¿Qué es la Ley 21.719?

La Ley 21.719 es la nueva normativa chilena que regula la protección y el tratamiento de los datos personales de las personas naturales. Publicada el 13 de diciembre de 2024, esta ley moderniza completamente el marco regulatorio existente, alineando a Chile con estándares internacionales similares al GDPR europeo.

La ley establece principios claros para el tratamiento de datos, reconoce nuevos derechos para los titulares, crea una autoridad de control independiente (la Agencia de Protección de Datos Personales) y define un régimen de sanciones para quienes incumplan sus disposiciones.

¿A quién aplica?

La ley aplica a toda persona natural o jurídica, incluidos los órganos públicos, que realice tratamiento de datos personales en Chile o que, estando fuera del territorio nacional, dirija sus operaciones a titulares que se encuentren en Chile.

Esto incluye empresas que:

• Recolecten datos de clientes, empleados o proveedores
• Ofrezcan bienes o servicios a personas en Chile
• Monitoreen el comportamiento de personas en territorio nacional
• Traten datos por cuenta de un responsable establecido en Chile

Principios fundamentales

El tratamiento de datos personales se rige por los siguientes principios:

Principio	Descripción
Licitud y lealtad	Los datos solo pueden tratarse de manera lícita y leal. El responsable debe poder acreditar la licitud.
Finalidad	Los datos deben recolectarse con fines específicos, explícitos y lícitos. No se pueden usar para fines distintos a los informados.
Proporcionalidad	Solo se deben tratar los datos estrictamente necesarios para los fines del tratamiento.
Calidad	Los datos deben ser exactos, completos, actuales y pertinentes.
Responsabilidad	Quienes traten datos son legalmente responsables del cumplimiento de la ley.
Seguridad	El responsable debe garantizar estándares adecuados de seguridad contra tratamiento no autorizado, pérdida o destrucción.
Transparencia	El responsable debe informar al titular sobre las políticas y prácticas de tratamiento de datos.
Confidencialidad	El responsable y quienes accedan a los datos deben guardar secreto, incluso después de terminada la relación.

Derechos de los titulares (ARSOP)

La ley reconoce un conjunto amplio de derechos para las personas titulares de datos personales:

• Derecho de acceso: Solicitar confirmación de si sus datos están siendo tratados y acceder a ellos.
• Derecho de rectificación: Solicitar la corrección de datos inexactos, desactualizados o incompletos.
• Derecho de supresión: Solicitar la eliminación de datos cuando ya no sean necesarios, se revoque el consentimiento o hayan sido obtenidos ilícitamente.
• Derecho de oposición: Oponerse al tratamiento de datos en ciertos casos, especialmente para marketing directo.
• Derecho a la portabilidad: Solicitar una copia de sus datos en formato electrónico estructurado y transferirlos a otro responsable.
• Derecho de bloqueo: Solicitar la suspensión temporal del tratamiento mientras se resuelve una solicitud.

Estos derechos son personales, intransferibles e irrenunciables.

Consentimiento

El consentimiento es la base principal de licitud para el tratamiento de datos. Debe ser:

• Libre: No puede ser condición para acceder a un servicio cuando no es necesario.
• Informado: El titular debe conocer qué datos se recolectan y para qué.
• Específico: Debe referirse a finalidades concretas.
• Inequívoco: Mediante declaración o acción afirmativa clara.

El titular puede revocar el consentimiento en cualquier momento, sin efectos retroactivos.

Datos personales sensibles

La ley otorga protección especial a los datos sensibles, que incluyen:

• Origen étnico o racial
• Afiliación política, sindical o gremial
• Convicciones ideológicas, filosóficas o religiosas
• Datos de salud y perfil biológico
• Datos biométricos
• Vida sexual, orientación sexual e identidad de género
• Situación socioeconómica

El tratamiento de datos sensibles requiere consentimiento expreso del titular, salvo excepciones específicas establecidas en la ley.

Obligaciones del responsable de datos

Las empresas y organizaciones que traten datos personales deben cumplir con:

1. Deber de información y transparencia: Mantener públicamente disponible su política de tratamiento de datos, incluyendo finalidades, categorías de datos, destinatarios y derechos del titular.
2. Deber de seguridad: Adoptar medidas técnicas y organizativas para proteger los datos, incluyendo cifrado, control de acceso y capacidad de restauración.
3. Deber de confidencialidad: Mantener secreto sobre los datos personales, incluso después de terminada la relación con el titular.
4. Protección desde el diseño: Aplicar medidas de protección desde el diseño y por defecto en todos los sistemas.
5. Reporte de vulneraciones: Reportar a la Agencia las vulneraciones de seguridad que afecten datos personales.
6. Evaluación de impacto: Realizar evaluaciones de impacto cuando el tratamiento pueda generar alto riesgo para los titulares.

La Agencia de Protección de Datos Personales

La ley crea la Agencia de Protección de Datos Personales, una corporación autónoma de derecho público que tendrá las siguientes funciones principales:

• Dictar instrucciones y normas generales sobre tratamiento de datos
• Fiscalizar el cumplimiento de la ley
• Determinar infracciones y aplicar sanciones
• Resolver reclamos de titulares de datos
• Certificar modelos de prevención de infracciones
• Administrar el Registro Nacional de Sanciones y Cumplimiento

Régimen de sanciones

La ley establece tres niveles de infracciones con sus respectivas multas:

Tipo	Multa máxima	Ejemplos
Leves	5.000 UTM	Incumplir deber de información, no responder solicitudes a tiempo
Graves	10.000 UTM	Tratar datos sin consentimiento, impedir ejercicio de derechos, vulnerar seguridad
Gravísimas	20.000 UTM	Tratamiento fraudulento, vulnerar confidencialidad de datos sensibles, omitir reportes de seguridad

En caso de reincidencia para empresas que no sean de menor tamaño, las multas pueden alcanzar hasta el 2% o 4% de los ingresos anuales por ventas, según la gravedad.

Transferencia internacional de datos

La transferencia de datos personales a otros países es lícita cuando:

• El país receptor tenga niveles adecuados de protección (determinados por la Agencia)
• Existan cláusulas contractuales o normas corporativas vinculantes con garantías adecuadas
• El titular otorgue consentimiento expreso para la transferencia específica
• Sea necesaria para la ejecución de un contrato con el titular

Plazos clave

• 13 de diciembre de 2024: Publicación de la ley en el Diario Oficial
• Junio 2025: Plazo para dictar reglamentos
• Junio 2026: Primera designación de consejeros de la Agencia
• 1 de diciembre de 2026: Entrada en vigencia plena de la ley

Modelo de prevención de infracciones

Las empresas pueden adoptar voluntariamente un programa de cumplimiento que incluya:

• Designación de un delegado de protección de datos (DPO)
• Identificación de riesgos en las actividades de tratamiento
• Protocolos y procedimientos para prevenir infracciones
• Mecanismos de reporte interno y a la Agencia
• Sanciones internas por incumplimiento

La certificación del modelo por la Agencia constituye una circunstancia atenuante en caso de infracciones.

Plantillas y recursos descargables

Hemos preparado plantillas de ejemplo para ayudarte a implementar los documentos clave que exige la Ley 21.719. Cada plantilla incluye la estructura completa con campos editables y referencias a los artículos correspondientes.