Guía sobre la Ley de Protección de Datos Personales en Chile (Ley 21.719)

La protección de los datos personales ha dejado de ser una simple recomendación para convertirse en un requisito ineludible en el mundo empresarial chileno. La futura entrada en vigencia de la Ley 21.719, marca un hito en la regulación de la privacidad, exigiendo a las empresas un cambio profundo en sus procesos internos para resguardar adecuadamente la información de clientes, proveedores y colaboradores.

En este artículo, te ofrecemos una visión de la Ley 21.719, su alcance, obligaciones y pasos prácticos para garantizar el cumplimiento. Esta guía tiene un carácter educativo y busca orientar tanto a grandes corporaciones como a PYMES que deseen adaptarse a la nueva normativa de manera responsable y eficiente.

Ley Chile - Ley 21719 - Biblioteca del Congreso Nacional

Plazos de entrada en vigencia: La ley entrará en vigencia 24 meses después de su publicación, es decir 01-DIC-2026, otorgando a las organizaciones tiempo para adaptarse. Las PYMES contarán con 12 meses adicionales de gracia, recibiendo en ese período solo amonestaciones en vez de multas.

Revisa nuestra guía simplificada en youtube

Contexto de la Ley 21.719

Un cambio normativo histórico: La Ley 21.719, publicada el 13 de diciembre de 2024, moderniza la legislación chilena en materia de protección de datos personales. Esta nueva norma consolida derechos, impone obligaciones más estrictas para las organizaciones y crea una estructura institucional robusta, cuyo eje principal es la Agencia de Protección de Datos Personales.

Principales novedades respecto a la normativa anterior: (reemplaza a la anterior Ley N.º 19.628 y alinea a Chile con estándares internacionales en esta materia, como el Reglamento General de Protección de Datos de la Unión Europea.)

• Agencia de Protección de Datos Personales: Se instaura una autoridad de control independiente con facultades sancionatorias.
• Ampliación de derechos ARCO: Además del acceso, rectificación, cancelación y oposición, se suman nuevos derechos como la portabilidad y el bloqueo.
• Fuentes de licitud del tratamiento: Se precisan las bases legales que permiten el tratamiento de datos, como el consentimiento, la ejecución de contratos o el cumplimiento de obligaciones legales.
• Transferencias internacionales reguladas: Se establecen requisitos para el envío de datos fuera de Chile, garantizando niveles adecuados de protección.
• Sistema de sanciones más severo: Multas de hasta 20.000 UTM para infracciones gravísimas y mayor fiscalización por parte de la Agencia.

¿A quiénes Afecta esta Ley?

La Ley 21.719 tiene un alcance amplio. Aplica a cualquier entidad que trate datos personales en el territorio nacional o que procese información con el propósito de ofrecer bienes o servicios a personas en Chile. Esto incluye:

• Empresas públicas y privadas, sin importar su tamaño o sector.
• Organizaciones con fines comerciales, educativos, financieros, sanitarios, tecnológicos, entre otros.
• Negocios digitales, plataformas de e-commerce, startups y aplicaciones móviles.

Pasos para la Implementación del Cumplimiento

1. Diagnóstico Inicial y Análisis de Brechas: Antes de implementar cambios, es fundamental realizar un mapeo completo de los flujos de datos. Identifica qué información recolectas, para qué fines se utiliza, dónde se almacena y cuáles son las brechas con respecto a los nuevos requerimientos. Un diagnóstico exhaustivo permitirá priorizar acciones y optimizar recursos.

2. Desarrollo de Políticas y Procedimientos Internos: La Ley 21.719 exige contar con políticas claras y robustas. Algunas medidas clave incluyen:

• Redacción de contratos de tratamiento de datos con proveedores.
• Creación de políticas de privacidad transparentes y fácilmente accesibles.
• Procedimientos para la gestión de incidentes de seguridad.
• Establecimiento de cláusulas de confidencialidad y responsabilidad en la cadena de valor.

3. Implementación de Medidas Técnicas y Organizativas: La protección no se limita a las palabras, debe reflejarse en la infraestructura tecnológica y organizativa:

• Seguridad de la información: Encriptación, gestión de accesos, monitoreo de sistemas, herramientas de detección de vulnerabilidades.
• Evaluaciones de Impacto en Protección de Datos (EIPD): Especialmente en tratamientos de alto riesgo, se deben anticipar los efectos sobre la privacidad y aplicar medidas preventivas.
• Capacitación del Personal: La formación continua garantiza que cada colaborador entienda sus responsabilidades y actúe conforme a las nuevas normas. Un equipo informado previene errores y potencia la eficiencia.

