by: chilcaPosted on:

Cumplimiento de la Ley de Protección de Datos Personales en Chile (o región LATAM): guía práctica para empresas

Chile modernizó completamente su marco de protección de datos con la Ley 21.719, publicada el 13 de diciembre de 2024, reemplazando una ley de 25 años (Ley 19.628). La nueva ley entra en vigor el 1 de diciembre de 2026, dando a las organizaciones 24 meses para cumplir.

Esta ley es GDPR-equivalente, creando obligaciones comparables a la regulación europea. Crea la Agencia de Protección de Datos Personales (APDP) con poder de fiscalización y sanción. Las multas pueden alcanzar hasta 20,000 UTM (~$1.44 millones USD) o hasta 4% de ingresos anuales globales para infracciones gravísimas.

Para empresas con operaciones en Argentina, Brasil, Colombia, México, Perú, Uruguay u otros países LATAM, esta guía también cubre convergencias regulatorias y diferencias clave.

1. Ley 21.719 Chile: Cambios Paradigmáticos respecto a Ley 19.628

1.1 Cambios Clave

AspectoLey 19.628 (Antigua)Ley 21.719 (Nueva)
Nombre“Sobre Protección de la Vida Privada”“Sobre Protección de Datos Personales”
Plazo respuesta a solicitud2 días hábiles30 días corridos
Derechos ARCOAcceso, Rectificación, Cancelación, BloqueoAcceso, Rectificación, Supresión, Oposición, Portabilidad, Bloqueo (ARCO+P)
ConsentimientoImplícito en muchos casosExplícito, informado, específico, inequívoco
Agencia reguladoraJuzgados civiles (disperso)Agencia Protección Datos (APDP) centralizada
Multas1-50 UTM5,000-20,000 UTM o hasta 4% ingresos
Registro de InfraccionesNoSí: Registro Nacional Público (daño reputacional permanente)
Delegado de Datos (DPD)No requeridoRecomendado, obligatorio en ciertos casos

1.2 Aplicabilidad Territorial (Extraterritorial)

La ley aplica a organizaciones sin importar su ubicación cuando:

  • Responsable o su mandatario estén establecidos en territorio nacional chileno, O
  • Mandatario realiza tratamiento a nombre de responsable en Chile, O
  • Operaciones destinadas a ofrecer bienes/servicios a titulares en Chile, O
  • Monitorear comportamiento de personas en Chile

Implicación: Empresa en EE.UU. o España procesando datos de chilenos = sujeta a Ley 21.719.

2. Derechos de Titulares de Datos: ARCO+P Fortalecidos

2.1 Derechos Individuales Expandidos

Acceso (A): Derecho solicitar y obtener confirmación si datos siendo tratados, acceso a ellos, y información sobre origen, finalidad, categorías de destinatarios, periodo de retención, intereses legítimos del responsable.

Rectificación (R): Modificar o completar datos inexactos, desactualizados, incompletos.

Cancelación/Supresión (C): Eliminar datos bajo ciertas causales (no es “derecho al olvido” absoluto como GDPR, existen excepciones).

Oposición (O): Dejar de usar datos con fines publicidad, investigación de mercado, encuestas. O oponerse a decisiones basadas en perfilamiento automatizado.

Portabilidad (P): Nuevo derecho en Chile. Solicitar copia de datos y que se transmitan entre responsables en formato estructurado, comúnmente usado.

2.2 Mecanismo de Ejercicio

Procedimiento:

  1. Titular presenta solicitud (email, formulario online, medio electrónico equivalente)
  2. Responsable acusa recibo
  3. Responsable pronuncia en 30 días corridos máximo
  4. Si rechaza: debe justificar (titular tiene 30 días para reclamar ante APDP)
  5. Si silencio > 30 días: titular reclama directamente ante APDP

Costo: Gratuito (excepto acceso/portabilidad > 1x/trimestre, responsable puede cobrar costos directos reales).

