Ley 21.719: Protección de Datos Personales en Chile
Análisis completo de la Ley 21.719 que moderniza el régimen chileno de privacidad, refuerza los derechos de las personas y crea la Agencia de Protección de Datos Personales con facultades de fiscalización y sanción.
Cumplimiento real, verificable y auditable para la Ley 21.719
La Ley 21.719 moderniza por completo el régimen chileno de privacidad, refuerza los derechos de las personas y crea una Agencia de Protección de Datos Personales con facultades de fiscalización y sanción. A continuación, un análisis detallado de sus implicancias para organizaciones públicas y privadas.
¿Qué es la Ley 21.719 y por qué importa?
Fechas clave
| Hito | Fecha |
|---|---|
| Publicación | 13 de diciembre de 2024 |
| Entrada en vigencia | 1 de diciembre de 2026 |
| Período de adecuación | Diciembre 2024 – Diciembre 2026 (24 meses) |
¿Qué cambia respecto a la Ley 19.628?
Antes (Ley 19.628):
- Derechos en el papel sin autoridad fiscalizadora
- Sanciones irrisorias
- Obligaciones no exigibles
- Mecanismo lento y costoso para los titulares
Ahora (Ley 21.719):
- Agencia de Protección de Datos Personales autónoma
- Capacidad real de fiscalización e investigación
- Sanciones significativas y escalonadas
- Derechos reforzados con mecanismos efectivos
¿Por qué importa a nivel ejecutivo?
- Riesgo corporativo integral: legal, operativo, comercial y reputacional
- Multas hasta 20.000 UTM para infracciones gravísimas
- Responsabilidad directa del directorio y la alta dirección
- Estándar de accountability: se debe demostrar cumplimiento documentado
¿A quién aplica?
Regla general
La ley aplica sin excepción a cualquier entidad que maneje datos personales en territorio chileno. No existe umbral mínimo de facturación ni cantidad de datos. Es independiente del tamaño de la organización.
Dos roles clave
1. Responsable del tratamiento
Persona natural o jurídica que decide los fines y medios del tratamiento de datos.
Ejemplos: empresas con bases de clientes, hospitales, universidades, retailers, empleadores.
2. Encargado del tratamiento
Trata datos por cuenta del responsable, siguiendo sus instrucciones.
Ejemplos: proveedores de nube, contact centers, software SaaS, consultoras de analítica, data centers.
¿Quiénes deben prestar especial atención?
- Organizaciones con datos sensibles: sector salud (fichas clínicas, diagnósticos), educación (registros de menores), financiero (datos patrimoniales), seguros (datos de salud)
- Organizaciones con bases masivas: retail, telecomunicaciones, servicios digitales, e-commerce
- Organizaciones con transferencia internacional: datos en nube extranjera, compartidos con casa matriz en otro país, procesados por proveedores offshore
- Organizaciones con múltiples encargados: la responsabilidad no se diluye por delegación
- PYMEs: no están exentas; mismas obligaciones con enfoque proporcional al riesgo
- Sector público: municipalidades, servicios de salud, ministerios, universidades estatales, empresas públicas
¿Qué cambia con la Ley 21.719?
1. Nueva autoridad con facultades reales de enforcement
Se crea la Agencia de Protección de Datos Personales, una autoridad autónoma con:
- Facultades de fiscalización: investigaciones de oficio o por reclamo, requerimiento de información, acceso a instalaciones
- Facultades sancionatorias: multas graduadas, medidas correctivas, suspensión de tratamiento
- Facultades interpretativas: emisión de instrucciones y criterios de aplicación
Cambio de paradigma: antes se dependía de una vía judicial lenta y costosa. Ahora existe un canal directo ante la Agencia con facultades de investigación y sanción.
