Cómo proteger los datos personales en Chile ante la entrada en vigencia de la Ley 21.719
La protección de los datos personales ha pasado de ser una preocupación marginal a convertirse en una prioridad crítica para las organizaciones chilenas. Con la entrada en vigencia de la Ley 21.719 —que moderniza de forma profunda el marco legal en torno a los datos personales en Chile, reemplazando la antigua Ley 19.628—, las empresas están obligadas a tomar medidas concretas para cumplir con las nuevas exigencias normativas y garantizar la confianza de sus clientes, empleados y partes interesadas.
La transformación digital, el crecimiento exponencial del uso de tecnologías en la nube y el aumento de ciberataques han elevado el riesgo de fuga, uso indebido o tratamiento ilegítimo de datos. En este nuevo contexto, la protección de los datos personales ya no es solo una cuestión de cumplimiento, sino también una ventaja competitiva y una pieza clave del gobierno corporativo moderno.
A continuación, exploramos los principales cambios que incorpora la Ley 21.719, sus implicancias para las empresas chilenas, y cómo organizaciones como EFECTUS pueden ayudar a implementar estrategias sólidas de cumplimiento y protección de la privacidad.
¿Qué establece la Ley 21.719 sobre protección de datos personales?
La nueva Ley 21.719, publicada en el Diario Oficial el 13 de Diciembre de 2024, deroga y reemplaza la antigua Ley 19.628, incorporando estándares modernos de privacidad inspirados en el Reglamento General de Protección de Datos (GDPR) europeo.
Entre sus principales características destacan:
1. Creación de la Agencia de Protección de Datos Personales
Establece un organismo autónomo y técnico encargado de fiscalizar el cumplimiento de la ley, aplicar sanciones y promover una cultura de protección de la privacidad. La nueva Agencia tiene facultades para ordenar auditorías, aplicar multas y exigir medidas correctivas a las empresas infractoras.
2. Nuevos derechos para los titulares (derechos ARCO+)
Además de los tradicionales derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), se incorporan nuevos derechos como:
- Derecho a la portabilidad de datos
- Derecho al olvido
- Derecho a la limitación del tratamiento
- Derecho a no ser objeto de decisiones automatizadas sin intervención humana
3. Obligaciones para responsables y encargados de tratamiento
Las empresas responsables del tratamiento de datos deberán:
- Implementar políticas de privacidad e informar a los titulares de manera clara
- Obtener consentimiento explícito y específico cuando sea requerido por ley
- Resguardar la seguridad de los datos mediante medidas organizativas y técnicas apropiadas
- Documentar sus políticas y mantener registros del tratamiento
Además, los encargados (proveedores que procesan datos por encargo) asumen también obligaciones concretas de cumplimiento.
4. Evaluaciones de impacto en privacidad (PIAs)
Para ciertos tratamientos de alto riesgo, las empresas deberán realizar Evaluaciones de Impacto en la Protección de Datos Personales (EIPP o PIAs), evaluando previamente los riesgos y medidas mitigatorias.
Este nuevo requisito implica una visión preventiva y proactiva en la gestión de la privacidad.
5. Sanciones estrictas
Las multas pueden alcanzar hasta las 20.000 UTM (más de 1.300 millones de pesos chilenos, aproximadamente). Y lo que es más grave: las empresas pueden quedar inhabilitadas para realizar ciertos tipos de tratamiento, afectando seriamente sus operaciones.
Fuente completa: https://www.bcn.cl/leychile/navegar?idNorma=1209272
¿Qué deben hacer las empresas chilenas para proteger adecuadamente los datos personales?
La Ley 21.719 impone nuevas exigencias técnicas, organizativas y jurídicas. Dado el carácter transversal de los datos personales en toda organización, el desafío de adecuarse normativamente requiere una estrategia integral de cumplimiento.
Estas son algunas de las acciones clave que las empresas deben implementar con urgencia:
1. Realizar un diagnóstico de brechas
Antes de tomar decisiones, es fundamental entender en qué nivel de cumplimiento se encuentra la organización. Un diagnóstico permite:
- Identificar los tratamientos de datos actuales
- Determinar riesgos y vulnerabilidades
- Establecer prioridades y estrategia de adecuación
Este tipo de auditorías iniciales son uno de los servicios fundamentales que ofrece EFECTUS a organizaciones chilenas y latinoamericanas, ayudándolas a cumplir con eficiencia la nueva normativa (https://efectus.cl/#servicios).
2. Adecuar contratos con terceros
Los contratos con proveedores, especialmente aquellos que acceden o procesan datos personales como encargados, deben revisarse y actualizarse conforme a las exigencias de la Ley 21.719. Se deben establecer cláusulas claras de responsabilidad, deberes de seguridad, cumplimiento de plazos y confidencialidad.
