributaria).
- Medidas de seguridad: Acceso restringido por rol, cifrado en tránsito y en reposo, respaldo periódico.
Ficha 2 — Gestión de clientes y ventas
- Finalidad: Procesar compras, emitir boletas/facturas y gestionar el programa de fidelización..
- Categorías de titulares: Clientes personas naturales.
- Categorías de datos: Identificación, contacto, historial de compras.
- Base de licitud: Ejecución de un contrato del que el titular es parte.
- Destinatarios / encargados: Plataforma de punto de venta, servicio de contabilidad externo.
- Transferencias internacionales: no.
- Plazo de conservación: 6 años desde la última transacción (obligaciones tributarias).
- Medidas de seguridad: Control de acceso por rol, cifrado en tránsito.
Ficha 3 — Marketing y comunicaciones comerciales
- Finalidad: Envío de boletines, promociones y campañas de fidelización por correo electrónico..
- Categorías de titulares: Clientes y prospectos suscritos.
- Categorías de datos: Nombre, correo electrónico, preferencias de compra.
- Base de licitud: Consentimiento del titular.
- Destinatarios / encargados: Plataforma de email marketing (proveedor SaaS extranjero).
- Transferencias internacionales: sí — Estados Unidos.
- Plazo de conservación: Hasta que el titular retire su consentimiento o se dé de baja.
- Medidas de seguridad: Doble opt-in, cifrado en tránsito, acceso restringido.
Ficha 4 — Videovigilancia de tiendas y bodegas
- Finalidad: Prevención de pérdidas y seguridad de personas y bienes en tiendas y bodegas..
- Categorías de titulares: Clientes, trabajadores y público general que ingresa a las tiendas.
- Categorías de datos: Imagen captada por cámaras de seguridad en zonas de acceso público (incluye datos sensibles).
- Base de licitud: Interés legítimo del responsable.
- Destinatarios / encargados: Empresa de seguridad externa que monitorea las cámaras.
- Transferencias internacionales: no.
- Plazo de conservación: 30 días, salvo que las imágenes deban conservarse por un incidente en curso.
- Medidas de seguridad: Acceso restringido a las grabaciones, cifrado de almacenamiento, registro de auditoría.
Ficha 5 — Gestión de proveedores y encargados de tratamiento
- Finalidad: Administrar contratos con proveedores que tratan datos personales por cuenta de la empresa (hosting, contabilidad, logística)..
- Categorías de titulares: Contactos de proveedores; clientes y trabajadores cuyos datos tratan estos proveedores.
- Categorías de datos: Identificación y contacto de contactos de proveedores; datos operacionales según el servicio contratado.
- Base de licitud: Ejecución de un contrato del que el titular es parte.
- Destinatarios / encargados: Proveedor de hosting en la nube, servicio de logística y despacho.
- Transferencias internacionales: sí — Estados Unidos, Irlanda.
- Plazo de conservación: Durante la vigencia del contrato de servicio y hasta 2 años después de su término.
- Medidas de seguridad: Contrato de encargo de tratamiento (DPA), cifrado en tránsito, control de acceso.
4. Encargados del tratamiento (terceros)
Los siguientes terceros tratan datos personales por cuenta de Retail Andino SpA, en calidad de encargados (art. 15 bis), conforme al contrato suscrito con cada uno:
- Gestión de remuneraciones y RR.HH.: Proveedor de software de remuneraciones (nube), Dirección del Trabajo, Previred
- Gestión de clientes y ventas: Plataforma de punto de venta, servicio de contabilidad externo
- Marketing y comunicaciones comerciales: Plataforma de email marketing (proveedor SaaS extranjero)
- Videovigilancia de tiendas y bodegas: Empresa de seguridad externa que monitorea las cámaras
- Gestión de proveedores y encargados de tratamiento: Proveedor de hosting en la nube, servicio de logística y despacho
5. Transferencias internacionales
Retail Andino SpA transfiere datos personales al extranjero en el contexto de las actividades descritas. - Marketing y comunicaciones comerciales: Estados Unidos.
- Gestión de proveedores y encargados de tratamiento: Estados Unidos, Irlanda. Se evalúa si el país de destino ofrece un nivel adecuado de protección y, en su defecto, se adoptan garantías apropiadas.
6. Medidas de seguridad generales
Con independencia de las medidas específicas de cada ficha, Retail Andino SpA aplica de forma transversal: Acceso restringido por rol, cifrado en tránsito y en reposo, respaldo periódico; Control de acceso por rol, cifrado en tránsito; Doble opt-in, cifrado en tránsito, acceso restringido; Acceso restringido a las grabaciones, cifrado de almacenamiento, registro de auditoría; Contrato de encargo de tratamiento (DPA), cifrado en tránsito, control de acceso.
7. Mantenimiento y actualización
Este Registro debe revisarse y actualizarse cada vez que se incorpore, modifique o elimine una actividad de tratamiento, y en todo caso de forma periódica, para reflejar el estado real del tratamiento y poder servir de evidencia ante la Agencia de Protección de Datos Personales o ante los tribunales.
