La nueva Ley de Protección de Datos Personales en Chile: qué deben saber las empresas

Tu empresa maneja correos electrónicos de clientes, datos de facturación, registros de compras y, si tienes personal, datos laborales de tus trabajadores. Todo eso son datos personales. Hasta ahora, la regulación chilena era bastante laxa. Eso cambió con la Ley 21.719, aprobada en 2024, que moderniza completamente el régimen de protección de datos en Chile.

Lo que debes saber antes de seguir

• La Ley 21.719 fue aprobada en diciembre de 2024 y reemplaza la antigua Ley 19.628.
• La entrada en vigencia es gradual: algunas disposiciones ya están en vigor y otras tienen plazo de adecuación de 24 meses desde su publicación.
• Crea la Agencia de Protección de Datos Personales, un organismo autónomo con facultades de fiscalización y sanción.
• Las multas van desde 50 UTM (infracciones leves) hasta 20.000 UTM en los casos más graves, lo que a valores actuales puede superar los $1.600 millones de pesos.

Los principios que rigen el tratamiento de datos

La ley organiza el tratamiento de datos personales en torno a principios que deben guiar cada decisión de la empresa:

Licitud. Solo se pueden tratar datos personales cuando existe una base legal que lo justifique. Las bases legales son: el consentimiento del titular, la existencia de un contrato con el titular, una obligación legal, el interés vital de alguien, una tarea de interés público, o el interés legítimo del responsable del tratamiento (con límites).

Finalidad. Los datos deben recogerse para un propósito específico, explícito y legítimo, y no pueden tratarse posteriormente de forma incompatible con ese propósito. Si una empresa recoge el correo de un cliente para enviarle una factura, no puede usarlo automáticamente para enviarle publicidad.

Proporcionalidad. Solo se pueden recoger los datos que son necesarios para el fin declarado. No está permitido acumular datos “por si acaso sirven en el futuro”.

Seguridad. El responsable del tratamiento debe implementar medidas técnicas y organizativas adecuadas para proteger los datos contra pérdida, acceso no autorizado, alteración o divulgación.

Responsabilidad proactiva. El cumplimiento de la ley no se demuestra solo cuando hay una denuncia; la empresa debe poder acreditar en cualquier momento que sus prácticas de tratamiento cumplen con la normativa.

Los derechos del titular de los datos

La ley reconoce un conjunto de derechos que toda persona natural tiene respecto de sus propios datos:

Acceso. El titular puede saber qué datos tiene la empresa sobre él, de dónde los obtuvo, con qué finalidad y a quién los ha comunicado.

Rectificación. Si los datos son inexactos o incompletos, el titular puede pedir que se corrijan.

Cancelación o supresión. El titular puede pedir que se eliminen sus datos cuando ya no son necesarios para el fin que justificó su recolección, o cuando revoca su consentimiento.

Oposición. El titular puede oponerse al tratamiento de sus datos en ciertos casos, especialmente cuando se basa en el interés legítimo del responsable.

Las empresas deben tener procedimientos claros para responder a estas solicitudes dentro de plazos definidos. No responder o responder fuera de plazo es en sí mismo una infracción.

Datos sensibles: una categoría especial

La ley distingue entre datos ordinarios y datos sensibles, que merecen mayor protección. Son datos sensibles los que revelan:

• Origen racial o étnico
• Opiniones políticas
• Convicciones religiosas o filosóficas
• Afiliación sindical
• Datos genéticos y biométricos cuando permiten identificar a una persona
• Datos de salud
• Vida sexual u orientación sexual

El tratamiento de datos sensibles solo está permitido con consentimiento explícito del titular, o en casos muy acotados previstos por la ley. Una clínica, una escuela, una empresa de recursos humanos: todas manejan datos sensibles y deben prestar especial atención a este punto.

Obligaciones concretas para las empresas

Política de privacidad

Cualquier empresa que recolecte datos personales debe contar con una política de privacidad clara, accesible y actualizada. Esta política debe informar: qué datos se recogen, para qué, quién los trata, cuánto tiempo se conservan, con quién se comparten y cómo el titular puede ejercer sus derechos.

Una página web con un formulario de contacto ya está recolectando datos. Una app que pide el correo para crear una cuenta también. Cualquier punto de contacto digital o físico donde se recogen datos debe estar cubierto por la política de privacidad.

