Protección de Datos Personales en Chile
La Ley 21.719 reemplaza la normativa de 1999 y alinea a Chile con estándares internacionales como el RGPD europeo. Toda organización que trate datos personales debe prepararse ahora.
¿Por qué esta ley cambia todo?
Chile moderniza su normativa de datos personales tras más de 25 años. La Ley 21.719 reemplaza la Ley 19.628 de 1999 y crea un marco de cumplimiento robusto con alcance extraterritorial.
Alineación con el RGPD
La nueva normativa sigue el modelo del Reglamento General de Protección de Datos europeo, estableciendo estándares de clase mundial en tratamiento, consentimiento y derechos de los titulares de datos.
Agencia de Protección de Datos
Se crea la primera autoridad nacional especializada en protección de datos personales, con facultades de fiscalización, sanción y supervisión del cumplimiento normativo.
Alcance extraterritorial
Aplica a toda organización que trate datos de personas en Chile, sin importar dónde esté ubicada. Si ofreces bienes o servicios a residentes chilenos o monitoreas su comportamiento, debes cumplir.
Todas las organizaciones
Empresas privadas, organismos públicos y PYMEs que manejen datos de clientes, empleados o proveedores deben cumplir. Las PYMEs tienen un período de gracia de un año con solo amonestaciones.
Los 7 principios de la ley
Toda organización debe incorporar estos principios como eje central de sus políticas de tratamiento de datos personales.
Licitud y Lealtad
El tratamiento debe tener una base legal válida. El responsable debe demostrar la licitud de cada procesamiento de datos que realiza.
Finalidad
Los datos solo pueden tratarse para los fines específicos y legítimos para los que fueron recolectados. No se permite el uso para propósitos distintos.
Proporcionalidad
Solo deben recopilarse los datos estrictamente necesarios y conservarse únicamente durante el tiempo requerido para cumplir su finalidad.
Calidad
Los datos deben mantenerse exactos, completos y actualizados. Las organizaciones deben corregir o eliminar datos inexactos o desactualizados.
Responsabilidad
No basta con cumplir: hay que poder demostrarlo. Las organizaciones deben evidenciar el cumplimiento de todos los principios y obligaciones legales.
Seguridad
El responsable debe implementar medidas técnicas y organizativas adecuadas para proteger los datos contra acceso no autorizado, pérdida o destrucción.
Transparencia
Las políticas y prácticas de tratamiento deben ser claras, accesibles e informadas proactivamente a los titulares de datos.
Derechos ARCO+ reforzados
La ley amplía significativamente los derechos de las personas sobre sus datos. Las organizaciones deben responder en un plazo máximo de 30 días, con extensión única de 30 días adicionales.
Acceso
Toda persona puede exigir saber qué datos se tienen sobre ella, cómo se usan y con quién se comparten.
Rectificación
Derecho a corregir datos incorrectos, incompletos o desactualizados en cualquier momento.
Supresión
Derecho al olvido: eliminación de datos cuando ya no sean necesarios o se retire el consentimiento.
Portabilidad
Recibir los datos en formato electrónico estándar para transferirlos a otro responsable de datos.
Oposición
Negarse o restringir ciertos tratamientos de datos, incluyendo la elaboración de perfiles automatizados.
Bloqueo
Solicitar la suspensión temporal del tratamiento mientras se resuelve una solicitud de rectificación o supresión.
¿Qué debe hacer tu organización?
La ley establece obligaciones concretas que implican cambios reales en políticas internas, contratos con proveedores, gestión de riesgos y sistemas de seguridad.
Delegado de Protección de Datos (DPO)
Designar un responsable especializado en protección de datos que supervise el cumplimiento normativo en organizaciones públicas y privadas relevantes.
Registro de actividades de tratamiento
Documentar de forma detallada cómo, para qué y con qué base legal se utilizan los datos personales en cada proceso de la organización.
Evaluaciones de impacto (EIPD)
Realizar análisis de riesgo para tratamientos de datos sensibles, perfilamiento masivo o cualquier procesamiento de alto riesgo para los derechos de las personas.
Notificación de brechas de seguridad
Reportar las filtraciones de datos a la Agencia de Protección de Datos y a los titulares afectados dentro de los plazos establecidos por la ley.
Protección por diseño y por defecto
Incorporar medidas de protección de datos desde el diseño de los sistemas y procesos, no como un añadido posterior. La privacidad debe ser la configuración predeterminada.
Contratos con encargados de tratamiento
Formalizar contratos escritos con todos los terceros que procesen datos por cuenta de la organización, estableciendo obligaciones claras de seguridad y confidencialidad.
Sanciones por incumplimiento
La Agencia de Protección de Datos podrá aplicar multas escalonadas según la gravedad de la infracción, además de incluir a la organización en el Registro Nacional de Sanciones.
Incumplimiento del deber de información y transparencia, como no indicar correo electrónico de contacto del responsable de datos.
Tratar datos personales sin una base de legitimación válida o vulnerar el deber de confidencialidad sobre los datos tratados.
Transferencia internacional ilegal de datos, obstrucción a la Agencia, o tratamiento fraudulento de datos sensibles a gran escala.
Hitos clave de implementación
El plazo de adecuación es de 24 meses desde la publicación. Es fundamental planificar con anticipación.
Publicación en el Diario Oficial
La Ley 21.719 fue publicada oficialmente, iniciando el período de 24 meses para la implementación completa por parte de todas las organizaciones.
Publicación de reglamentos
Los reglamentos que definen el detalle operativo de las obligaciones se publicarán durante este período. Fundamental monitorear estos desarrollos.
Ventana de adecuación activa
Período crítico para implementar cambios: mapeo de datos, designación del DPO, evaluaciones de impacto, actualización de contratos y sistemas de seguridad.
Entrada en vigencia plena
La ley comienza a aplicarse con todas sus obligaciones y sanciones. Las PYMEs tendrán un año adicional con solo amonestaciones (hasta diciembre 2027).
Checklist de adecuación
Acciones concretas que tu organización debe ejecutar antes de diciembre de 2026 para cumplir con la Ley 21.719.
🔧 Gobernanza y procesos
Designar un Delegado de Protección de Datos (DPO) con autonomía e independencia funcional.
Realizar un inventario completo de todos los datos personales que trata la organización.
Documentar las bases legales para cada actividad de tratamiento de datos.
Crear o actualizar la política de privacidad con lenguaje claro y accesible.
Implementar un mecanismo de gestión de consentimiento conforme a la ley.
Establecer procedimientos para responder solicitudes de titulares en 30 días.
🛡️ Seguridad y cumplimiento
Realizar evaluaciones de impacto (EIPD) para tratamientos de alto riesgo.
Implementar medidas de seguridad técnicas y organizativas adecuadas al riesgo.
Definir un protocolo de notificación de brechas de seguridad a la Agencia y titulares.
Revisar y actualizar contratos con proveedores que traten datos personales.
Verificar las transferencias internacionales de datos y su base legal.
Capacitar al equipo en protección de datos y cultura de privacidad.
El momento de actuar es ahora
Quedan pocos meses para la entrada en vigencia. Las implementaciones robustas requieren tiempo para diseño, desarrollo, testing y ajuste. No esperes hasta el último momento.
