Primero: Entiende la diferencia fundamental
ISO 27001 y Ley 21.719 miran desde ángulos distintos. Ambas buscan seguridad, pero:
- ISO 27001: "¿Cómo gestiones la seguridad de TODA tu información importante?"
- Ley 21.719: "¿Cómo proteges ESPECÍFICAMENTE los datos personales?"
ISO es como un sistema de gestión general. Ley 21.719 es un requisito legal específico. ISO cubre procesos, documentación, roles, auditorías. Ley 21.719 cubre derechos de personas, bases legales, obligaciones contractuales.
Se solapan en controles técnicos (cifrado, acceso, trazabilidad), pero no son lo mismo.
Tabla comparativa: Qué cubre cada una
| Aspecto | ISO 27001 | Ley 21.719 |
|---|---|---|
| Alcance | Seguridad de información (datos, sistemas, infraestructura) | Protección de datos personales solamente |
| Tipo de norma | Estándar voluntario (se busca certificación) | Ley obligatoria (se exige cumplimiento) |
| Vigencia | Permanente (una vez certificado, cada 3 años auditoría) | 1 diciembre 2026 en adelante (obligatoria) |
| Autoridad reguladora | Ninguna (es estándar de industry) | Agencia de Protección de Datos Personales (APDP) |
| Sanciones | Pérdida de certificación (reputacional) | Multas hasta 20.000 UTM (~$1.5 millones USD) |
| Derechos de personas | No explicita (es implícito en controles) | Sí, explícito: Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Bloqueo |
| Documentación requerida | Política, manual, procedimientos, registros | Avisos, consentimientos, contratos, registro de tratamiento |
| Auditoría | Externa (anual/triencial) | Por APDP (discrecional, o si hay denuncia) |
En resumen: ISO 27001 es gestión. Ley 21.719 es obligación legal.
Dónde se solapan (y por qué es importante)
Controles técnicos compartidos
Ambas exigen:
- Acceso: Quién puede acceder a qué. Principio de menor privilegio
- Cifrado: Datos en reposo y en tránsito cifrados
- Trazabilidad: Logs que muestren quién accedió a qué, cuándo
- Copias de seguridad: Respaldos para recuperación ante desastres
- Gestión de proveedores: Control sobre quién accede a datos (validable con auditorías de seguridad)
Documentación compartida
Una política de seguridad (ISO) puede reforzar un aviso de privacidad (Ley 21.719). Un registro de tratamiento (requerido por ley) alimenta el inventario de activos (ISO). Los procedimientos de incidentes sirven para ambas.
Evidencia y trazabilidad
Ambas exigen demostrar cumplimiento. ISO mediante auditorías y certificados. Ley 21.719 mediante registros y capacidad de mostrar a la APDP que tienes controles.
Punto clave: Implementar ISO 27001 bien prepara el terreno para Ley 21.719. Pero una sola de las dos deja un hueco.
¿Cuál implementar primero? Depende de tu industria
Si eres SaaS o plataforma digital (startup/scaleup)
Prioridad: Ley 21.719 PRIMERO (2026 es deadline duro)
Razón: Tu negocio depende de manejar datos de clientes seguramente. La ley entra en vigencia en diciembre 2026. No hay tiempo que perder.
Timeline recomendado:
- Ahora (mayo 2026): Diagnóstico Ley 21.719
- Junio-julio: Implementación de controles legales (bases, avisos, consentimientos)
- Agosto-septiembre: Controles técnicos (cifrado, acceso, logs)
- Octubre-noviembre: Testing y validación
- Diciembre: Compliant
ISO 27001 puede venir después (2027) si lo necesitas para vender a empresas grandes.
Si eres empresa mediana (30-100 personas) con datos críticos
Prioridad: Implementar ambas en PARALELO (12-15 meses)
Razón: Necesitas ambas. ISO para orden interno, Ley 21.719 para cumplimiento legal. Hacerlas en paralelo es más eficiente que secuencial.
Timeline:
- Meses 1-2: Diagnóstico dual (qué está bien, qué falta en ambas)
- Meses 3-9: Implementación paralela (documentación, controles, procesos)
- Meses 10-12: Auditoría interna ISO, validación Ley 21.719
- Mes 13: Auditoría externa ISO, cumplimiento Ley 21.719 demostrable
Si eres empresa grande o crítica para economía
Prioridad: ISO 27001 PRIMERO (luego Ley 21.719)
Razón: Tu infraestructura es compleja. ISO establece la base de gestión que necesitas. Luego aplicas Ley 21.719 de forma más enfocada.
Timeline:
- Meses 1-4: ISO 27001 - Diagnóstico y diseño SGSI
- Meses 5-12: ISO 27001 - Implementación (políticas, procesos, controles)
- Meses 13-16: ISO 27001 - Auditoría y certificación
- Meses 17-20: Ley 21.719 - Implementación (bases legales, avisos, consentimientos)
- Mes 21: Ambas operacionales
Costo total: ¿Cuánto cuesta implementar ambas?
