La protección de datos personales en Chile ha entrado en una nueva era con la vigencia de la Ley 21.719 desde el 13 de diciembre de 2024. Esta legislación revoluciona la forma en que empresas y organizaciones deben tratar los datos personales, estableciendo estándares comparables a normativas internacionales como el GDPR europeo.
¿Qué es la nueva ley de protección de datos?
La Ley 21.719 representa una transformación fundamental en el panorama de la protección de datos personales en Chile. Esta nueva legislación, que moderniza la antigua Ley 19.628 sobre Protección de la Vida Privada, introduce cambios sustanciales que elevan los estándares de privacidad y seguridad de la información personal a niveles internacionales.
El nuevo marco normativo surge como respuesta a los desafíos del mundo digital actual, donde el tratamiento masivo de datos personales se ha convertido en una práctica común. La ley aborda aspectos críticos como el consentimiento informado, la transparencia en el tratamiento de datos, y la responsabilidad de las organizaciones que manejan información personal.
La Ley 21.719 representa una transformación significativa en el panorama de la protección de datos personales en Chile. Esta nueva legislación, que viene a modernizar la antigua Ley 19.628 sobre Protección de la Vida Privada, introduce cambios sustanciales que elevan los estándares de privacidad y seguridad de la información personal a niveles internacionales.
La ley se alinea con estándares internacionales, particularmente con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, lo que facilitará el flujo transfronterizo de datos y fortalecerá las relaciones comerciales internacionales de Chile.
La Agencia de Protección de Datos Personales
Una de las innovaciones más significativas es la creación de la Agencia de Protección de Datos Personales, un organismo autónomo, técnico y descentralizado que cuenta con personalidad jurídica y patrimonio propio. Esta agencia actúa como guardián efectivo de los derechos digitales de los ciudadanos.
La Agencia tiene la facultad de fiscalizar activamente el cumplimiento normativo, realizando auditorías y revisiones periódicas. También resuelve reclamos presentados por titulares de datos, proporcionando un mecanismo efectivo para que los ciudadanos ejerzan sus derechos. Además, certifica y supervisa modelos de prevención de infracciones, ayudando a las organizaciones a mantener altos estándares de cumplimiento.
Derechos fortalecidos para los titulares
La nueva ley refuerza significativamente los derechos de los titulares de datos personales. El derecho de acceso permite a los ciudadanos conocer qué información personal se está tratando, con qué finalidad y quiénes son sus destinatarios. La rectificación garantiza la posibilidad de corregir datos inexactos o desactualizados.
El derecho de supresión faculta a los titulares para solicitar la eliminación de sus datos cuando ya no sean necesarios o se hayan tratado ilícitamente. La oposición permite detener el tratamiento de datos en cualquier momento, especialmente en casos de marketing directo.
Una innovación importante es el derecho de portabilidad, que permite a los titulares recibir sus datos en un formato estructurado y transferirlos a otro responsable, facilitando la migración entre servicios.
Régimen de infracciones y sanciones
Infografía por Twind: Régimen de sanciones de la Ley 21.719
El nuevo régimen sancionatorio establece multas significativas según la gravedad de la infracción. Las infracciones leves, como el incumplimiento del deber de información, pueden alcanzar las 5.000 UTM. Las graves, que incluyen el tratamiento sin base de licitud o vulneraciones de seguridad, se sancionan con hasta 10.000 UTM.
Las infracciones gravísimas, como el tratamiento fraudulento de datos o la omisión deliberada de brechas de seguridad, pueden recibir multas de hasta 20.000 UTM. Para grandes empresas, las sanciones pueden alcanzar el 2% o 4% de sus ingresos anuales en casos graves o gravísimos, respectivamente.
Ámbito de aplicación y alcance territorial
La ley tiene un alcance territorial amplio, aplicándose no solo a organizaciones establecidas en Chile, sino también a aquellas que procesan datos de residentes chilenos o monitorean su comportamiento. Las empresas extranjeras que ofrecen servicios en Chile deben designar un representante local y cumplir con todas las disposiciones de la ley.
Bases de licitud para el tratamiento
El tratamiento de datos personales requiere una base jurídica específica. El consentimiento del titular debe ser libre, específico e inequívoco, pudiendo revocarse en cualquier momento. También se reconocen como bases legítimas la ejecución de un contrato, el cumplimiento de obligaciones legales y el interés legítimo del responsable, siempre que no vulnere derechos fundamentales.
