Formulario en Construcción

CTA

Blog

¿Cómo protege Dapta los datos personales de tu edificio o empresa? Guía completa de seguridad y cumplimiento

Blog Dapta/General/ ¿Cómo protege Dapta los datos personales de tu edificio o empresa? Guía completa de seguridad y cumplimiento

Publicado: Marzo 2026 · Tiempo de lectura: 8 min · Actualización programada: Diciembre 2026

Si tu empresa o edificio usa un sistema de control de acceso, ya estás tratando datos personales — aunque nadie te lo haya explicado así. Con la entrada en vigencia plena de la Ley 21.719 en diciembre de 2026, eso conlleva obligaciones concretas. Esta guía explica exactamente qué hace Dapta con esa información, cómo la protege técnicamente y qué le corresponde hacer a cada parte.

En este artículo:

¿Qué es la Ley 21.719 y por qué afecta a tu edificio o empresa? 

La Ley 21.719 es la nueva ley chilena de protección de datos personales, promulgada en 2024 para reemplazar a la Ley 19.628 de 1999. Moderniza el marco legal nacional, lo alinea con el estándar GDPR europeo y crea la Agencia de Protección de Datos Personales (APDP), el organismo fiscalizador con facultades reales de sanción. Su implementación plena entra en vigencia en diciembre de 2026.

​La ley de 1999 fue escrita antes de que existieran las plataformas en la nube, los smartphones, el reconocimiento facial o los ciberataques a escala. Era, en la práctica, un marco insuficiente para el mundo digital actual. La Ley 21.719 cierra esa brecha.

¿Qué cambia con la nueva ley?

Los cambios más relevantes para empresas, administraciones de edificios y condominios son:

  • Base legal documentada por tratamiento:   ya no basta con "tener" los datos. Se debe justificar legalmente por qué se recopila cada uno y para qué fin específico
  • Nuevos derechos para los titulares:   se añade el derecho a la portabilidad de datos al catálogo ARCO existente
  • Notificación obligatoria de brechas:   las vulneraciones de seguridad que afecten datos personales deben comunicarse a la APDP y a los titulares afectados en plazos definidos
  • Delegado de Protección de Datos (DPD):   obligatorio para organizaciones que traten datos sensibles o a gran escala
  • Sanciones reales:   la APDP tendrá facultades para multar e investigar a responsables del tratamiento

¿Por qué el control de acceso está directamente involucrado?

El control de acceso es, por definición, tratamiento de datos personales. Cada vez que:

  • Un residente entra con su tarjeta o QR
  • Un visitante registra su RUT en recepción
  • Un contratista ficha su entrada a una faena
  • Un empleado accede a una zona restringida

...se genera un registro que vincula a una persona real con un lugar, una hora y un movimiento. Nombre, RUT, historial de acceso: datos personales bajo cualquier definición legal.

​Esto significa que toda empresa o administración que use un sistema de control de acceso opera como responsable del tratamiento de datos personales y tiene obligaciones concretas bajo la Ley 21.719. Y significa que el proveedor del sistema — Dapta — también las tiene.

¿Qué datos procesa Dapta y para qué?

Dapta procesa exclusivamente los datos estrictamente necesarios para la gestión de accesos físicos. No utilizamos esta información para fines comerciales, publicitarios ni de perfilamiento de ningún tipo.

Datos de residentes y empleados

DatoPropósito
Nombre y apellidoIdentificación del titular
RUT / documento de identidadVerificación de identidad
Correo electrónicoAsignación de credenciales digitales
Número de teléfonoComunicaciones operativas
Número de tarjeta de accesoControl de medio de acceso físico
Registro de acceso (fecha, hora, punto)Trazabilidad y seguridad

Datos de visitas y proveedores

DatoPropósito
Nombre y apellidoIdentificación del visitante
RUT / documento (manual o escaneado)Verificación de identidad
Empresa de origenContexto de la visita
Registro de entrada y salidaTrazabilidad y seguridad

¿Dapta recopila datos biométricos?

No por defecto. Dapta Access y Gestkontrol by Dapta no recopilan huellas dactilares, reconocimiento facial ni ningún otro dato biométrico de forma nativa o estándar.

Si un cliente opta por integrar tecnología biométrica compatible con la plataforma, la responsabilidad de obtener el consentimiento explícito e informado de cada titular recae sobre el cliente, conforme a la Ley 21.719. Los datos biométricos son datos sensibles bajo la nueva ley y requieren tratamiento especial. En ese escenario, Dapta actúa como encargado del tratamiento bajo instrucción del cliente responsable.