Solo ISO 27001
Pequeña empresa (30 personas): $15,000-25,000 USD Mediana empresa (80 personas): $25,000-50,000 USD Grande empresa (300+ personas): $50,000-150,000 USD
Solo Ley 21.719
Pequeña empresa: $5,000-10,000 USD Mediana empresa: $10,000-20,000 USD Grande empresa: $20,000-50,000 USD
Ambas en secuencia (ISO luego Ley)
Mediana empresa: $35,000-70,000 USD (costo total, no suma directa) Razón: Hay overlap. El 30-40% de ISO controles ya cumplen Ley 21.719
Ambas en paralelo (implementación integrada)
Mediana empresa: $25,000-40,000 USD (MÁS EFICIENTE) Razón: Una sola documentación, una sola auditoría inicial, procesos compartidos
Roadmap integrado: Cómo implementar ambas sin rehacer todo
Fase 1: Diagnóstico (Semanas 1-3)
Evaluamos: ¿Qué tienes? ¿Qué falta para ISO? ¿Qué falta para Ley 21.719? Output: Roadmap detallado de qué implementar, orden, timeline.
Fase 2: Documentación compartida (Semanas 4-8)
Escribimos UNA SOLA documentación que sirve para ambas:
- Política de Seguridad (ISO) + Aviso de Privacidad (Ley 21.719)
- Procedimiento de Gestión de Acceso (ISO) + Gestión de Derechos (Ley 21.719)
- Registro de Activos (ISO) + Registro de Tratamiento (Ley 21.719)
- Procedimiento de Incidentes (ambas)
- Gestión de Proveedores (ambas)
Fase 3: Implementación técnica (Semanas 9-16)
Controles que cumplen ambas:
- Acceso basado en roles (ISO + Ley 21.719)
- Cifrado de datos (ambas)
- Logs y trazabilidad (ambas). Validable con pruebas de penetración
- Gestión de cambios (ambas)
- Capacitación al personal (ambas)
Fase 4: Validación (Semanas 17-20)
Testing de todos los controles. Garantizamos que funcionan. Preparación para auditoría (ISO) y cumplimiento (Ley 21.719).
Fase 5: Auditoría (Semana 21+)
Auditoría externa para ISO 27001 (certificación). Validación interna de cumplimiento Ley 21.719 (demostrable a APDP si solicita).
Caso de estudio: Empresa mediana en Chile implementó ambas
Empresa: Consultora de RH, 45 empleados, maneja datos de clientes (empleados ajenos)
Situación inicial
- No tenía política de seguridad formal
- Excel con datos de clientes (sin cifrar)
- No sabía qué datos personales trataba
- Algunos emails con datos sensibles sin cifrar
Decisión
"Vamos a hacer ISO 27001 + Ley 21.719 juntas, integradas, no separado."
Plan implementado
- Mes 1: Diagnóstico dual (qué hay, qué falta para ambas normas)
- Meses 2-3: Documentación (una sola, que sirve para ambas)
- Meses 4-6: Implementación (cifrado, accesos, registro de tratamiento)
- Mes 7: Auditoría interna, validación
- Mes 8: Auditoría externa ISO, cumplimiento demostrable para Ley
Resultado
- Certificación ISO 27001 obtenida (8 meses)
- Cumplimiento Ley 21.719 demostrable
- Costo total: $32,000 USD (no $35,000 × 2 si hubieran sido por separado)
- Beneficio: Confianza de clientes, mejora operacional, cumplimiento legal asegurado
Aprendizaje clave: Implementarlas en paralelo no solo fue más barato, fue más eficiente. La documentación no se duplicó. Los controles se diseñaron UNA SOLA VEZ. Una vez en marcha, ambas se mantienen con auditorías regulares que validan el cumplimiento.
Preguntas frecuentes
¿Si cumplo ISO 27001, automáticamente cumplo Ley 21.719?
No. ISO es sobre procesos y controles. Ley 21.719 es sobre derechos de personas y bases legales. Una empresa podría tener ISO 27001 pero no haber obtenido consentimiento válido para tratamiento de datos (Ley 21.719). Necesitas ambas perspectivas.
¿Cuánto tiempo mantener un sistema de ISO 27001 + Ley 21.719?
Indefinidamente. ISO requiere auditoría anual/triencial para mantener certificación. Ley 21.719 es permanente (la ley no vence). Necesitas ambas operacionales siempre.
¿Puedo hacer ISO 27001 sin certificación externa?
Técnicamente sí. Puedes implementar ISO sin certificar (es caro). Pero la certificación es lo que prueba externamente que cumples. Sin certificación, cualquiera puede reclamar que tiene ISO. Con certificación, es verificable. Además, auditorías y pruebas continuas mantienen el sistema robusto.
¿Si me auditan por Ley 21.719, me piden ISO?
No. La ley no exige ISO. Pero tener ISO es buena defensa. Si la APDP audita y ves que cumples un estándar internacional (ISO), es evidencia de que tomaste la seguridad en serio.
¿La APDP audita a todas las empresas?
No. Audita si hay denuncia o si elige hacerlo discrecionalmente. Pero todos deben estar preparados. El riesgo de no cumplir es alto (multas hasta $1.5 millones USD).
Próximo paso: Evaluación de camino correcto
Ahora que sabes la diferencia entre ISO 27001 y Ley 21.719, el siguiente paso es: ¿Cuál es el camino correcto para TU empresa?
Eso depende de:
- Tipo de empresa (SaaS, manufactura, servicios, etc.)
- Tamaño (10 vs 100 vs 500 personas)
- Datos que manejas (sensibles, personales, financieros, etc.)
- Presupuesto disponible
- Timeline (¿cuándo necesitas cumplir?)
En Yourdevs hacemos evaluación gratuita para definir el roadmap correcto. Nos llevamos 2 horas entendiendo tu empresa, luego te proponemos el plan. Consideramos tanto ISO 27001 como privacidad y protección de datos. Contacta nuestro equipo de consultoría.