Privacidad de datos en Chile: qué hacer antes del 2026

Escrito por: Jean Paul Tondreau

Desde 2024 Chile tiene una nueva ley que regula la protección de los datos personales. El 13 de diciembre pasado se publicó la Ley 21.719, que entrará en vigencia el 01 de diciembre de 2026. Esta ley crea la Agencia de Protección de Datos Personales y redefine derechos, obligaciones, sanciones y buenas prácticas para los sectores público y privado. ¿Qué cambios hay y cómo prepararnos para ellos?

¿Qué cambia con la Ley 21.719?

Algunos de los principales cambios que introduce la Ley están referidos a:

Alcance de la Ley. Aplica a empresas chilenas, pero también a organizaciones fuera de Chile que ofrezcan bienes y servicios a personas en el país, o que monitoreen el comportamiento de personas que se encuentren en Chile, incluyendo análisis, rastreo, perfilamiento o predicción de comportamiento.

Derechos de las personas. Las personas naturales son reconocidas como Titulares de sus datos personales. En este sentido, tienen derechos de acceso, rectificación, supresión, oposición y portabilidad de sus datos personales. En un doble click, una persona tendrá derecho, por ejemplo, a bloquear temporalmente el tratamiento de sus datos y limitar alcances de éste tales como que sus datos sean sometidos a decisiones automatizadas o perfilamiento.

Principios rectores. La ley establece una serie de principios que rigen el tratamiento de datos personales. Por ejemplo,

  • Las empresas deben ser capaces de acreditar que el tratamiento que realizan es lícito: existe consentimiento libre, informado, específico, inequívoco y revocable del titular de los datos, o bien existen bases legales, contractuales, de interés legítimo, u otras que validen el tratamiento.
  • Los datos personales deben ser recolectados con fines específicos, explícitos y lícitos, y su tratamiento debe limitarse exclusivamente a estos fines.
  • Los datos personales que se traten deben limitarse estrictamente a aquellos que resulten necesarios, adecuados y pertinentes en relación con los fines declarados de tratamiento. Asimismo, los datos pueden ser conservados sólo por el tiempo necesario para cumplir los fines del tratamiento.

Transparencia y Seguridad. Las empresas deben mantener permanentemente a disposición pública (sitio web o equivalente) al menos la siguiente información: política de tratamiento de datos personales; individualización del responsable de datos y representante legal; medios tecnológicos para acceder a solicitudes relacionadas a la ley; categorías y tipos de datos que trata, la descripción genérica del universo de personas que comprenden sus bases de datos, las finalidades del tratamiento de datos y su base de legitimidad; el tiempo en que se conservarán los datos personales; entre otros.

Delegado de Protección de Datos. Puede designarse a una persona que cumpla este rol, cuyas principales funciones (entre varias otras) son asesorar y supervisar el cumplimiento de la normativa, así como ser punto de contacto con la Agencia de Protección de Datos Personales.

Sanciones. Las multas se establecen en función de categorías de infracciones. Las infracciones leves pueden llegar a significar multas de 5.000 UTM, mientras que las infracciones gravísimas llegan hasta las 20.000 UTM. La reincidencia es castigada en forma de aumento de los topes de multa, y en casos de extrema gravedad la multa puede alcanzar el 4% de los ingresos anuales del infractor.

¿Cómo prepararnos para la nueva Ley?

Si la empresa se encuentra en etapas iniciales de preparación, o (en un caso extremo) no ha tomado ninguna medida respecto a la nueva Ley, el trabajo a realizar no es menor. Sin embargo, con un plan preparado de manera consciente y dedicando los recursos necesarios, es posible mitigar los riesgos asociados a dicha situación.

A continuación se propone un esquema de alto nivel, en tres etapas, para entregar una idea de la preparación requerida.

Primera Etapa: Ver el mapa completo
  1. Inventario y flujos de datos. Lista qué datos personales recolectas, para qué (cuáles son los fines), de quién, dónde se almacenan, quién puede acceder y con qué sistemas de terceros se transaccionan. Revisa si la base de licitud para esta recolección y tratamiento se basa en consentimiento, contrato, interés legítimo u otro.
  2. Publica tu política de tratamiento. Publica o revisa tu política publicada (normalmente bajo el nombre de una página «Privacidad de datos») con: política vigente, responsable/representante, canales para ejercer derechos, plazos de respuesta, entre otros.
  3. Consentimientos claros. Revisa formularios y flujos: debes procurar que el consentimiento sea previo, libre, informado, específico, inequívoco y revocable con la misma facilidad que fue concedido.
  4. Gobierno y roles. Define un dueño del tema y un comité de apoyo en caso de requerimiento (tecnología, legal/compliance, negocio, otros).
Segunda Etapa: Cerrar brechas centrales
  1. Derechos de los titulares. Habilita un canal práctico de acceso, rectificación, supresión, oposición y portabilidad de datos personales.
  2. Seguridad proporcional al riesgo. Alinea controles a confidencialidad, integridad, disponibilidad y resiliencia. Registra incidentes y define protocolos de notificación interna/externa.
  3. Terceros y encargados. Revisa y estandariza tus contratos con cláusulas de privacidad y seguridad.
  4. Transferencias internacionales. Identifica si envías datos fuera de Chile. Revisa si estás comunicando adecuadamente esta información y su justificación frente a requerimientos de titulares o de la Agencia.
Tercera Etapa: Riesgos altos y Continuidad operacional
  1. Evaluaciones de impacto. Revisa los tratamientos que implican alto riesgo (sea por su naturaleza, alcance, contexto u otro) y realiza evaluaciones de impacto antes de operar.
  2. Plan de incidentes integrado. Define cómo activar en paralelo las rutas de privacidad y ciberseguridad (Ley 21.663).
  3. Métricas de cumplimiento. Define y mide tu avance y operación, por ejemplo, en tiempo medio de respuesta a derechos o avances de contratos con terceros.
  4. Cultura y formación. Capacita a tus equipos de manera constante e introduce una política de privacy by design en tus procesos de diseño de procesos y soluciones.

En Elun estamos trabajando desde hace algunos meses para transmitir confianza a nuestros clientes, usuarios y al ecosistema que nos rodea. Si quieres conversar sobre la Ley, o necesitas ayuda en su implementación, estamos a un café de distancia.