*Fuente legal: Ley N° 19.628 (ref. Ley N° 21.719), arts. 14 ter (deber de información) y 14 quinquies (deber de medidas de seguridad y carga de la prueba). La estructura de este Registro es una herramienta de accountability sin formato legal único — pendiente de revisión de abogado.*
Política de Privacidad
Cómo tratas los datos personales, para cumplir el deber de información (art. 14 ter).
Política de Privacidad y Tratamiento de Datos Personales
⚠️ BORRADOR — pendiente de revisión de un abogado. No usar en producción sin validar.
Retail Andino SpA — RUT 76.543.210-3
Versión 1.0.0 · Vigente desde el 06-07-2026
La presente Política describe cómo Retail Andino SpA ("nosotros", el "Responsable") trata los datos personales de las personas ("titulares") con quienes se relaciona, en cumplimiento de la Ley N° 19.628 sobre Protección de los Datos Personales, según su modificación por la Ley N° 21.719.
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es Retail Andino SpA, RUT 76.543.210-3, con domicilio en Av. Providencia 1550, of. 802, Providencia, Santiago. Su representante legal es Francisca Javiera Muñoz Solar. El encargado de prevención / delegado de protección de datos designado es Tomás Ignacio Bravo Léniz (Delegado de Protección de Datos).
2. Contacto y cómo ejercer tus derechos
Puedes contactarnos y ejercer tus derechos escribiendo a privacidad@retailandino.cl o mediante el formulario de contacto disponible en nuestro sitio web. Toda solicitud será atendida en los plazos y condiciones que establece la ley.
3. Qué datos tratamos y para qué
A continuación se describen las categorías de datos personales que tratamos, las finalidades de cada tratamiento, las categorías de titulares, los destinatarios a quienes podemos comunicar los datos y la base de licitud que ampara cada tratamiento:
Tratamos datos de identificación y contacto de clientes y trabajadores, datos de remuneraciones y licencias médicas del personal, historial de compras, imágenes de videovigilancia en tiendas y bodegas, y datos de contacto de proveedores — ver el detalle completo en el Registro de Actividades de Tratamiento (RAT).
4. Seguridad de tus datos
Aplicamos medidas técnicas y organizativas apropiadas al nivel de riesgo para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y datos, y para evitar su pérdida, alteración o acceso no autorizado. Evaluamos periódicamente la eficacia de estas medidas. Entre otras, aplicamos: Acceso restringido por rol, cifrado en tránsito y en reposo, respaldo periódico; Control de acceso por rol, cifrado en tránsito; Doble opt-in, cifrado en tránsito, acceso restringido; Acceso restringido a las grabaciones, cifrado de almacenamiento, registro de auditoría; Contrato de encargo de tratamiento (DPA), cifrado en tránsito, control de acceso.
5. Tus derechos
Como titular de datos, la ley te reconoce los derechos de: acceso (conocer qué datos tuyos tratamos), rectificación (corregir datos inexactos o desactualizados), supresión (eliminación en los casos que la ley permite), oposición (oponerte a un tratamiento determinado), portabilidad (recibir tus datos en un formato electrónico estructurado y de uso común) y bloqueo. Estos derechos son personales e irrenunciables y su ejercicio es, por regla general, gratuito. Para ejercerlos, contáctanos por los medios indicados en la sección 2.
6. Reclamo ante la Agencia de Protección de Datos
Si rechazamos tu solicitud o no la respondemos oportunamente, tienes derecho a reclamar ante la Agencia de Protección de Datos Personales, en la forma y plazos que establece la ley.
7. Transferencias internacionales
Algunos de tus datos pueden ser tratados por proveedores ubicados fuera de Chile. - Marketing y comunicaciones comerciales: Estados Unidos.
- Gestión de proveedores y encargados de tratamiento: Estados Unidos, Irlanda. Cuando el país de destino no ofrezca un nivel adecuado de protección, adoptamos garantías apropiadas para resguardar tus datos.
8. Conservación de tus datos
Conservamos tus datos personales durante la vigencia de la relación contractual o laboral y hasta 6 años después de su término, conforme a las obligaciones legales, laborales y tributarias aplicables.
9. Origen de los datos
Los datos provienen directamente del titular (contratos, formularios de compra, postulaciones) y, en el caso de proveedores y encargados, de la relación contractual respectiva.
10. Retiro del consentimiento
Cuando un tratamiento se base en tu consentimiento, puedes retirarlo en cualquier momento, sin que ello afecte la licitud del tratamiento realizado antes de dicho retiro. El retiro se realiza por los mismos medios indicados en la sección 2.
Esta Política podrá actualizarse para reflejar cambios normativos u operativos; la versión vigente estará siempre disponible en nuestro sitio web.
