Ley 21.719 entra en vigencia el 1 de diciembre de 2026. Prepara tu empresa →
Ley 21.719 · Legal vs Técnico

Ley 21.719: ¿es un tema legal o técnico?

7 min de lectura Yourdevs SpA

Muchas empresas creen que cumplir la Ley 21.719 es solo contratar un abogado para redactar políticas. Otras piensan que basta con configurar bien los sistemas. La realidad es que el cumplimiento tiene dos caras inseparables: una legal y una técnica. Ignorar cualquiera de las dos deja brechas que la Agencia de Protección de Datos puede detectar en una fiscalización.

Evaluar mi situación Ver servicio
01

El mito: "con un abogado basta"

Cuando una empresa se entera de que debe cumplir la Ley 21.719, el primer impulso suele ser llamar a un abogado. Y tiene sentido: es una ley, parece un tema jurídico. El problema es asumir que con eso es suficiente.

Un abogado puede redactar la mejor política de privacidad del mundo. Pero si el formulario web no tiene checkbox de consentimiento, si el CRM no registra cuándo el usuario aceptó, si no hay forma de eliminar datos cuando alguien lo solicita... la política es papel mojado.

La ley exige "responsabilidad proactiva": no basta declarar cumplimiento en un documento. Debes poder demostrar con evidencia técnica que tus sistemas hacen lo que tus políticas prometen.

La Agencia de Protección de Datos no solo pedirá ver tus políticas. Querrá ver cómo están implementadas: logs, configuraciones, flujos de datos, tiempos de respuesta a solicitudes. Y eso no lo produce un contrato.

60-70%
del trabajo de cumplimiento es técnico y operativo, no legal
02

Qué tareas son legales y cuáles son técnicas

Cada obligación de la Ley 21.719 tiene un componente legal (qué debe decir el documento, qué base jurídica aplica) y un componente técnico (cómo se implementa en sistemas, cómo se automatiza, cómo se evidencia).

Obligación Componente Legal Componente Técnico
Registro de Actividades de Tratamiento (RAT) Definir finalidades, bases legales, categorías de datos, plazos de retención Inventariar sistemas, bases de datos, flujos de datos, integraciones SaaS
Derechos ARCO+ (6 derechos) Redactar procedimientos, plazos de respuesta (30 días corridos), formularios de solicitud Portal de autoservicio, automatización de búsqueda, bloqueo y eliminación de datos en múltiples sistemas
Consentimiento Redactar textos, definir granularidad, opt-in vs opt-out Checkboxes en formularios, almacenar prueba (timestamp, IP, versión), integrar con CRM
Evaluación de Impacto (EIPD) Análisis de riesgos legales, proporcionalidad, consulta previa Mapeo de flujos de datos, análisis de vulnerabilidades, configuración de controles
Notificación de brechas Definir qué constituye brecha, redactar comunicaciones, plazos Detección (SIEM, EDR), logs de auditoría, playbook de respuesta a incidentes
Transferencias internacionales Cláusulas contractuales tipo, análisis de país de destino Verificar dónde almacena datos cada SaaS, configurar residencia de datos en la nube
Seguridad de datos Políticas de seguridad, cláusulas con proveedores Cifrado, control de accesos, backup, pentesting, hardening de sistemas
Privacy by Design Requisitos legales para nuevos proyectos Desarrollo seguro, minimización de datos en código, pseudonimización

Como se ve en la tabla, ninguna obligación es 100% legal ni 100% técnica. Todas requieren colaboración entre ambos mundos.

03

Qué pasa cuando solo hay trabajo legal

Estos son escenarios reales que hemos visto en diagnósticos. Empresas con políticas impecables, pero sistemas que no las respaldan.

