Ley 21.719: La nueva protección de datos personales en Chile
Un análisis completo de la nueva ley que transforma el panorama de la protección de datos en Chile, sus implicancias para las organizaciones y los pasos concretos para cumplir con ella.
Contenido
1. Contexto: ¿Por qué una nueva ley?
Hasta 2024, Chile operaba con la Ley 19.628 de 1999, una normativa que quedó obsoleta frente a los desafíos de la era digital. No contemplaba principios como la rendición de cuentas (accountability), no exigía notificación de brechas de seguridad, y las sanciones eran prácticamente inexistentes en la práctica.
La Ley 21.719, publicada el 13 de diciembre de 2024, viene a llenar ese vacío. Se inspira en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y en las mejores prácticas internacionales, pero adaptada a la realidad chilena. Su objetivo es claro: proteger los datos personales como un derecho fundamental y crear un sistema de cumplimiento efectivo.
Esta ley no solo modifica la antigua 19.628, sino que la transforma por completo: cambia su nombre, incorpora decenas de nuevos conceptos, crea una agencia fiscalizadora y establece un régimen de sanciones reales.
2. Vigencia y plazo de adecuación
La ley fue publicada el 13 de diciembre de 2024 y su entrada en vigencia está fijada para el 1 de diciembre de 2026. Esto entrega a las organizaciones un período de aproximadamente 2 años para adecuarse — plazo que, considerando la magnitud de los cambios, es más bien acotado.
⚠️ Atención
Quedan menos de 6 meses para que la ley entre en vigor. Las organizaciones que no hayan iniciado su proceso de adecuación corren riesgos significativos.
Es importante destacar que la ley no solo aplica a empresas chilenas. También alcanza a organizaciones extranjeras que ofrezcan bienes o servicios a personas en Chile o que monitoreen su comportamiento (artículo 1° bis), siguiendo el principio de extraterritorialidad similar al GDPR.
3. Principales novedades de la Ley 21.719
La ley introduce cambios profundos en prácticamente todos los aspectos del tratamiento de datos. Estos son los más relevantes:
a) Principios rectores
Se establecen principios claros que deben guiar todo tratamiento de datos: licitud, lealtad, transparencia, finalidad, proporcionalidad, calidad, responsabilidad proactiva (accountability), seguridad y confidencialidad. Cada uno de estos principios tiene implicancias operativas concretas.
b) Consentimiento reforzado
El consentimiento debe ser libre, específico, informado, inequívoco y revocable. Ya no sirve el silencio o la inacción. Para datos sensibles, el consentimiento debe ser explícito. Las solicitudes de consentimiento deben estar claramente diferenciadas de otros asuntos y usar un lenguaje claro y accesible.
c) Categorías de datos
La ley distingue entre datos personales (cualquier información vinculada a una persona identificada o identificable), datos sensibles (origen racial, convicciones políticas, religiosas, datos biométricos, de salud, vida sexual, orientación sexual), y datos sobre condenas (antecedentes penales). Cada categoría tiene requisitos de tratamiento distintos.
d) Roles y responsabilidades
Se definen claramente los roles de responsable (quien decide sobre el tratamiento), mandatario (quien procesa por cuenta del responsable) y encargado de protección de datos (delegado, figura obligatoria en ciertos casos). Cada rol tiene obligaciones específicas.
e) Transferencias internacionales
Las transferencias de datos fuera de Chile requieren que el país de destino cuente con un nivel adecuado de protección (determinado por la Agencia) o que existan cláusulas contractuales tipo, normas corporativas vinculantes, o excepciones específicas (consentimiento, ejecución de contrato, etc.).
4. Derechos de los titulares
La ley reconoce y fortalece los derechos de las personas sobre sus datos personales. Conocidos como derechos ARCO+ (por sus siglas), incluyen:
Acceso
Solicitar qué datos se tienen y para qué se usan.
Rectificación
Corregir datos inexactos o incompletos.
Cancelación (Supresión)
Solicitar la eliminación de datos cuando corresponda.
Oposición
Oponerse al tratamiento para fines específicos.
Portabilidad
Solicitar los datos en un formato estructurado y portátil.
Bloqueo
Suspender temporalmente el tratamiento.
Las organizaciones deben contar con procedimientos claros para atender estas solicitudes en los plazos establecidos por la ley (generalmente 10 días hábiles, prorrogables), y llevar un registro de solicitudes recibidas y resueltas.
5. Obligaciones para las organizaciones
La ley impone un conjunto de obligaciones activas que las organizaciones deben implementar:
- Registro de actividades de tratamiento: Llevar un inventario actualizado de todos los tratamientos de datos que se realizan.