¿Quién es responsable de qué? El modelo responsable/encargado

Bajo la Ley 21.719, el "responsable del tratamiento" decide qué datos se recopilan, para qué y por cuánto tiempo. El "encargado del tratamiento" los procesa siguiendo instrucciones del responsable. En el modelo de Dapta, el cliente (administración del edificio o empresa) es el responsable, y Dapta es el encargado cuando procesa los datos ingresados a la plataforma.

Esta distinción es crítica y frecuentemente genera confusión. En términos prácticos:

Dapta actúa como responsable de los datos que recopila directamente, como  datos de clientes para gestión de contratos,  visitantes del sitio web dapta.cl,  leads y contactos comerciales.

Dapta actúa como encargado cuando procesa datos que el cliente ingresa a la plataforma, como  residentes, empleados, visitas y proveedores del edificio o empresa

¿Qué implica esto para ti como cliente de Dapta?

​En términos simples: Dapta provee la infraestructura técnica y los controles de seguridad, pero es tu organización quien decide qué datos se recopilan y quién accede a ellos. Eso tiene implicancias prácticas:

Como responsable del tratamiento, te corresponde:

  • Informar    a tus usuarios que sus datos se procesan a través de Dapta.
  • Obtener consentimientos.  cuando la ley lo requiera (en especial para datos biométricos).
  • Gestionar solicitudes ARCO+P   de tus propios usuarios. Dapta te entrega las herramientas técnicas para hacerlo.
  • Definir tus políticas de retención   en función de tus obligaciones legales sectoriales.

¿Dónde y cómo se almacenan los datos?

Una pregunta legítima de cualquier administrador o gerente de TI: ¿en qué servidores viven los datos de mi empresa y dónde están físicamente? La respuesta es concreta.

Toda la información gestionada en la plataforma Dapta se almacena en Amazon Web Services (AWS), en las regiones US East (Norte de Virginia, us-east-1) y Sudamérica (São Paulo, sa-east-1). No existen servidores propios con datos de clientes. La infraestructura es 100% cloud.​

¿Qué implica almacenar datos fuera de Chile?

Implica un flujo transfronterizo de datos, una práctica regulada expresamente por la Ley 21.719. Dapta gestiona esta transferencia mediante marcos legales robustos:

  • Cláusulas Contractuales Estándar (SCC): Acuerdos con el proveedor de infraestructura reconocidos internacionalmente como un mecanismo válido para la transferencia segura de datos.
  • Acuerdo de Procesamiento de Datos (DPA) :   Contrato que impide al proveedor de servicios de nube acceder o utilizar la información para fines ajenos a la prestación del servicio.
  • Base legal documentada:   El tratamiento se fundamenta en la necesidad contractual para la prestación del servicio y el interés legítimo de la organización.

Certificaciones de seguridad de la infraestructura

Nuestra infraestructura en la nube cuenta con certificaciones internacionales que respaldan el máximo nivel de protección: ISO 27001, ISO 27017, ISO 27018, SOC 2 Tipo II y SOC 3, además de cumplimiento íntegro con el estándar GDPR.

Arquitectura técnica y Resiliencia

  • Gestión de Datos: Utilizamos sistemas de gestión de bases de datos relacionales de alto desempeño, diseñados para cargas críticas empresariales.
  • Almacenamiento:   Los datos se encuentran distribuidos y replicados de forma automática en múltiples zonas de disponibilidad para evitar puntos únicos de falla.
  • Continuidad de Negocio: Contamos con políticas de respaldo automatizadas que permiten la recuperación de datos en puntos específicos del tiempo y almacenamiento cifrado a largo plazo para datos históricos.

¿Cómo protege Dapta los datos personales?

Dapta no incorpora seguridad como un parche al final: está integrada en cómo se construyó el sistema desde el principio. Esto se conoce como privacy by design. Las medidas de protección cubren cifrado, control de acceso, seudonimización, monitoreo y auditoría.

Cifrado: datos protegidos en tránsito y en reposo

  • En tránsito:    toda comunicación entre usuarios y servidores viaja encriptada con TLS 1.2/1.3. Los certificados SSL son gestionados a través de Cloudflare, añadiendo protección perimetral contra ataques DDoS e inyecciones maliciosas (WAF)
  • En reposo:   los datos en AWS RDS y sus backups (snapshots diarios) están cifrados con AES-256, el estándar de la industria para información crítica
  • Contraseñas:   almacenadas con hashing avanzado mediante OpenSSL + AES-256. Nunca en texto plano

Seudonimización

En la base de datos, los registros no aparecen con nombres reales. En cambio, se usan códigos internos que solo el sistema puede traducir. Esto se llama seudonimización y es la razón por la que, aunque alguien accediera ilegalmente a la base de datos, no vería quién es quién. Esto significa que incluso en el escenario hipotético de un acceso no autorizado a la base de datos, los registros no serían directamente atribuibles a personas reales sin la clave de mapeo.

