La Ley 21.719 marca un antes y un después en la protección de los datos personales en nuestro país. No sólo establece normas claras acerca del tratamiento de los datos de las personas, sino que además crea una nueva institucionalidad: la Agencia de Protección de Datos Personales.
En este sentido, esta ley pone en el centro a las personas, asegurando que sus derechos sean respetados en un mundo cada vez más digital.
Quedan aproximadamente 15 meses para su entrada en vigencia a partir del 1 de diciembre de 2026
Un aspecto importante crítico de esta Ley es su Régimen de Sanciones vía multas efectivas en tres niveles:
Leves hasta 5.000 UTM
Graves hasta 10.000 UTM
Gravísimas hasta 20.000 UTM
¿Para qué sirve la Ley 21.719 y a quién se aplica?
Esta ley entrará en plena vigencia el 1 de diciembre de 2026, y establecerá las reglas sobre cómo se deben utilizar, resguardar y procesar los datos personales, cuyo objetivo final es garantizar mayor transparencia y control sobre el uso de la información personal.
También aplicará a todas las personas naturales o jurídicas, ya sean públicas o privadas, que trabajen con datos personales en nuestro país, incluyendo entidades que recolectan, almacenan, usan o comparten datos de personas naturales, sin importar si operan de forma física o digital.
En resumen, cualquier organización que maneje datos personales deberá cumplir con esta normativa.
Casos en que se aplica la ley
Empresas o personas que usan datos personales residentes en Chile
Si alguien fuera de Chile trata datos por encargo de una empresa chilena.
Si una empresa extranjera ofrece productos o servicios a personas en Chile o analiza su comportamiento, incluso si no tiene oficinas en el país.
Importante señalar que es independiente si la empresa cobra por sus servicios o si los ofrece de forma gratuita, dado que, si manejan datos de personas en Chile, debe cumplir con esta ley.
Tipología de datos
La Ley establece un marco regulatorio para el tratamiento de los datos, tanto de los datos personales como para los datos sensibles.
Entendemos por datos personales:
- Nombre
- Rut
- Dirección
- Correo electrónico
- Información física, económica, social y cultural
Entendemos por datos sensibles: aquella información que revela aspectos muy privados o íntimos de una persona natural, tales como:
- Información de Salud
- Aspectos de la vida sexual, orientación sexual o de género
- Convicciones religiosas, ideológicas o filosóficas
- Origen étnico o racial
- Afiliación política, sindical o gremial
- Datos biométricos (rostro, voz, iris)
Estos datos tienen un nivel más alto de protección y sólo pueden tratarse en situaciones muy específicas y justificadas.
Principios fundamentales que deben seguirse
Para el manejo de datos personales, las organizaciones deben respetar los siguientes principios:
Legalidad y buena fe: Sólo se pueden tratar datos cuando esté permitido por ley y siempre de forma honesta. La empresa debe demostrar que el tratamiento es legal con un uso claro y específico: Los datos deben ser recolectados con un fin específico, informado al titular. No se pueden usar para otros fines, salvo excepciones, como que el nuevo fin sea compatible con el original, que exista un contrato, que el titular dé nuevamente su consentimiento y que la ley lo permita.
Minimización de datos: Solo deben recopilarse los datos estrictamente necesarios. Deben eliminarse cuando ya no sean útiles, salvo que la ley o el titular permitan conservarlos.
Calidad: Los datos deben mantenerse actualizados, completos y precisos.
Responsabilidad activa: El responsable debe tomar medidas para cumplir y demostrar el cumplimiento de la ley.
Seguridad: Los datos deben protegerse contra accesos no autorizados, pérdidas, filtraciones o alteraciones, con medidas proporcionales a su sensibilidad.
Transparencia: El titular tiene derecho a saber cómo y para qué se usan sus datos. Las políticas deben estar disponibles de forma clara y gratuita.
Confidencialidad: Las personas que acceden a los datos están obligadas a mantener la confidencialidad, incluso después de dejar su cargo o relación con el titular.
Derechos de las personas sobre sus datos
Derecho de acceso: permite saber si una empresa está tratando tus datos, qué datos tienen, de dónde los obtuvieron, para qué los usan, con quién los han compartido, cuánto tiempo los guardarán. Si se usan decisiones automatizadas (IA, algoritmos).
Derecho de rectificación: puedes pedir que se corrijan datos incorrectos, desactualizados o incompletos.
Derecho de supresión (eliminación): puedes pedir que borren tus datos si: ya no son necesarios, retiras tu consentimiento, fueron obtenidos ilegalmente, están desactualizados, lo exige una orden judicial o legal.
Derecho de oposición: puedes decir que no quieres que usen tus datos en estos casos: para intereses del responsable, para marketing o elaboración de perfiles, si se obtuvieron de fuentes públicas sin otra base legal.
Derecho de bloqueo: puedes pedir que suspendan temporalmente el uso de tus datos mientras se revisa una solicitud de rectificación, supresión u oposición.
Derecho a la portabilidad: puedes pedir una copia de tus datos en formato digital estructurado y pedir que se transfieran a otro responsable, si: el tratamiento es automatizado, diste tu consentimiento
Algunos conceptos clave
Anonimización: Dato modificado para que no se pueda saber a quién pertenece.
Seudonimización: Dato modificado con un código o clave que permite reidentificar sólo si se accede a esa clave.
Base de datos: Sistema físico o digital donde se almacenan datos.
Tratamiento de datos: Cualquier acción con datos personales: recolección, uso, almacenamiento, etc.
Consentimiento: Aceptación libre, informada y explícita del titular para el uso de sus datos.
Roles establecidos en la ley
Titular de los datos: es la persona a la que pertenecen los datos pudiendo ejercer todos sus derechos.
Responsable del tratamiento: persona o entidad que decide cómo y para qué se usan los datos. Debe cumplir la ley, proteger los datos y responder ante la autoridad.
Encargado del tratamiento: persona o empresa que trata los datos siguiendo instrucciones del responsable. No puede usarlos por su cuenta.
Agencia de Protección de Datos Personales: autoridad que supervisa, fiscaliza, recibe reclamos y aplica sanciones. Administra también el Registro Nacional de Sanciones y Cumplimiento.
En síntesis, la Ley 21.719 representa un paso crucial en el respeto de la privacidad en Chile, por lo que las empresas deberán adaptarse y prepararse para cumplir con sus disposiciones, no solo para evitar sanciones, sino para generar confianza con sus clientes y usuarios. Adoptar buenas prácticas de protección de datos no es solo un deber legal: es una ventaja competitiva en la era digital.
En C+C 1 Consultores hemos diseñado una Consultoría de Apoyo y Acompañamiento, tendiente a la entrega de resultados tangibles, cuyo análisis nos permitirá evaluar su cumplimiento a través de un diagnóstico del área de Tecnología de la Información.
El objetivo es evaluar el estado actual de cumplimiento, identificar brechas y potenciales riesgos, proporcionando un mapa detallado de la situación de la empresa en relación con la normativa, y recomendar las medidas correctivas necesarias.
Para más información contactar a gonzalo.contreras@cmasc1.cl
Creado por Jorge Contreras, Director de C+C1 Consultores