- Evaluación de impacto: Realizar análisis de riesgo para tratamientos que puedan generar alto riesgo para los titulares.
- Medidas de seguridad: Implementar medidas técnicas y organizativas apropiadas para proteger los datos (cifrado, control de acceso, copias de seguridad, etc.).
- Notificación de brechas: Reportar a la Agencia y a los titulares cualquier violación de seguridad que pueda generar un riesgo para los derechos de las personas.
- Designar un encargado de protección de datos: Obligatorio para organismos públicos y para responsables cuyo tratamiento masivo de datos lo requiera.
- Políticas y procedimientos: Contar con políticas de protección de datos, procedimientos internos y capacitación al personal.
6. Sanciones y multas
Una de las innovaciones más significativas de la Ley 21.719 es su régimen sancionatorio. La Agencia de Protección de Datos puede imponer multas que varían según la gravedad de la infracción:
| Gravedad | Multa | Ejemplos |
|---|---|---|
| Leve | Hasta 5.000 UTM ~$32M CLP |
No registrar actividades de tratamiento, no responder solicitudes ARCO en plazo |
| Grave | Hasta 10.000 UTM ~$65M CLP |
Tratar datos sin consentimiento, no implementar medidas de seguridad, transferencias internacionales sin resguardo |
| Gravísima | Hasta 20.000 UTM ~$130M CLP o 2% de ventas |
Tratamiento fraudulento de datos sensibles, no notificar brechas, obstrucción a la fiscalización |
Importante: Las multas pueden duplicarse si el infractor es un organismo público. Además, la ley contempla la responsabilidad solidaria entre responsable y mandatario, y la posible suspensión temporal del tratamiento como medida cautelar.
7. Agencia de Protección de Datos Personales
La ley crea la Agencia de Protección de Datos Personales, un organismo público descentralizado con personalidad jurídica y patrimonio propio. Sus funciones principales son:
- • Fiscalizar el cumplimiento de la ley.
- • Resolver reclamaciones de titulares contra responsables.
- • Imponer sanciones y multas.
- • Promover la protección de datos y la capacitación.
- • Emitir instructivos, normas y recomendaciones.
- • Mantener un registro de responsables de tratamiento.
- • Certificar mecanismos de protección de datos (sellos, certificaciones).
La Agencia será el punto de contacto para titulares y organizaciones, similar a lo que es la AEPD en España o la ICO en Reino Unido. Su creación marca un antes y un después en la fiscalización del cumplimiento normativo en Chile.
8. ¿Por dónde empezar?
La adecuación a la Ley 21.719 es un proceso que requiere tiempo y dedicación. Recomendamos seguir este plan de trabajo:
-
1
Diagnóstico inicial: Identificar qué datos se recolectan, cómo se almacenan, quién tiene acceso y cuáles son los flujos de datos en la organización.
-
2
Inventario de datos: Crear un registro detallado de todas las bases de datos, archivos y sistemas que contienen datos personales.
-
3
Evaluación de riesgos: Analizar vulnerabilidades en los procesos y sistemas que podrían exponer datos personales.
-
4
Plan de acción: Definir prioridades, asignar recursos y establecer un cronograma de implementación.
-
5
Implementación: Ejecutar las medidas técnicas (cifrado, control de acceso, backups) y organizativas (políticas, procedimientos, capacitación).
9. Cómo puede ayudar Lanedu
En Lanedu acompañamos a organizaciones de todos los tamaños en su proceso de adecuación a la Ley 21.719. Nuestros servicios incluyen:
🔍 Diagnóstico de protección de datos
Evaluamos tu situación actual frente a los requisitos de la ley.
📋 Inventario y registro de datos
Creamos y mantenemos tu registro de actividades de tratamiento.
🛡️ Seguridad en bases de datos
Implementamos cifrado, control de acceso, backups y monitoreo en PostgreSQL, MySQL y SQL Server.
🐳 Infraestructura segura
Diseñamos y administramos infraestructura Docker, VPS y cloud con foco en seguridad.
📄 Políticas y procedimientos
Redactamos las políticas de protección de datos adaptadas a tu organización.
🎓 Capacitación
Formamos a tu equipo en protección de datos, bases de datos y ciberseguridad.
Cristian López
Consultor en protección de datos e infraestructura · Lanedu
Este artículo fue elaborado con base en el texto oficial de la Ley 21.719 (Biblioteca del Congreso Nacional de Chile) y la experiencia práctica de Lanedu en procesos de adecuación normativa. Para consultas específicas sobre tu organización, no dudes en contactarnos.