Control de acceso a la plataforma (RBAC + MFA)

Dapta implementa un modelo de Control de Acceso Basado en Roles (RBAC) con principio de mínimo privilegio: cada usuario accede solo a lo necesario para su función.

La jerarquía de roles incluye: Súper Administrador (Dapta) → Administrador del cliente → Conserje/Recepcionista → Residente/Empleado/Visitante.

​Adicionalmente:

  • MFA obligatorio al 100% de los usuarios, sin excepción (TOTP o equivalente)
  • Cierre automático de sesión por inactividad
  • Sin acceso directo de terceros: integraciones externas exclusivamente por API con autenticación controlada

Audit Log permanente e inalterable

Cada acción dentro de la plataforma queda registrada: quién hizo qué, cuándo y desde dónde. Este registro no puede ser modificado ni eliminado por usuarios de la plataforma y sirve como evidencia forense ante incidentes de seguridad o requerimientos legales.

¿Cuánto tiempo se guardan los datos?

Guardar datos más tiempo del necesario no es solo innecesario — es un riesgo legal bajo la Ley 21.719. La ley establece el principio de minimización: los datos no deben conservarse más tiempo del necesario para el fin que justificó su recopilación. En Dapta, cada tipo de dato tiene un período definido:

Tipo de datoRetenciónCriterio
Registros de acceso y logs6 añosAuditoría y obligación legal
Credenciales activasMientras exista vínculo activoNecesidad operativa
Datos de cuenta del clienteContrato vigente + plazos tributariosObligación legal
Datos de marketingHasta revocación del consentimientoConsentimiento

¿Cómo se elimina la información de forma segura?

Una vez que un dato cumple su ciclo de vida, se elimina mediante un proceso de dos etapas:

1. Soft-delete (borrado lógico): Primero se desactiva el dato (el sistema deja de mostrarlo) — esto es el borrado lógico.

2. Hard-delete (borrado definitivo): Luego se elimina de forma permanente e irrecuperable — el borrado definitivo. Ningún backup lo conserva.

​Módulo ARCO+P en plataforma: Dapta incorporará un módulo que permitirá a administradores del cliente y a los propios usuarios ejecutar el borrado permanente e irreversible de sus datos directamente desde la interfaz, con trazabilidad completa de la acción ejecutada.

¿Con quién comparte datos Dapta?

Los datos gestionados en la plataforma Dapta no se venden, ceden ni comparten con terceros ajenos a la operación del servicio.

Las únicas excepciones operativas, todas con base legal documentada:

ReceptorRolBase legalFinalidad
El clienteResponsable del tratamientoEjecución de contratoAcceso a datos de su edificio o corporativo
AWSSub-procesador de infraestructuraEjecución de contratoHosting y disponibilidad del servicio
Asesores profesionalesTercero autorizadoInterés legítimo / Obligación legalAuditoría, asesoría jurídica
Autoridades competentesOrganismo públicoObligación legalRequerimientos legales o judiciales

¿Qué derechos tienes sobre tus datos? (ARCO+P)

Bajo la Ley 21.719, toda persona cuyos datos son procesados tiene derecho a acceder, rectificar, cancelar, oponerse y portar su información (derechos ARCO+P). También puede revocar su consentimiento en cualquier momento.

Los 5 derechos que te garantiza la Ley 21.719

Derecho de Acceso (A): conocer qué datos se tienen sobre ti, de dónde provienen y cómo se usan.

Derecho de Rectificación (R): corregir datos inexactos, incompletos o desactualizados.

Derecho de Cancelación / Supresión (C): solicitar la eliminación de tus datos cuando ya no sean necesarios o cuando revoques tu consentimiento, siempre que no exista otra base legal que justifique su conservación.

Derecho de Oposición (O): oponerte al tratamiento de tus datos en determinadas circunstancias, en especial para fines de marketing directo.

​Derecho de Portabilidad (nuevo en Ley 21.719) (P): recibir tus datos en un formato estructurado, legible por máquina y de uso común, para trasladarlos a otro responsable si lo deseas.

¿Cómo ejercer estos derechos?

Si eres cliente directo de Dapta (empresa o administración): contacta a contacto@dapta.cl

​Si eres residente, empleado o visitante cuyos datos ingresó la administración de tu edificio o tu empleador: dirígete en primera instancia al responsable del tratamiento (la administración o empresa), quienes gestionarán la solicitud con las herramientas que Dapta les provee.

​Tiempo de respuesta objetivo: plazo razonable conforme a los términos que establezca la reglamentación de la Ley 21.719.

Estado de cumplimiento Dapta: hoja de ruta 2026

La transparencia también implica reconocer qué está implementado y qué está en proceso.