Bloqueo temporal: Titular puede solicitar bloqueo de datos mientras rectificación, supresión u oposición se procesa.

3. Obligaciones del Responsable del Tratamiento

3.1 Principios Fundamentales

Legalidad y Fairness: Solo procesar con base legal válida, de forma justa y transparente.

Propósito limitado: Procesar solo para propósitos explícitamente informados.

Proporcionalidad: Datos recogidos solo si necesarios para propósito.

Calidad: Datos exactos, actualizados, completos.

Accountability (Responsabilidad): Demostrar cumplimiento mediante políticas, registros, evidencia.

Transparencia: Informar claramente cómo se usan datos.

Confidencialidad: Proteger contra acceso no autorizado.

3.2 Obligaciones Específicas

1. Transparencia desde el Inicio

  • Proporcionar información clara sobre:
    • Identidad del responsable
    • Propósitos del tratamiento
    • Base legal de legitimación
    • Categorías de datos recogidos
    • Destinatarios de los datos
    • Periodo de retención
    • Derechos del titular (ARCO+P)
    • Cómo ejercer derechos

2. Consentimiento Explícito (para datos sensibles)

  • Consentimiento debe ser:
    • Libre: Sin coerción
    • Específico: Separado para cada propósito
    • Informado: Basado en información clara
    • Inequívoco: Affirmative action (no pre-checked boxes)

Excepciones: Consentimiento no requerido si:

  • Cumplir obligación legal (impuestos, reporte regulatorio)
  • Ejecutar contrato
  • Proteger intereses vitales (emergencia médica)
  • Interés legítimo (prevención fraude, seguridad red)
  • Datos hecho públicos por titular

3. Registro de Actividades de Tratamiento (RAT)

  • Mantener inventario vivo documentando:
    • Nombres de responsable y procesador
    • Propósitos de tratamiento
    • Bases de legitimación
    • Categorías de datos
    • Categorías de destinatarios
    • Periodos de retención
    • Medidas de seguridad

4. Designar Delegado de Protección de Datos (DPD)

  • Obligatorio: Entidades públicas, procesamiento masivo datos sensibles
  • Recomendado: Empresas privadas medianas/grandes
  • Función: Asesorar sobre cumplimiento, ser contacto con APDP, investigar reclamos

5. Evaluaciones de Impacto en Protección de Datos (EIPD)

  • Obligatoria para tratamientos de alto riesgo:
    • Datos sensibles a gran escala
    • Perfilamiento automatizado
    • Vigilancia sistemática
    • Transferencias internacionales
    • Combinación datos de múltiples fuentes
  • EIPD debe incluir:
    • Descripción del procesamiento
    • Evaluación de necesidad y proporcionalidad
    • Análisis de riesgos a derechos individuales
    • Medidas mitigation
    • Consulta con interesados

6. Seguridad y Medidas Técnicas

  • Privacy by Design: Incorporar protección desde el inicio
  • Privacy by Default: Máximas protecciones automáticamente
  • Medidas técnicas y organizacionales:
    • Encriptación de datos sensibles
    • Control acceso
    • Anonymización donde viable
    • Testing de seguridad
    • Planes de incidente

7. Notificación de Brechas

  • Notificar a APDP: Cuando brecha afecte seguridad datos personales
  • Plazo: “Tan pronto como sea posible” (interpretación: < 72 horas como GDPR)
  • Información: Naturaleza brecha, datos afectados, consecuencias probables, medidas tomadas
  • Notificar titulares: Si riesgo alto (riesgo de fraude, daño reputacional)

8. Transferencias Internacionales

  • Verificar país de destino tiene protección adecuada
  • O implementar garantías contractuales (Data Processing Agreement)
  • O invocar excepciones limitadas (consentimiento explícito, ejecución contrato)

4. Agencia de Protección de Datos Personales (APDP): La Nueva Autoridad

4.1 Estructura y Facultades

Composición: 3 consejeros especializados, independientes.