El consentimiento fantasma
La política de privacidad dice que existe consentimiento explícito. Pero el formulario web no tiene checkbox, y el CRM no registra fecha, hora ni versión del texto aceptado. En una fiscalización, no hay prueba de consentimiento válido.
El derecho imposible de ejercer
Un cliente pide eliminación de sus datos. El procedimiento está escrito: 15 días hábiles. Pero nadie sabe en cuántos sistemas está ese cliente: ERP, CRM, sistema de facturación, backups, Excel de marketing, plataforma de email. Cumplir el plazo es imposible sin inventario técnico.
La transferencia invisible
El contrato con el proveedor SaaS cumple todos los requisitos legales. Pero el SaaS replica datos automáticamente a servidores en un país sin reconocimiento de adecuación, y nadie lo verificó técnicamente. La transferencia ilegal ocurre sin que el contrato lo impida.
La brecha sin detección
El protocolo de notificación de brechas está perfectamente redactado: 72 horas para notificar a la Agencia. Pero no hay monitoreo que detecte cuando alguien extrae datos masivamente. La brecha ocurre y nadie se entera hasta que es tarde.
04

Qué pasa cuando solo hay trabajo técnico

El escenario inverso también genera problemas. Sistemas bien configurados, pero sin respaldo legal.

Seguridad sin base legal
Los datos están cifrados, hay control de accesos, backups automáticos. Pero nadie analizó bajo qué base legal se tratan esos datos. Si no hay consentimiento ni otra base válida, el tratamiento es ilegal aunque esté bien protegido.
Eliminación sin criterio
El sistema puede borrar datos automáticamente. Pero no hay política que defina cuándo corresponde hacerlo: ¿al terminar la relación comercial? ¿después de cuántos años? ¿qué pasa con obligaciones de retención tributaria? Sin criterio legal, se borra de más o de menos.
Proveedores sin contrato
Los sistemas están bien configurados y el SaaS cumple técnicamente. Pero no hay Data Processing Agreement (DPA) firmado que establezca responsabilidades. Si el proveedor tiene una brecha, la responsabilidad legal recae en ti sin respaldo contractual.

La conclusión es clara: legal sin técnico produce documentos que nadie puede cumplir. Técnico sin legal produce sistemas que no saben qué reglas seguir. Se necesitan ambos trabajando en paralelo.

05

El equipo de cumplimiento real

Un proyecto de cumplimiento de la Ley 21.719 necesita perfiles de ambos mundos. Pueden ser internos, externos o una combinación, pero todas estas funciones deben estar cubiertas.

LEG Abogado / Compliance
  • Redactar políticas de privacidad y avisos
  • Definir bases legales por tipo de tratamiento
  • Negociar y revisar DPAs con proveedores
  • Diseñar procedimientos de derechos ARCO+
  • Responder ante la Agencia en fiscalizaciones
TI Ingeniero de datos / TI
  • Inventariar sistemas que procesan datos personales
  • Mapear flujos de datos entre sistemas
  • Configurar herramientas de privacidad (Purview, etc.)
  • Implementar retención y eliminación automática
  • Generar reportes para el RAT
DEV Desarrollador
  • Implementar privacy by design en código
  • Desarrollar portal de derechos ARCO+
  • Crear APIs para búsqueda/eliminación de datos
  • Minimizar datos en formularios y bases
  • Implementar pseudonimización donde aplique
SEC Ciberseguridad
  • Configurar cifrado y control de accesos
  • Implementar monitoreo y detección de brechas
  • Realizar pentesting y gestión de vulnerabilidades
  • Definir respuesta a incidentes
  • Auditar configuraciones de seguridad

En empresas pequeñas, una misma persona puede cubrir varios roles técnicos. Lo importante es que ninguna de estas funciones quede descubierta. Si no tienes capacidad interna, la alternativa es externalizar la parte técnica, la legal, o ambas.

06

¿Cómo saber si tu brecha es legal o técnica?

Responde estas preguntas para identificar dónde están tus principales brechas de cumplimiento.

Preguntas de brecha legal
  • ¿Tienes política de privacidad actualizada a la Ley 21.719?
  • ¿Cada tratamiento tiene una base legal identificada y documentada?
  • ¿Tienes contratos de encargo (DPA) con todos tus proveedores SaaS?
  • ¿Existe un procedimiento escrito para atender derechos ARCO+?
  • ¿Tienes definidos los plazos de retención por tipo de dato?
Preguntas de brecha técnica
  • ¿Puedes listar todos los sistemas que almacenan datos personales?
  • ¿Puedes eliminar datos de un titular en todos los sistemas en menos de 72 horas?
  • ¿Tus formularios registran prueba de consentimiento (timestamp, IP, versión)?
  • ¿Tienes logs de quién accede a datos personales?
  • ¿Puedes detectar una extracción masiva de datos en menos de 24 horas?