Implementado

  • Cifrado AES-256 en reposo y TLS 1.2/1.3 en tránsito
  • Protección perimetral con WAF (Cloudflare + AWS)
  • MFA obligatorio al 100% de los usuarios
  • RBAC con principio de mínimo privilegio
  • Seudonimización de datos en base de datos
  • Audit Log permanente e inalterable
  • NDAs con todo el personal fijo, temporal y proveedores
  • Política de Privacidad y Términos y Condiciones publicados en dapta.cl
  • Protocolo documentado de transferencia transfronteriza (SCC + DPA con AWS)
  • Infraestructura certificada: ISO 27001, 27017, 27018, SOC 2 y SOC 3

En progreso

  • Módulo ARCO+P en plataforma
  • Designación formal de Delegado de Protección de Datos (DPD)
  • Registro de Actividades de Tratamiento (RAT)
  • Protocolo de notificación de brechas a APDP y titulares
  • Actualización contractual y documental a Ley 21.719

Preguntas frecuentes

¿Qué hace Dapta con los datos de las visitas de mi edificio?

Dapta almacena nombre, apellido, RUT y registro de entrada/salida de visitas en servidores de AWS con cifrado AES-256. Los datos se conservan 6 años por obligación legal y no se comparten con terceros. Su finalidad es exclusivamente el control de acceso y la trazabilidad de seguridad.

¿Cumple Dapta con la nueva Ley 21.719 de protección de datos de Chile?

Dapta está en proceso activo de adecuación a la Ley 21.719, con implementación plena programada para antes de diciembre de 2026. Las medidas técnicas ya están en funcionamiento (cifrado, MFA, RBAC, seudonimización, audit log). Los elementos de gobernanza —DPD, RAT, protocolo de notificación de brechas y módulo ARCO+P— están en desarrollo con fechas definidas.

¿Los datos de mis empleados o residentes están seguros en Dapta?

Sí. Los datos se almacenan cifrados con AES-256 en reposo y TLS 1.2/1.3 en tránsito, en infraestructura AWS certificada ISO 27001. El acceso está restringido por roles (RBAC), requiere MFA y queda registrado en un audit log inalterable. Los datos se seudonimizan en la base de datos.

¿Dapta guarda datos biométricos de huellas o rostros?

No por defecto. Dapta no recopila datos biométricos de forma nativa. Si un cliente implementa tecnología biométrica integrada a la plataforma, la responsabilidad de obtener el consentimiento explícito de cada titular recae sobre el cliente como responsable del tratamiento.

¿Cuánto tiempo guarda Dapta los registros de acceso?

Los registros de acceso (logs de entrada y salida de personas) se conservan por 6 años, criterio establecido por obligaciones de auditoría y cumplimiento legal. Las credenciales activas se mantienen mientras el usuario tenga vínculo vigente con las instalaciones.

¿Puedo solicitar que se eliminen mis datos del sistema de Dapta?

Sí. Bajo la Ley 21.719 tienes derecho a solicitar la cancelación o supresión de tus datos. Si tus datos fueron ingresados por la administración de tu edificio o tu empleador, la solicitud debe dirigirse a ellos en primera instancia. Durante el transcurso la plataforma contará con un módulo de autogestión para que los administradores ejecuten solicitudes ARCO+P directamente.

¿Dapta comparte mis datos con otras empresas o los vende?

No. Dapta no vende, cede ni comparte datos personales con terceros ajenos al servicio. El único acceso externo es AWS como sub-procesador de infraestructura, bajo contrato que le impide usar la información para cualquier fin propio.

¿Qué pasa con mis datos si el contrato con Dapta termina?

Al término del contrato puedes solicitar la exportación de tus datos. Dapta procede a la eliminación segura (soft-delete + hard-delete) de la información en sus sistemas conforme a los plazos documentados en la Política de Privacidad.

¿Dapta es compatible con el GDPR europeo?

Dapta opera bajo legislación chilena (Ley 21.719) y aplica estándares técnicos equivalentes al GDPR: cifrado, control de acceso por roles, minimización de datos, seudonimización y derechos ARCO+P. Clientes con operaciones que involucren titulares de datos europeos pueden solicitar condiciones específicas en contacto@dapta.cl.

¿Cómo notifica Dapta una brecha de seguridad?

Ante cualquier incidente, Dapta activa su protocolo interno de detección, contención y análisis de impacto. En 2026 se implementará el protocolo formal de notificación a la APDP y a los titulares afectados, conforme a los plazos que establezca la reglamentación de la Ley 21.719.

Última actualización: Marzo 2026
Para consultas sobre privacidad y protección de datos: contacto@dapta.cl

¿Necesitas implementar una solución de control de acceso?

Contáctanos y cuéntanos sobre tu proyecto

Suscribirme
logo.png

Dapta SpA © 2025 • Todos los derechos reservados

Chesterton #8547, Las Condes, Región Metropolitana, Chile.