REGULA LA PROTECCIÓN Y EL TRATAMIENTO DE LOS DATOS PERSONALES Y CREA LA AGENCIA DE PROTECCIÓN DE DATOS PERSONALES
La Ley Nº 21.719, publicada el 13 de diciembre de 2024, reemplaza y moderniza la antigua Ley Nº 19.628 (sobre protección de la vida privada).
Su propósito es regular cómo se deben recoger, usar, almacenar, transferir y proteger los datos personales de las personas naturales, asegurando sus derechos frente a quienes los tratan (empresas, organismos públicos, etc.).
La ley se aplica cuando se cumpla al menos una de las siguientes condiciones:
Que el responsable del tratamiento o el encargado estén establecidos en Chile.
Que el tratamiento de datos se realice, aunque el responsable no esté en Chile, pero con fines de ofrecer bienes o servicios a personas en Chile.
Que se monitoree o analice el comportamiento de personas localizadas en Chile, incluso si la entidad está en el extranjero.
Quedan excluidos los tratamientos relativos a las libertades de informar y opinar, cuando estos estén regulados por normas expresas.
La ley establece una serie de principios que deben seguir quienes tratan datos personales:
| Principio | Qué significa | |
|---|---|---|
| Licitud y lealtad | El tratamiento debe tener una base legal clara y ser realizado de forma honesta. | |
| Finalidad | Los datos deben ser recolectados con fines específicos, explícitos y legítimos, y no usarse para otros fines no compatibles sin consentimiento. | |
| Proporcionalidad | Solo tratar los datos estrictamente necesarios para el fin perseguido. | |
| Calidad | Los datos deben ser exactos, completos, actualizados y pertinentes. | |
| Seguridad | Se deben adoptar medidas técnicas y organizativas apropiadas para proteger los datos frente a accesos no autorizados, pérdidas o alteraciones. | |
| Transparencia | Informar a los titulares sobre cómo y por qué se usan sus datos, con políticas accesibles, claras y gratuitas. | |
| Confidencialidad | Las personas que accedan a los datos deben mantener su secreto, incluso después de finalizado el vínculo que les permitió acceder. | |
| Responsabilidad | El responsable del tratamiento debe acreditar que cumple con estos principios y obligaciones. |
Los titulares (las personas a quienes se refieren los datos) tienen derechos reforzados que pueden ejercer frente al responsable del tratamiento:
Derecho de acceso: saber si sus datos están siendo tratados y obtener copia.
Derecho de rectificación: que se corrijan datos inexactos, incompletos o desactualizados.
Derecho de supresión (eliminación): pedir que se borren los datos cuando ya no sean necesarios o se usen indebidamente.
Derecho de oposición: oponerse a determinados tratamientos, especialmente en marketing directo u otros usos.
Derecho de portabilidad: recibir los datos en un formato estructurado, estándar, para trasladarlos a otro responsable.
Además, cuando el tratamiento implique decisiones automatizadas o perfilamiento, los titulares tienen derecho a que se revisen esas decisiones, en los casos en que puedan tener efectos significativos.
La ley define los datos sensibles como aquellos relacionados con origen racial, opiniones políticas, salud, vida sexual, creencias religiosas, entre otros.
El tratamiento de estos datos requiere un consentimiento explícito del titular, salvo algunas excepciones legales (por ejemplo, cuando sea necesario para protección de vida o cumplimiento de obligaciones legales).
También se establecen reglas especiales respecto al tratamiento de los datos de niños, niñas y adolescentes, atendiendo al interés superior, y la autorización de sus representantes legales cuando corresponda.
Cuando un tipo de tratamiento pueda implicar alto riesgo para los derechos de los titulares —por ejemplo, tratamiento masivo, perfilamiento, monitoreo sistemático— el responsable debe realizar una evaluación de impacto previa, identificando los riesgos y estableciendo medidas de mitigación.
La Agencia de Protección de Datos (que se creará con esta ley) dictará criterios, listas orientativas y recomendaciones para estas evaluaciones.
Para enviar datos personales a otro país u organización internacional, se exige que el país receptor cuente con un nivel adecuado de protección o que existan garantías adecuadas (cláusulas contractuales, modelos certificados, consentimiento demostrado, etc.).
En casos especiales, si no existe ese nivel de protección, la transferencia podría permitirse con autorización de la Agencia o con consentimiento expreso del titular, siempre cumpliendo condiciones legales.
Una de las novedades más importantes es la creación de la Agencia de Protección de Datos Personales, un organismo autónomo de carácter técnico descentralizado, con personalidad jurídica propia.
Funciones principales de la Agencia:
Dictar normas generales e instrucciones relacionadas con el tratamiento de datos.
Fiscalizar el cumplimiento de la ley, sus reglamentos e instrucciones.
Resolver reclamos de titulares frente a responsables de datos.
Imponer sanciones y multas en caso de infracciones.
Promover buenas prácticas, difusión y asesoría técnica.
Administra un Registro Nacional de Sanciones y Cumplimiento, que será público.
La ley clasifica las infracciones en leves, graves y gravísimas, según su impacto, el tipo de dato vulnerado o la acción cometida (por ejemplo, uso fraudulento de datos).
Entre las infracciones gravísimas están, por ejemplo, tratar datos con fines distintos a los consentidos, o difundir datos sabiendo que son falsos o incompletos.
Las sanciones pueden incluir multas, medidas correctivas, suspensión temporal del tratamiento o incluso prohibiciones para operar con datos personales.
La ley contempla un período de transición para que los responsables de datos se adapten a sus obligaciones.
Durante ese tiempo, se deberán dictar los reglamentos necesarios, crearse la Agencia, nombrar sus consejeros y configurar los mecanismos de cumplimiento.
Se espera que la ley entre en pleno vigor en el año 2026, aunque muchas obligaciones se activarán antes.
En New Informática estamos ayudando a distintas empresas a adaptarse a la nueva Ley 21.719 y a fortalecer su estrategia de Gobierno de Datos.
Sabemos que este proceso puede parecer complejo, pero no tienes por qué hacerlo solo. Nuestro equipo puede acompañarte paso a paso para asegurar que tu empresa cumpla con la normativa y aproveche esta oportunidad para mejorar la gestión de sus datos.
💬 ¿Quieres que revisemos juntos tu situación actual?
📅 Agenda una consultoría gratuita y descubre cómo podemos ayudarte.