Facultades:

Normativas:

  • Dictar instrucciones y normas
  • Interpretar normas legales

Fiscalizadoras:

  • Investigar cumplimiento
  • Resolver reclamos de titulares
  • Auditorías

Sancionadoras:

  • Imponer multas y sanciones
  • Suspender operaciones

Certificadoras:

  • Certificar Modelos de Prevención de Infracciones (compliance programs)

4.2 Sanciones y Multas

Categorización de Infracciones:

Infracciones Leves:

  • Ejemplos: Incumplimiento procedural menor, información incompleta
  • Sanción: Amonestación escrita O hasta 5,000 UTM (~$360K USD)

Infracciones Graves:

  • Ejemplos: Falta consentimiento, incumplimiento derechos ARCO, brecha sin notificación
  • Sanción: Hasta 10,000 UTM (~$720K USD)

Infracciones Gravísimas:

  • Ejemplos: Venta masiva datos sin consentimiento, transferencias ilegales, reincidencia grave
  • Sanción: Hasta 20,000 UTM (~$1.44M USD) O hasta 4% ingresos anuales globales (lo que sea mayor)

Sanciones Accesorias (en infracciones gravísimas reiteradas):

  • Suspensión operaciones tratamiento (hasta 30 días, prorrogable)
  • Prohibición de procesar ciertos tipos datos

Reincidencia:

  • Multa hasta 3x monto original
  • Para grandes empresas reincidentes: hasta 2% (graves) o 4% (gravísimas) de ingresos

Registro Público:

  • APDP mantiene Registro Nacional de Sanciones y Cumplimiento
  • Público, accesible, daño reputacional permanente

5. Plan de Implementación: 24 Meses hasta Dec 1, 2026

Fase 1: Planning & Assessment (Meses 1-3)

Semana 1-2:

  •  Designar DPD (Data Protection Officer) o compliance lead
  •  Realizar inventario de datos personales (dónde, qué, por qué)
  •  Evaluar cumplimiento actual vs Ley 21.719
  •  Presupuetar implementación (~$100K-$500K dependiendo tamaño)

Semana 3-8:

  •  Mapear flujos de datos (collection → processing → storage → deletion)
  •  Identificar bases legales para cada tratamiento
  •  Listar todos los procesadores (vendors, cloud, consultores)
  •  Revisar consentimientos existentes (¿validan bajo nueva ley?)

Semana 9-12:

  •  Identificar tratamientos alto riesgo (requieren EIPD)
  •  Evaluar transferencias internacionales
  •  Realizar gap analysis detallado

Fase 2: Policy & Documentation (Meses 4-9)

  •  Actualizar Privacy Policy (GDPR-style, informar todos principios)
  •  Crear Data Processing Agreements con todos procesadores
  •  Implementar Registro de Actividades de Tratamiento (RAT)
  •  Crear políticas de seguridad datos
  •  Diseñar procedimiento respuesta derechos ARCO+P (SLA 30 días)
  •  Crear Evaluaciones de Impacto (EIPD) para tratamientos alto riesgo

Fase 3: Technical Implementation (Meses 10-18)

  •  Implementar sistemas respuesta automática derechos ARCO+P
  •  Mejorar encriptación datos sensibles
  •  Establecer controles acceso
  •  Crear plan respuesta a brechas (notificación < 72h)
  •  Implementar audit logging
  •  Pruebas de seguridad (penetration testing, etc)

Fase 4: Compliance & Testing (Meses 19-24)

  •  Certificar Modelo de Prevención de Infracciones (ante APDP)
  •  Capacitar equipo en nueva ley
  •  Audit interno de cumplimiento
  •  Test ejercicio derechos ARCO+P (funciona?)
  •  Test plan respuesta brechas
  •  Revisión final pre-Dec 1, 2026

6. Comparativa LATAM: Ley 21.719 vs Otras Jurisdicciones

Brasil: Lei Geral de Proteção de Dados (LGPD, 2020)

