En diciembre de 2024 se publicó la Ley Nº 21.719, que moderniza el marco legal de protección de datos personales en Chile, alineándolo con el GDPR europeo. Su entrada en vigencia está programada para el 1 de diciembre de 2026. Este post detalla sus principales novedades, implicancias para empresas y derechos ampliados de los ciudadanos.
📅 ¿Qué establece la Ley 21.719?
- Modifica y supera la antigua Ley 19.628, enfocándose en los datos personales como centro de protección legal :contentReference[oaicite:1]{index=1}.
- Se regula el tratamiento de datos personales y se crea la Agencia de Protección de Datos Personales, con autoridad para fiscalizar, imponer sanciones y llevar un registro nacional :contentReference[oaicite:2]{index=2}.
- Aplicación territorial ampliada: cubre a responsables dentro y fuera del país que traten datos de residentes en Chile :contentReference[oaicite:3]{index=3}.
🔒 Derechos ARCOP de titulares de datos
La ley consagra los conocidos derechos ARCOP:
- Acceso
- Rectificación
- Cancelación / Supresión
- Oposición
- Portabilidad
- Además, derecho a bloqueo temporal :contentReference[oaicite:4]{index=4}.
⚖️ Principios y bases de licitud exigidos
- Licitud, finalidad, proporcionalidad, calidad, seguridad, confidencialidad y transparencia :contentReference[oaicite:5]{index=5}.
- Consentimiento como regla general, pero se admiten otras bases como obligación legal, contrato o interés legítimo :contentReference[oaicite:6]{index=6}.
🛡️ Evaluación de Impacto y responsabilidad proactiva
Se introduce la obligación de realizar evaluaciones de impacto en privacidad (EIPD) en tratamientos de alto riesgo. Las organizaciones deben incorporar el principio de accountability: diseñar, documentar y demostrar medidas de protección de datos :contentReference[oaicite:7]{index=7}.
🌐 Transferencia internacional de datos
- Permitida hacia países con niveles adecuados, mediante contratos, cláusulas o modelos certificados :contentReference[oaicite:8]{index=8}.
📋 Obligaciones y modelo preventivo para empresas
Las empresas clasificadas como responsables deben:
- Inscribirse en el Registro de Responsables.
- Implementar medidas técnicas y organizativas desde el diseño y por defecto.
- Nombrar un Delegado de Protección de Datos (DPD/DPO), con independencia y funciones específicas :contentReference[oaicite:9]{index=9}.
- Desarrollar un modelo de prevención de infracciones, con protocolos, capacitación y canales de denuncia internos y externos :contentReference[oaicite:10]{index=10}.
🚨 Infracciones y sanciones
- Multas leves hasta 5.000 UTM (~USD 387 k), graves hasta 10.000 UTM (~USD 775 k) y gravísimas hasta 20.000 UTM (~USD 1,55 M). ¡Reincidir puede triplicar la multa! :contentReference[oaicite:11]{index=11}.
- Sanciones administrativas incluyen suspensión de tratamiento y registro público de infractores :contentReference[oaicite:12]{index=12}.
🎯 ¿Qué deben hacer las empresas ya?
Aunque la ley entra en vigor en diciembre de 2026, las organizaciones deben:
- Realizar diagnóstico interno y mapear flujos de datos.
- Nombrar o capacitar a su DPO.
- Diseñar el modelo preventivo y preparar evaluaciones de impacto.
- Actualizar contratos, políticas y consentimiento.
- Implementar sistemas de reporte de brechas y cumplimiento.
📌 Palabras clave long tail:
- ley 21719 chile datos personales 2025
- adaptación empresas ley protección datos chile
- delegado protección datos dpo chile
- evaluación impacto privacidad eipd chile
- sanciones ley proteccion datos chile
- modelo prevención infracciones ley 21719
¿Querés asesoría para implementar la norma o certificar tu modelo de prevención? Visitá nuestra sección de Protección de Datos Chile.