Para guardar como PDF: Archivo → Imprimir → Guardar como PDF (orientación Vertical, tamaño A4, márgenes Predeterminados).
Usa este checklist para guiar la adecuación de tu empresa a la Ley 21.719 de Protección de Datos Personales. Avanza por fases, de la 1 a la 7: cada una se apoya en la anterior. Marca cada control resuelto; los que queden sin marcar son tu plan de trabajo. Prioridad: Alta = base del cumplimiento, hazlo primero · Media = importante, planifícalo · Base = consolida y mantiene en el tiempo.
38controles totales
7fases
__/38tu avance (completa al revisar)
| ✓ | Control | Prioridad |
|---|
|
Lista de todos los sistemas donde guardas datos personalesCRM, ERP, planillas, formularios web, correo, plataformas de marketing, backups. Incluye los informales (Drive, WhatsApp). |
Alta |
|
Para cada tratamiento: qué datos, de quién y con qué finalidadUna fila por actividad de tratamiento. Sin la finalidad clara no puedes asignar base legal después. |
Alta |
|
Datos sensibles identificados y marcados aparteSalud, biometría, origen étnico, religión, opiniones políticas, vida sexual. La ley los trata con reglas más estrictas. |
Alta |
|
Ubicación de cada base y quién tiene accesoSistema, servidor o servicio donde vive cada conjunto de datos y la lista de personas o roles con acceso. |
Media |
|
Plazo de conservación definido por tipo de datoEl principio de proporcionalidad obliga a no guardar datos más allá de lo necesario para su finalidad. |
Media |
|
Registro de Actividades de Tratamiento documentadoEl consolidado de todo lo anterior, en un documento que mantienes actualizado. Es la base de las fases 2 a 7. |
Media |
| ✓ | Control | Prioridad |
|---|
|
Cada tratamiento tiene una base legal asignadaConsentimiento, ejecución de un contrato, obligación legal o interés legítimo. Una base por cada actividad del inventario. |
Alta |
|
Consentimientos con acción afirmativa, sin casillas premarcadasLa ley exige consentimiento libre, específico, inequívoco e informado. Una casilla ya marcada no es consentimiento válido. |
Alta |
|
Mecanismo para registrar y demostrar el consentimientoDebes poder acreditar cuándo y cómo cada persona consintió. Guarda fecha, texto aceptado y origen. |
Media |
|
Tratamientos sin base válida identificadosPara cada uno: o consigues una base legal, o dejas de tratar esos datos antes de la entrada en vigencia. |
Alta |
|
Interés legítimo con evaluación de proporcionalidad documentadaSi te apoyas en interés legítimo, justifica por escrito que no prevalecen los derechos del titular. |
Base |
| ✓ | Control | Prioridad |
|---|
|
Política de privacidad actualizada y accesibleRefleja lo que realmente haces con los datos (tu inventario), no una plantilla genérica. Visible y permanente en el sitio. |
Alta |
|
Cada formulario informa qué datos pide, para qué y por cuánto tiempo"Para mejorar tu experiencia" no informa. Sé concreto en cada punto de recolección. |
Alta |
|
El aviso se entrega antes de recolectar, no despuésEl titular debe poder decidir con la información a la vista en el momento de entregar sus datos. |
Media |
|
Se informa con quién se comparten los datosCategorías de destinatarios o terceros con los que cedes o comunicas los datos. |
Media |
|
Lenguaje claro y sencilloLa información debe ser comprensible para cualquier persona, no solo para abogados. |
Base |
| ✓ | Control | Prioridad |
|---|
|
Canal publicado para ejercer derechosUn correo o formulario claro donde las personas pueden pedir acceso, rectificación, supresión, oposición, portabilidad o bloqueo. |
Alta |
|
Procedimiento interno para atender cada solicitudCómo se recibe, verifica la identidad, resuelve y responde. Escrito y conocido por el equipo. |
Alta |
|
Responsable asignado para responderUna persona o rol concreto a cargo de las solicitudes, no "el que esté disponible". |
Media |
|
Plazos de respuesta definidosTiempo objetivo para responder cada tipo de solicitud, con seguimiento de los casos abiertos. |
Media |
|
Capacidad de exportar los datos de un titular (portabilidad)Entregar sus datos en un formato electrónico estructurado, genérico y de uso común. |
Base |
|
Capacidad de eliminar o bloquear los datos de un titularPoder ejecutar la supresión o suspender el tratamiento a pedido, en todos los sistemas donde estén esos datos. |
Media |
| ✓ | Control | Prioridad |
|---|
|
Control de acceso por roles y mínimo privilegioCada persona accede solo a los datos que su función requiere. Sin cuentas compartidas. |
Alta |
|
Cifrado en tránsito (HTTPS/TLS) y en reposo donde correspondaTodo el sitio sobre HTTPS. Datos sensibles cifrados también en la base de datos cuando sea posible. |
Alta |
|
Backups configurados y restauración probadaUn backup no verificado no es un backup. Restaura en un entorno de prueba al menos una vez. |
Media |
|
Actualizaciones de seguridad al díaSistema operativo, CMS, plugins y dependencias sin vulnerabilidades conocidas sin parchar. |
Media |
|
Registro de accesos (logs) a datos personalesSaber quién accedió a qué y cuándo. Indispensable para investigar y acreditar ante una brecha. |
Media |
|
Plan de respuesta a brechas escritoQuién decide, a quién se notifica (Agencia y, si aplica, titulares) y con qué texto. La ley exige reportar sin dilaciones indebidas. |
Alta |
|
Plan de brechas ensayado al menos una vezUn simulacro revela los huecos antes de que ocurra el incidente real. Repítelo periódicamente. |
Base |
| ✓ | Control | Prioridad |
|---|
|
Lista de todos los proveedores que tratan datos por tiCRM, ERP, email marketing, hosting, contabilidad externa, cualquier servicio que procese datos de tus clientes. |
Alta |
|
Contrato con cláusulas de protección de datos con cada encargadoQué pueden hacer con los datos, qué medidas de seguridad mantienen y bajo qué instrucciones operan. |
Alta |
|
Verificación de las medidas de seguridad del proveedorSigues siendo responsable de esos datos. Confirma que el proveedor tiene una postura de seguridad razonable. |
Media |
|
Cláusula de devolución o eliminación de datos al terminarQué pasa con los datos cuando termina la relación con el proveedor: deben devolverse o eliminarse. |
Base |
| ✓ | Control | Prioridad |
|---|
|
Responsable interno (Delegado de Protección de Datos) designadoAunque sea a tiempo parcial. En una mipyme puede asumirlo el dueño o una jefatura. Debe conocer la ley. |
Media |
|
Evaluar la adopción del modelo de prevención de infraccionesEs voluntario (art. 49), pero certificarlo ante la Agencia funciona como atenuante frente a una fiscalización. |
Base |
|
Capacitación básica al equipo que maneja datosQuienes recolectan o procesan datos deben saber lo mínimo: bases de licitud, derechos y qué hacer ante una brecha. |
Base |
|
Revisión periódica del inventario y las políticasLos tratamientos cambian. Agenda una revisión al menos anual para mantener todo vigente. |
Base |
|
Calendario de cumplimiento con hito 1 de diciembre de 2026Fechas objetivo por fase para llegar a la entrada en vigencia con todo resuelto, sin acumular en el último mes. |
Media |
Este checklist es material informativo elaborado por Asentic y no constituye asesoría legal. La adecuación a la Ley 21.719 puede requerir el acompañamiento de un especialista, en especial si tratas datos sensibles o en gran volumen.