*Fuente legal: Ley N° 19.628 (ref. Ley N° 21.719), artículo 14 ter (Deber de información y transparencia), literales a) a l).*
Procedimiento de Gestión y Notificación de Vulneraciones
Cómo detectar, evaluar y notificar una brecha de seguridad (art. 14 sexies).
Contrato de Encargo de Tratamiento (DPA)
El acuerdo modelo con cada proveedor que trata datos por ti (art. 15 bis).
Evaluación de Impacto (EIPD)
Análisis de riesgo para tratamientos de alto riesgo (art. 15 ter) — solo aplica si tu perfil activa alguno de los 4 supuestos.
4. Plan de remediación
Cada gap de la sección 2 se traduce en tareas concretas, agrupadas por fase, con doble validación: una persona responsable la entrega y una persona validadoradistinta la aprueba o la rechaza — el mismo ciclo “maker-checker” que usa tu equipo real.
Plan de remediación — ley-21719
BorradorMapear las actividades de tratamiento de datos personales
Levantar, por área (ventas, RR.HH., marketing, etc.), qué datos se tratan, con qué finalidad, base de licitud, destinatarios/encargados y plazo de conservación — insumo directo del RAT. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Definir responsable interno y canal de reporte de brechas
Designar quién recibe y escala internamente el reporte de una vulneración de seguridad, y el canal por el que el personal debe reportarla (correo/formulario) — precondición del procedimiento de brechas y del playbook del war-room. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Designar Delegado de Protección de Datos (DPO)
Designar formalmente a la persona (interna o provista por Thinkbox) responsable de coordinar el cumplimiento de la 21.719 en la empresa; habilita el Modelo de Prevención de Infracciones (atenuante). Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Generar y aprobar la Evaluación de Impacto (EIPD)
Producir la EIPD cuando el perfil de la empresa activa alguno de los cuatro supuestos del art. 15 ter (perfilamiento con efectos significativos, tratamiento masivo, monitoreo de zona pública o datos sensibles bajo excepción de consentimiento). Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Evaluar y documentar las transferencias internacionales de datos
Revisar cada proveedor/destinatario en el extranjero (incluye SaaS extranjero), determinar si el país ofrece nivel adecuado de protección y, si no, qué garantías aplican (cláusulas contractuales, certificaciones). Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Generar y aprobar el Registro de Actividades de Tratamiento (RAT)
Producir el RAT con el motor de documentos a partir del mapeo de tratamientos, y que el DPO lo revise con el abogado antes de aprobarlo. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Generar el Contrato de Encargo de Tratamiento (DPA) modelo
Producir el modelo de contrato de encargo a partir del RAT (para identificar a los encargados), y que el abogado lo revise antes de usarlo con los proveedores. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Generar y aprobar la Política de Privacidad
Producir la política de privacidad (deber de información y transparencia) a partir del RAT ya aprobado, y que el abogado la revise antes de publicarla. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Habilitar canal y procedimiento de atención de derechos ARCO+P
Dejar operativo el canal (formulario/correo) y el procedimiento interno para recibir y responder solicitudes de acceso, rectificación, supresión, oposición y portabilidad, con archivo de respaldo de cada respuesta. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Generar y aprobar el Procedimiento de Gestión y Notificación de Vulneraciones
Producir el procedimiento de brechas con el responsable/canal interno ya definidos, y que el abogado lo revise antes de aprobarlo. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Implementar privacidad desde el diseño en sistemas nuevos
Establecer una revisión de privacidad (checklist corta) antes de contratar o desarrollar cualquier sistema nuevo que trate datos personales, con configuración menos invasiva por defecto. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Implementar respaldos y plan de recuperación
Programar respaldos periódicos de los sistemas con datos personales y probar al menos una vez la restauración. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Implementar seudonimización y minimización de datos
Revisar formularios/sistemas y eliminar campos innecesarios; seudonimizar identificadores en entornos de prueba y analítica. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Implementar políticas de retención y eliminación
Definir plazos de conservación por tipo de dato y automatizar (o agendar) la eliminación/anonimización de datos vencidos. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Implementar registro de auditoría (logs)
Activar y centralizar el registro de accesos/actividad sobre datos personales, con retención mínima de 6 meses y acceso restringido para borrarlos. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Formalizar y firmar los DPA con cada encargado
Enviar, negociar y firmar el contrato de encargo (DPA) con cada proveedor que trate datos personales por cuenta de la empresa, a partir del modelo ya generado. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
Implementar control de acceso por rol (RBAC)
Configurar perfiles de acceso por rol en los sistemas que tratan datos personales, con principio de menor privilegio, y dejar evidencia del estado en org_medida_estado. Esfuerzo con confianza media (R8): estimación inicial a calibrar con los primeros proyectos reales.
¿Quieres esto para tu empresa? Conoce el servicio completo en thinkbox.cl/servicios/ley-21719 o escríbenos directamente a contacto@thinkbox.cl.
¿Aún no sabes cómo está tu empresa frente a la ley? Hazte el diagnóstico gratuito de 5 minutos.
Suite Thinkbox v0.10.0 ·