2. Derechos de los titulares reforzados y ampliados
Derechos ARCO tradicionales
- Acceso: saber qué datos tiene la organización, para qué finalidad, a quién los comunicó y por cuánto tiempo los conservará
- Rectificación: corrección de datos inexactos o incompletos
- Cancelación/Supresión: eliminación cuando no son necesarios, se revoca el consentimiento o el tratamiento fue ilícito
- Oposición: derecho a oponerse al tratamiento en circunstancias específicas, incluyendo marketing directo
Derechos nuevos
- Portabilidad: solicitar datos en formato estructurado, de uso común y lectura mecánica para trasladarlos a otro responsable. Afecta directamente a banca, telecomunicaciones y servicios digitales
- Decisiones automatizadas: derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos significativos; derecho a intervención humana
Plazos de respuesta
- 30 días hábiles para responder solicitudes
- Trazabilidad completa requerida: solicitud recibida, verificación de identidad, respuesta entregada, evidencia de cumplimiento
3. Cumplimiento demostrable (accountability)
Obligaciones documentales
- Registro de actividades de tratamiento: inventario actualizado con finalidades, categorías de datos, destinatarios, plazos de retención, bases legales y transferencias internacionales
- Políticas y procedimientos operativos: procedimientos internos documentados para consentimiento, atención de derechos, evaluación de encargados, respuesta a vulneraciones, retención y eliminación
Nuevos requisitos
- Evaluación de Impacto en Privacidad (EIPD): obligatoria para tratamientos de alto riesgo como perfilamiento masivo, datos sensibles a escala, nuevas tecnologías y vigilancia sistemática
- Privacy by Design y Privacy by Default: la privacidad debe estar integrada desde el diseño; las configuraciones por defecto deben minimizar el tratamiento de datos
Modelo preventivo
Según el Artículo 49, las organizaciones con programas de cumplimiento serios pueden acceder a atenuantes en caso de sanción. Esto incentiva la adopción proactiva de medidas de protección.
4. Régimen sancionatorio escalonado
La ley establece tres niveles de infracción con sanciones proporcionales:
Infracciones leves
Incumplimientos formales o menores.
Ejemplos: aviso de privacidad desactualizado, demoras en responder derechos sin mala fe.
Infracciones graves
Incumplimientos sustantivos que afectan derechos de los titulares.
Ejemplos: tratamiento sin base de licitud válida, no notificar vulneraciones, operar sin contratos con encargados, no atender derechos ARCO, tratar datos sensibles sin garantías reforzadas.
Infracciones gravísimas
Conductas más dañinas o negligentes.
Ejemplos: datos sensibles masivamente sin consentimiento expreso, obstruir la fiscalización, transferencias internacionales sin garantías, reincidencia.
Multa máxima: 20.000 UTM.
Factores que influyen en la sanción
Agravantes:
- Naturaleza y gravedad de la infracción
- Número de titulares afectados
- Nivel de daño sufrido
- Duración de la infracción (puntual vs. sistemática)
Atenuantes:
- Contar con un programa de cumplimiento documentado (Art. 49)
- Colaboración con la Agencia durante la investigación
- Adopción de medidas correctivas de forma voluntaria
5. Gestión de vulneraciones (data breach)
Obligaciones de notificación
- Notificar a la Agencia dentro de los plazos establecidos
- Describir: naturaleza de la vulneración, datos afectados, medidas adoptadas y recomendaciones para los titulares
- Comunicar a los titulares afectados cuando represente alto riesgo para sus derechos y libertades
Requisitos previos al incidente
Toda organización debe contar con:
- Procedimiento de respuesta probado antes del incidente
- Roles asignados y responsabilidades claras
- Criterios de evaluación de severidad
- Plantillas de notificación preparadas
- Canales de comunicación definidos
Recomendaciones para la adecuación
El período de adecuación de 24 meses (diciembre 2024 – diciembre 2026) es una ventana de oportunidad para que las organizaciones se preparen. A continuación, las acciones prioritarias:
- Realizar un diagnóstico de cumplimiento para identificar brechas respecto a la nueva normativa
- Designar un responsable de protección de datos o un equipo encargado del programa de cumplimiento
- Levantar un registro de actividades de tratamiento que documente todas las bases de datos y sus finalidades
- Revisar y actualizar las bases de licitud para cada tratamiento de datos personales
- Implementar procedimientos para atender los derechos ARCO y los nuevos derechos de portabilidad y decisiones automatizadas
- Evaluar a los encargados de tratamiento y formalizar contratos que cumplan con la ley
- Diseñar un plan de respuesta a vulneraciones con roles, plazos y plantillas de notificación
- Realizar evaluaciones de impacto en privacidad para tratamientos de alto riesgo
- Capacitar al personal en protección de datos personales y en el nuevo marco regulatorio
- Documentar el programa de cumplimiento para acceder a las atenuantes del Artículo 49
Conclusión
La Ley 21.719 representa un cambio de paradigma en la protección de datos personales en Chile. Pasa de un régimen declarativo sin enforcement real a un sistema con una autoridad autónoma, sanciones significativas y un estándar de accountability que exige cumplimiento demostrable.
Las organizaciones que inicien su proceso de adecuación de manera temprana no solo evitarán sanciones, sino que construirán confianza con sus clientes, socios y reguladores. La privacidad deja de ser un tema exclusivamente legal para convertirse en un componente estratégico de la gobernanza corporativa.
Fuente: Análisis basado en la Ley 21.719 de Protección de Datos Personales, publicada el 13 de diciembre de 2024. Para más información, consulte el texto oficial en la Biblioteca del Congreso Nacional de Chile.