DPA con encargados Art. 15 bis — Qué cláusulas son obligatorias

El Art. 15 bis de la Ley 21.719 regula la relación entre el responsable del tratamiento y los encargados (o procesadores) de datos. Si tu empresa subcontrata servicios que implican tratamiento de datos personales — hosting, email, analytics, AI, CRM — necesitas un contrato escrito que cumpla con requisitos específicos.

¿Quién es un encargado del tratamiento?

Es toda persona natural o jurídica que trate datos personales por cuenta del responsable. Ejemplos comunes:

• Proveedores de hosting o cloud (AWS, Azure, Hostinger)
• Servicios de email transaccional (Resend, SendGrid)
• Proveedores de AI (Anthropic, OpenAI)
• CRMs y herramientas de marketing
• Empresas de payroll o contabilidad externa

Cláusulas obligatorias del Art. 15 bis

El contrato entre responsable y encargado debe incluir, como mínimo:

1. Objeto y duración del tratamiento

Definir claramente qué datos se tratan, con qué finalidad y por cuánto tiempo. No basta con una referencia genérica a "los servicios contratados".

2. Naturaleza y finalidad del tratamiento

Especificar si es almacenamiento, procesamiento, análisis, transmisión u otra operación sobre los datos.

3. Tipo de datos personales y categorías de titulares

Listar explícitamente qué tipos de datos se tratan (nombre, RUT, email, datos de salud, etc.) y a qué categorías de personas pertenecen (clientes, empleados, proveedores).

4. Obligaciones y derechos del responsable

El responsable mantiene la obligación de cumplir con la ley frente a los titulares. El contrato debe reflejar esto.

5. Instrucciones del responsable al encargado

El encargado solo puede tratar los datos conforme a las instrucciones documentadas del responsable. No puede usar los datos para fines propios.

6. Medidas de seguridad

El encargado debe implementar medidas técnicas y organizativas apropiadas para proteger los datos. Esto incluye cifrado, control de acceso, logs de auditoría, etc.

7. Subcontratación

Si el encargado quiere subcontratar parte del tratamiento, necesita autorización previa del responsable. El subencargado queda sujeto a las mismas obligaciones.

8. Asistencia al responsable

El encargado debe asistir al responsable en el cumplimiento de sus obligaciones: responder solicitudes ARCO+, notificar brechas, realizar DPIAs.

9. Devolución o eliminación de datos

Al terminar la relación, el encargado debe devolver todos los datos al responsable o eliminarlos de forma segura.

10. Auditoría

El responsable tiene derecho a auditar el cumplimiento del encargado. El contrato debe establecer los mecanismos para esto.

Consecuencias de no tener DPA

Sin contrato Art. 15 bis firmado, el responsable incurre en infracción grave del Art. 34 ter. Las multas por infracciones graves van desde 5.001 a 10.000 UTM.

Cómo lo resuelve LeySeguraDigital

Nuestro módulo de Encargados permite registrar cada proveedor con su contrato, tracking de vencimiento y renovación. Incluimos plantillas de contrato pre-validadas legalmente. Y practicamos lo que vendemos: nosotros mismos tenemos (o estamos en proceso de firmar) DPAs con todos nuestros subprocesadores.

Agenda una demo gratuita en leyseguradigital.cl para ver el módulo de Encargados.