Se publica Ley de Protección de Datos Personales en Chile.

 El 13 de diciembre de 2024 se publicó en el Diario Oficial la Ley N°21.719, que regula la protección y el tratamiento de los datos personales en Chile. Esta normativa actualiza la legislación vigente, armonizándola con estándares internacionales, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, y refuerza los derechos de privacidad de los ciudadanos frente al tratamiento de su información personal.

En la era digital, los datos personales se han convertido en un recurso fundamental, utilizado no solo para el desarrollo de servicios y productos, sino también como motor de la economía global. Sin embargo, este creciente protagonismo ha traído consigo riesgos significativos para la privacidad y los derechos fundamentales de las personas. Frente a esta realidad, las sociedades han impulsado la creación de marcos normativos que garanticen un equilibrio entre el uso legítimo de la información y la protección de los ciudadanos.

Chile, consciente de este desafío, ha dado un paso crucial hacia la modernización de su legislación en materia de privacidad y tratamiento de datos personales. La aprobación y publicación de la Ley N° 21.719 marca un hito en la historia legislativa del país, alineándolo con estándares internacionales y reafirmando su compromiso con los derechos digitales de sus habitantes. Este nuevo cuerpo normativo no solo fortalece las garantías de los ciudadanos, sino que también responde a los desafíos de la economía digital y al cumplimiento de compromisos internacionales.

El texto que sigue ofrece un análisis de esta importante legislación, abordando sus principales aspectos, los derechos que protege, las obligaciones que impone, y el impacto que tendrá tanto a nivel nacional como en el escenario internacional.

1. Entrada en vigencia.

La ley establece un período de 24 meses para su entrada en vigencia[1], esto es, el 1 de diciembre de 2026. Durante este tiempo, las empresas y organismos públicos deberán adaptar sus políticas y procesos a las nuevas exigencias, incluyendo la implementación de evaluaciones de impacto en protección de datos y modelos de prevención de infracciones. Las pymes cuentan con un régimen diferenciado en cuanto a estándares de seguridad y sanciones.

2. ¿A quiénes aplica la Ley?

La Ley aplica toda persona natural; persona jurídica; u organismos públicos que realicen tratamiento de datos personales. Ello, con dos excepciones: (i) tratamientos en virtud de la libertad de emitir opinión e informar; y (ii) el tratamiento que realicen personas naturales respecto a sus actividades personales.

3. ¿Dónde aplica la Ley?

La Ley aplicará en el tratamiento de datos personales realizados por “Responsables” (personas naturales o jurídicas que deciden sobre fines y medios del TDP) y “Mandatarios” (personas naturales o jurídicas que tratan los datos personales, por cuenta del responsable) que:

a. Estén establecidos en el territorio nacional.

b. Realicen operaciones de TDP a nombre de un responsable en territorio nacional.

c. Cuyas operaciones de TDP estén destinadas a ofrecer bienes o servicios a titulares que estén en Chile. 

En estos dos últimos casos, esta regulación se aplicará incluso a quienes traten los datos personales sin encontrarse presentes en el territorio nacional. Este enfoque asegura que las prácticas locales se alineen con estándares globales, promoviendo un marco de protección robusto para los datos personales.

4. Derechos de los titulares de datos personales (derechos “ARCOP”)

 La nueva ley detalla los derechos de los titulares de datos personales, incluyendo: acceso, rectificación, supresión, oposición, portabilidad y bloqueo de datos personales. Además, regula el uso de tratamientos automatizados, como la elaboración de perfiles, y otorga a los ciudadanos la posibilidad de oponerse a decisiones basadas exclusivamente en procesos automatizados. La protección de datos sensibles, como los relativos a la salud, biometría y orientación sexual, también se refuerza, exigiendo el consentimiento expreso del titular, salvo en casos excepcionales.

5. Obligaciones para empresas y organismos públicos

 La ley impone nuevas obligaciones a quienes tratan datos personales. Las empresas deberán garantizar la seguridad de la información, implementar políticas de protección desde el diseño, adoptar medidas de seguridad y permitir a los titulares ejercer sus derechos. Para las entidades públicas, se establecen disposiciones que fomentan la transparencia y la coordinación eficiente en el manejo de datos, evitando duplicidades y asegurando el respeto a los principios de probidad.

6. Creación de la Agencia de Protección de Datos Personales (APDP)

La normativa introduce la Agencia de Protección de Datos Personales, encargada de fiscalizar el cumplimiento de las disposiciones legales, sancionar infracciones y orientar a la ciudadanía en el ejercicio de sus derechos. Este organismo, compuesto por tres consejeros especializados, tendrá potestad para imponer sanciones administrativas según la gravedad de las infracciones, con multas que pueden alcanzar hasta 20.000 UTM.

Dentro de las principales facultades que gozará esta entidad se encuentran:

Facultades normativas.

• Dictar instrucciones y normas generales.
• Aplicar e interpretar normas legales y reglamentarias.
• Proponer normas para asegurar la protección de datos personales.

Facultades fiscalizadoras.

• Cumplimiento de la normativa por parte de las personas o entidades obligadas por la misma.
• Resolución de solicitudes y reclamos de titulares de los derechos.

Facultades sancionadoras.

• Establecer infracciones e incumplimientos a la Ley.

7. Régimen de sanciones y categorías de infracciones

El catálogo de infracciones incluye conductas leves, graves y gravísimas. Las sanciones varían desde 5.000 UTM hasta 20.000 UTM, dependiendo de la gravedad y reincidencia. Por ejemplo, las infracciones gravísimas abarcan el tratamiento fraudulento de datos, mientras que las leves están asociadas al incumplimiento de deberes de información. Este régimen busca garantizar un cumplimiento riguroso de la normativa.

Con esta reforma, Chile busca posicionarse como un referente regional en protección de datos y facilitar la transferencia internacional de información. La aprobación de esta ley también marca el cumplimiento de compromisos adquiridos por Chile al ingresar a la OCDE en 2010. Este avance refuerza la protección de los derechos digitales de los ciudadanos y regula el uso de datos personales bajo estándares internacionales, equilibrando la promoción de la innovación con la privacidad de las personas.

La publicación de la Ley N° 21.719 representa un cambio trascendental en el marco legal chileno, fortaleciendo la protección de datos en la era digital. Aunque plantea desafíos para las organizaciones, también abre oportunidades para que el país lidere en materia de privacidad y economía digital en la región, garantizando un balance entre innovación y derechos fundamentales.

 María Jesús Pérez J.

Abogada área Litigios

Lizama Abogados

[1] El artículo señala “Artículo primero. - Las modificaciones a las leyes N° 19.628, sobre protección de la vida privada; N° 20.285, sobre acceso a la información pública, y N° 19.496, que establece normas sobre protección de los derechos de los consumidores, contenidas en los artículos primero, segundo y tercero permanentes de la presente ley, respectivamente, entrarán en vigencia el día primero del mes vigésimo cuarto posterior a la publicación de esta ley en el Diario Oficial”.