Seguridad y privacidad desde el diseño
La ley exige implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. Esto incluye el cifrado de información sensible, control de accesos y planes de contingencia. La privacidad desde el diseño requiere evaluar el impacto de los tratamientos antes de su implementación y minimizar la recolección de datos.
Transferencias internacionales
Las transferencias internacionales de datos requieren garantías específicas. La Agencia determinará qué países ofrecen un nivel adecuado de protección. Para otros casos, se necesitarán cláusulas contractuales tipo, normas corporativas vinculantes o certificaciones reconocidas.
Impacto práctico y adaptación
La implementación de la ley requiere que las organizaciones actualicen sus políticas de privacidad, revisen contratos con proveedores y capaciten a su personal. La inversión en tecnología y consultoría especializada será necesaria para garantizar el cumplimiento.
Conclusión
La Ley 21.719 marca un antes y después en la protección de datos personales en Chile. Las organizaciones deben adaptar sus procesos y sistemas para cumplir con los nuevos requerimientos, mientras que los ciudadanos cuentan ahora con herramientas más efectivas para proteger su privacidad digital.
Si te interesa saber más sobre nueva normativa de Chile: Aprende Impacto y Oportunidades del Decreto N°44: cómo la nueva normativa redefine la prevención de riesgos y qué significa para las empresas en Chile.
Preguntas Frecuentes
¿Cuál es la nueva ley de protección de datos?
La Ley 21.719 es el nuevo marco normativo que regula la protección y tratamiento de datos personales en Chile. Esta legislación actualiza la antigua Ley 19.628 e introduce cambios fundamentales como la creación de una Agencia de Protección de Datos, un régimen de sanciones robusto y nuevos derechos para los titulares de datos personales.
¿Cuándo entra en vigencia la nueva ley de protección de datos?
La ley entró en vigencia el 13 de diciembre de 2024. Las organizaciones tienen hasta diciembre de 2026 para implementar completamente todos los requerimientos establecidos en la normativa. Este período de adaptación permite a las empresas actualizar sus sistemas y procesos para cumplir con las nuevas exigencias.
¿Cuál es la normativa vigente para la protección de datos en Chile?
Actualmente, coexisten la Ley 19.628 y la nueva Ley 21.719. Durante el período de adaptación (hasta diciembre 2026), las organizaciones deben ir implementando progresivamente los nuevos requerimientos mientras mantienen el cumplimiento de la normativa anterior.
¿Qué nos dice la ley de protección de datos?
La ley establece un marco integral para el tratamiento de datos personales que incluye: derechos reforzados para los titulares (como acceso, rectificación, supresión y portabilidad), obligaciones específicas para las organizaciones que tratan datos, un régimen de sanciones con multas significativas y la creación de una autoridad de control independiente.
¿Qué datos están protegidos por la ley?
La ley protege cualquier información relacionada con personas naturales identificadas o identificables. Esto incluye datos básicos (nombre, RUT, dirección), datos sensibles (salud, biometría, origen racial), datos financieros y cualquier otra información que permita identificar a una persona.
¿Necesito un delegado de protección de datos?
Aunque la ley no lo exige expresamente para todas las organizaciones, es altamente recomendable designar un responsable cuando se realiza tratamiento masivo de datos, se manejan datos sensibles o se realizan evaluaciones sistemáticas de personas.
¿Cómo afecta a mi empresa si está fuera de Chile?
Si su empresa ofrece bienes o servicios a personas en Chile, monitorea el comportamiento de chilenos o procesa datos por encargo de una empresa chilena, debe cumplir con la ley. Esto incluye designar un representante en Chile y adherirse a todas las disposiciones de la normativa.
¿Qué sanciones arriesgo por incumplimiento?
Las sanciones varían según la gravedad de la infracción:
- Infracciones leves: hasta 5.000 UTM
- Infracciones graves: hasta 10.000 UTM
- Infracciones gravísimas: hasta 20.000 UTM Para grandes empresas, las multas pueden alcanzar el 4% de los ingresos anuales.
¿Cómo puedo preparar mi organización?
La preparación requiere un enfoque sistemático que incluye auditar los datos actuales, actualizar políticas y procedimientos, implementar medidas de seguridad adecuadas y capacitar al personal. Es recomendable buscar asesoría especializada para garantizar un cumplimiento efectivo.
¿Qué es la Agencia de Protección de Datos?
Es el organismo autónomo encargado de fiscalizar el cumplimiento de la ley, resolver reclamos de los titulares, imponer sanciones y emitir normativas técnicas. Actúa como autoridad de control en materia de protección de datos personales en Chile.