¿Más de 2 respuestas negativas en cada columna? Tu empresa tiene brechas en ambos frentes. Te conviene un diagnóstico formal antes de diciembre 2026.

Ir al diagnóstico →
07

Cómo abordamos el cumplimiento en Yourdevs

No reemplazamos al abogado. Nos enfocamos en el 60-70% técnico que las consultoras legales no cubren, y trabajamos en paralelo con el equipo jurídico del cliente.

Lo que hacemos

  • Inventario de sistemas: mapeo de todas las aplicaciones, bases de datos y SaaS que procesan datos personales
  • Configuración de herramientas: Microsoft Purview, etiquetado de sensibilidad, políticas de retención
  • Automatización de derechos ARCO+: desarrollo de portales y APIs para búsqueda y eliminación de datos
  • Auditoría de flujos SaaS: verificación de dónde se almacenan datos y transferencias internacionales
  • Medidas de seguridad: cifrado, control de accesos, monitoreo, respuesta a incidentes

El aspecto legal: estamos para apoyar

No somos un estudio jurídico, pero eso no significa que te dejamos solo en la parte legal. Podemos darte orientación general, ayudarte a estructurar el proyecto y, si lo necesitas, conectarte con abogados especializados en protección de datos con quienes ya hemos trabajado.

¿Realmente necesito un abogado?

Depende de tu situación, pero la buena noticia es que la parte legal hoy tiene muchos recursos disponibles. Desde la implementación del GDPR europeo en 2018, el mercado se ha llenado de plantillas, modelos de políticas de privacidad, cláusulas tipo para contratos DPA y guías paso a paso — muchas gratuitas o de bajo costo.

Para la mayoría de las pymes, la documentación legal básica puede resolverse con estas herramientas más una revisión puntual de un abogado. No necesariamente requieres un estudio jurídico dedicado full-time.

El aspecto técnico es otra historia. No existen plantillas que configuren tus sistemas, mapeen tus flujos de datos o automaticen los derechos ARCO+. Cada empresa tiene una combinación única de aplicaciones, bases de datos, SaaS e integraciones. Eso requiere trabajo técnico real, adaptado a tu infraestructura específica.

En resumen: la parte legal tiene atajos viables. La parte técnica no. Por eso nos enfocamos en lo segundo: implementar el cumplimiento donde realmente se necesita experiencia técnica. Y si necesitas apoyo legal, te conectamos con quien corresponda.

08

El siguiente paso

Diciembre de 2026 parece lejano, pero los proyectos de cumplimiento toman tiempo: mapear sistemas, implementar controles, probar procesos y documentar evidencia. Las empresas que empiezan ahora llegan preparadas; las que esperan terminan improvisando bajo presión.

Si después de leer este artículo no tienes claro si tu brecha principal es legal o técnica — o si sospechas que son ambas — conversemos. Una llamada de 30 minutos suele ser suficiente para entender tu situación y definir por dónde empezar.

¿Quieres saber en qué estado está tu empresa? Agenda una conversación sin compromiso y te ayudamos a identificar las brechas críticas antes de que sea tarde.

Agendar conversación →

Contenido relacionado

Servicio

Privacidad y Protección de Datos

Artículos del blog

¿Necesitas cerrar la brecha técnica o legal?

En Yourdevs nos especializamos en la implementación técnica del cumplimiento: inventario de sistemas, configuración de herramientas, automatización de derechos ARCO+ y medidas de seguridad. Trabajamos en paralelo con tu equipo legal.

Evaluar mi situación Ver servicio
← Volver al Blog
Ver guía completa Ley 21.719 Ver ISO 27001 vs Ley 21.719 Ir al diagnóstico Ley 21.719 Ver ciberseguridad para empresas Ver desarrollo de software
WhatsApp

¿Tienes un minuto?

Nos gustaría saber tu opinión.

Responder encuesta