Obligaciones y Responsabilidades Empresariales

Deberes del Responsable de Datos: La organización a cargo del tratamiento debe asegurar:

• Confidencialidad permanente, incluso tras el fin de la relación con el titular.
• Transparencia en el propósito de uso de los datos.
• Respeto por el principio de “protección desde el diseño”, incorporando salvaguardas desde el inicio de cada proyecto.

Seguridad y Notificación de Incidentes: La empresa está obligada a notificar a la Agencia ante brechas de seguridad que comprometan datos personales. Este proceso requiere procedimientos claros, responsables designados y documentación que respalde cada decisión.

Gestión de Consentimientos y Derechos ARCO: El titular debe poder ejercer sus derechos (acceso, rectificación, cancelación, oposición, portabilidad, bloqueo) de forma simple. El plazo de respuesta a solicitudes pasa a ser de 30 días corridos, lo que obliga a contar con sistemas ágiles de gestión interna.

Inversiones y Recursos Clave

Tecnología y Sistemas de Protección: Herramientas de protección de datos como cifrado, gobierno de datos, controles de acceso, registro de logs, monitoreo, herramientas de auditoría y sistemas para gestionar consentimientos y peticiones ARCO resultan esenciales para prevenir incidentes y demostrar cumplimiento ante la Agencia.

Capacitación y Concientización Interna: Invertir en formación, cursos, talleres y campañas de concientización refuerza la cultura de privacidad y reduce la probabilidad de errores humanos.

Asesoría Legal y Técnica Especializada: Dada la Ley 21.719, contar con expertos en protección de datos, oficiales de protección, auditores internos y abogados especializados puede marcar la diferencia entre un cumplimiento superficial y una adaptación sólida.

Conclusión

La Ley 21.719 no solo establece nuevas obligaciones, también representa una oportunidad de mejorar la confianza de clientes y socios, fortalecer la reputación y ganar una ventaja competitiva. Las empresas que se preparen tempranamente inviertan en capacitación, tecnología y asesoría, estarán mejor posicionadas para enfrentar los desafíos del mercado actual, cada vez más centrado en la privacidad y la protección de datos.

Los próximos meses son importantes. Actuar proactivamente, establecer una cultura corporativa centrada en la privacidad y aprovechar el período de adaptación permitirá a las organizaciones chilenas operar con mayor solidez, seguridad y credibilidad.

Preguntas Frecuentes (FAQs)

1. ¿Cuáles son las principales obligaciones bajo la Ley 21.719? Las empresas deben garantizar la confidencialidad, transparencia y seguridad en el manejo de datos personales, informar los fines del tratamiento, respetar los derechos de los titulares (ARCO, portabilidad, bloqueo), y notificar a la Agencia ante incidentes de seguridad relevantes.

2. ¿Cuándo entrará en vigor la Ley 21.719? La Ley 21.719 entrará en vigencia 24 meses después de su publicación. Las PYMES contarán con 12 meses adicionales de gracia, durante los cuales recibirán solo amonestaciones por incumplimientos.

3. ¿Qué medidas técnicas deben adoptarse? Se recomiendan sistemas de gobierno y seguridad de datos, controles de acceso, auditorías periódicas, herramientas para gestionar consentimientos, respuesta ágil a incidentes y evaluaciones de impacto en protección de datos.

4. ¿Cómo gestionar los derechos ARCO y otros derechos añadidos? Es necesario contar con herramientas tecnológicas que faciliten las solicitudes de los titulares, procedimientos documentados, verificación robusta de identidad y un registro actualizado de las peticiones.

5. ¿Qué inversiones debe realizar una empresa para cumplir la Ley 21.719? Se requerirá invertir en tecnología de protección de datos, capacitación constante del personal, asesoría legal y técnica especializada, así como en la designación de oficiales de protección de datos y la ejecución de evaluaciones de impacto.

¿Necesitas ayuda para adaptarte a la Ley 21.719? Si requieres orientación adicional o un acompañamiento especializado, el equipo de Kudaw está disponible para apoyarte en el diseño, implementación y optimización de tu programa de privacidad. Contáctanos en www.kudaw.com para comenzar con tu proceso de adaptación