AspectoChile 21.719Brasil LGPD
VigenciaDec 1, 2026Ya vigente (2020)
DerechosARCO+PSimilares (LGPD: acceso, rectificación, supresión, portabilidad)
Bases legalesConsentimiento, obligación legal, interés legítimoConsentimiento, obligación legal, contrato, interés legítimo, protección crédito
AutoridadAPDP (nueva)ANPD (ya establecida)
MultasHasta 4% ingresosHasta 2% ingresos
Localization dataNo mandatorioNo mandatorio (pero favorecido)

Argentina: Ley de Protección de Datos Personales (2000, reforma pending)

Chile 21.719 es más moderno que ley argentina actual (2000), pero Argentina trabaja en reforma tipo GDPR. Mientras tanto:

AspectoChile 21.719Argentina (actual)
ConsentimientoExplícito para sensiblesConsentimiento variado
AutoridadAPDPAAIP
DerechosARCO+PARCO (sin portabilidad)
MultasHasta 4% ingresosHasta 100K ARS (~$1K USD)

Colombia: Ley de Protección de Datos Personales (1581, 2012)

Colombia históricamente tiene ley fuerte similar a GDPR. Chile 21.719 ahora es comparable:

  • Consentimiento explícito (“previo, expreso e informado”)
  • Autoridad: Superintendencia de Industria y Comercio (SIC)
  • Multas: Hasta 214 millones COP (~$50K USD)

7. Presupuesto Realista de Cumplimiento (Chile)

EmpresaAño 1Año 2Total 24m
Pequeña (< 50 emp)$30K$15K$45K
Mediana (50-500 emp)$80K$40K$120K
Grande (> 500 emp)$200K$100K$300K

Desglose típico:

  • Legal/consulting: 30%
  • Technology/tools: 25%
  • Personnel/training: 25%
  • Audit/certification: 20%

Herramientas software recomendadas:

  • BigID, OneTrust, TrustArc, Integris (Data Privacy Management)
  • Cost: $50K-200K/año dependiendo escala

8. Checklist de Implementación

Pre-Implementación

  •  Designar DPD/compliance lead
  •  Audit inicial de cumplimiento
  •  Presupuesto aprobado
  •  Sponsor ejecutivo asignado

Documentación

  •  Privacy Policy actualizada
  •  Data Processing Agreements con vendors
  •  Registro de Actividades de Tratamiento (RAT)
  •  EIPDs para tratamientos alto riesgo
  •  Políticas de respuesta a brechas
  •  Políticas de seguridad datos

Técnico

  •  Encriptación datos sensibles (en reposo y tránsito)
  •  Controles acceso (IAM, MFA)
  •  Sistemas respuesta ARCO+P (web form con SLA 30 días)
  •  Audit logging activado
  •  Backup/disaster recovery

Operacional

  •  Capacitación equipo
  •  Procedimiento respuesta brechas (< 72h)
  •  Contacto APDP establecido
  •  Monitoreo continuo

Compliance

  •  Audit interno
  •  Certificación Modelo de Prevención (ante APDP)
  •  Test de ejercicio derechos ARCO+P
  •  Revisión final pre-Dec 1, 2026

9. Conclusión y Próximos Pasos

La Ley 21.719 moderniza Chile al nivel de jurisdicciones como GDPR, Brasil, Colombia. Las empresas tienen 24 meses (hasta Dec 1, 2026) para cumplir.

Recomendación para actuar hoy:

  1. Semana 1: Designar DPD, hacer audit inicial
  2. Mes 1: Presupuetar, obtener aprobación ejecutiva
  3. Meses 2-3: Actualizar Privacy Policy, mapear datos
  4. Meses 4-12: Implementar políticas, sistemas, training
  5. Meses 13-24: Optimizar, testear, certificar

ROI: Evitar multa de $1.44M+ es justificativa económica inmediata. Competencia, confianza cliente son beneficios adicionales.