Registro de actividades de tratamiento

Las empresas que traten datos a una escala relevante deben mantener un registro interno de tratamiento de datos que documente qué datos se tratan, con qué base legal, para qué finalidad, cuánto tiempo se conservan y qué medidas de seguridad se aplican.

Este registro no se presenta ante ningún organismo en condiciones normales, pero debe estar disponible si la Agencia de Protección de Datos lo requiere.

Gestión de brechas de seguridad

Si la empresa sufre una brecha de seguridad que pone en riesgo datos personales (hackeo, pérdida de un disco duro con datos de clientes, exposición accidental de una base de datos), tiene la obligación de notificarlo a la Agencia dentro de un plazo acotado, y en ciertos casos también a los propios titulares afectados.

La notificación tardía o la omisión de notificar una brecha es una infracción sancionable.

Encargados de tratamiento

Cuando una empresa contrata a un tercero para que trate datos en su nombre (por ejemplo, una plataforma de email marketing, un proveedor de CRM, una empresa de procesamiento de nóminas), ese tercero es un “encargado de tratamiento”. La ley exige que exista un contrato específico que regule esa relación y garantice que el encargado cumple con los estándares de la ley.

Muchas empresas tienen docenas de estos proveedores. Revisar los contratos con cada uno de ellos es una tarea de cumplimiento que conviene abordar antes de que entre en plena vigencia la normativa.

Transferencias internacionales de datos

Enviar datos de clientes chilenos a un servidor ubicado fuera de Chile es una transferencia internacional. La ley permite esta transferencia solo hacia países que ofrezcan un nivel de protección adecuado, o cuando existen garantías apropiadas (cláusulas contractuales tipo, por ejemplo).

Muchas empresas chilenas trabajan con servicios en la nube ubicados en Estados Unidos o Europa sin haber revisado si eso cumple con los nuevos requisitos. Este es uno de los puntos más olvidados en los análisis de cumplimiento.

Qué deben hacer las empresas antes de la entrada plena en vigencia

El período de adecuación es limitado. Las acciones más urgentes incluyen:

1. Hacer un inventario de qué datos personales maneja la empresa y con qué propósito.
2. Revisar si existe base legal para cada tipo de tratamiento.
3. Redactar o actualizar la política de privacidad.
4. Revisar contratos con proveedores que tratan datos en nombre de la empresa.
5. Establecer un procedimiento para atender solicitudes de titulares.
6. Definir un protocolo de respuesta ante brechas de seguridad.

Preguntas frecuentes

¿Esta ley aplica a cualquier empresa, sin importar su tamaño?

La ley aplica a cualquier persona natural o jurídica que trate datos personales en Chile, sin distinción de tamaño. Sin embargo, las obligaciones más exigentes (como el registro formal de actividades de tratamiento y la designación de un Delegado de Protección de Datos) se activan con mayor rigor para quienes tratan datos a gran escala o datos sensibles de manera habitual. Una microempresa con diez clientes en su agenda tiene obligaciones, pero son proporcionales a su operación.

¿Qué es el Delegado de Protección de Datos?

Es la figura que la ley establece como responsable interno del cumplimiento de la normativa de protección de datos dentro de la organización. No todas las empresas están obligadas a designarlo, pero quienes tratan datos sensibles o a gran escala sí deben hacerlo. El Delegado actúa como punto de contacto con la Agencia de Protección de Datos y como asesor interno en materia de privacidad.

¿Las multas son automáticas o requieren un proceso?

Las multas son resultado de un procedimiento sancionatorio que lleva adelante la Agencia de Protección de Datos. Hay etapas de investigación, descargos y recursos. La empresa tiene la posibilidad de presentar su posición antes de que se imponga la sanción. Sin embargo, una vez que la Agencia determina que hubo infracción, la multa puede ser significativa, especialmente si la empresa no puede demostrar que tomó medidas de cumplimiento.

Fuentes y referencias

• Ley 21.719 — Nueva Ley de Protección de Datos Personales
• Ley 19.628 — Ley anterior de protección de la vida privada (referencia)
• Agencia de Protección de Datos Personales — Chile

---

Si necesitas orientación sobre cómo adecuar tu empresa a la nueva Ley de Protección de Datos Personales, nuestro equipo puede acompañarte en el proceso de cumplimiento. Agenda tu consulta.