3. Implementar políticas y procedimientos internos
Las empresas deben formalizar las siguientes políticas:
- Política interna de privacidad
- Reglamento de derechos de los titulares
- Procedimiento para notificación de incidentes de seguridad
- Manual de gestión de incidentes y fuga de información
La capacitación del equipo interno es vital. EFECTUS ofrece programas de concientización y formación especializada para equipos legales, de tecnología, recursos humanos y áreas comerciales.
4. Establecer un DPO (Delegado de Protección de Datos)
Aunque no obligatorio para todas las empresas, contar con un Delegado de Protección de Datos Personales (DPO) se vuelve una buena práctica, especialmente para sectores intensivos en tratamiento de datos como fintech, salud, educación, ecommerce y telecomunicaciones.
El DPO debe supervisar el cumplimiento normativo, gestionar el riesgo y ser enlace con la Agencia de Protección de Datos.
5. Desarrollar Evaluaciones de Impacto (PIAs)
Para tratamientos de alto riesgo (como biometría, geolocalización o decisiones automatizadas), es obligatorio realizar evaluaciones previas de impacto. Estas deben ser documentadas, justificadas y mantener evidencia de cumplimiento.
EFECTUS acompaña a organizaciones en la formulación y documentación de estas evaluaciones, brindando soporte técnico y normativo especializado (https://efectus.cl/#servicios).
Cómo se relaciona la protección de datos con la ciberseguridad y el compliance
Muchas empresas cometen el error de tratar la protección de datos exclusivamente desde una mirada legal. Sin embargo, cumplir con la Ley 21.719 implica también robustecer la gestión del riesgo tecnológico, la ciberseguridad y el compliance corporativo.
La ciberseguridad como base del cumplimiento de privacidad
La protección de datos exige mantener confidencialidad, integridad y disponibilidad de la información. Para ello es necesario aplicar controles de ciberseguridad como:
- Implementación de sistemas de gestión conforme a ISO/IEC 27001
- Políticas de gestión de accesos y autenticación
- Encriptación de datos sensibles
- Respaldo y recuperación de información
- Monitoreo y detección de accesos no autorizados
Estas medidas ayudan a prevenir vulneraciones de seguridad (data breaches), que la Ley 21.719 exige notificar tanto a la Agencia como a los titulares afectados cuando exista riesgo para sus derechos.
EFECTUS es líder en implementación de controles normativos como ISO 27001, asesoría en gestión de incidentes de seguridad y preparación de Planes de Respuesta ante Brechas (IRP), herramientas clave para cumplir la nueva ley (https://efectus.cl).
Compliance y protección de datos: dos caras de la misma moneda
La Ley 20.393 sobre Responsabilidad Penal de Personas Jurídicas exige que las empresas establezcan modelos de prevención de delitos, incluyendo actos contra la privacidad como el acceso ilícito, el uso indebido de datos o el sabotaje informático.
La incorporación de la protección de datos personales como parte del sistema de compliance permite:
- Alinear tratamiento de datos con valores éticos y regulatorios
- Minimizar riesgos y evitar sanciones administrativas y penales
- Generar confianza en los mercados e inversionistas
En EFECTUS, integramos la protección de datos personales en los programas de compliance, asegurando coherencia normativa y de procesos en toda la organización (https://efectus.cl/#servicios).
Casos específicos donde la Ley 21.719 cobra protagonismo
Algunos contextos donde la nueva ley tendrá aplicación inmediata y prioritaria:
Los ecommerce y marketplaces
Estas plataformas almacenan información personal, datos de pago, historial de compras y direcciones. Deben revisar sus políticas de privacidad, registrar los tratamientos y manejar adecuadamente incidentes de ciberseguridad.
Clínicas y centros de salud
Procesan datos sensibles (diagnósticos, tratamientos, antecedentes médicos), por lo tanto son responsables de aplicar altos estándares de seguridad, consentimiento informado y evaluaciones de impacto.
Empresas que usan inteligencia artificial
Los sistemas de IA que toman decisiones automatizadas sobre personas deben ser transparentes, explicables y permitir intervención humana. Esto es especialmente relevante en procesos de scoring crediticio, selección de personal, marketing o precios dinámicos.
Conclusión: Privacidad como activo estratégico
La entrada en vigencia de la Ley 21.719 marca un antes y un después en la forma en que las empresas chilenas deben gestionar los datos personales. No se trata solamente de cumplir por obligación legal, sino de construir relaciones de confianza con sus usuarios, proteger la reputación corporativa y anticiparse a los riesgos.
Desde EFECTUS acompañamos a organizaciones de todos los tamaños en su camino hacia la adecuación a la Ley de Protección de Datos Personales. Con una mirada integral que abarca el compliance, la ciberseguridad y la continuidad del negocio, ayudamos a nuestros clientes a convertir la regulación en una oportunidad estratégica.
¿Tu empresa ya está preparada? Te invitamos a conversar con nuestros expertos y comenzar juntos este proceso de transformación. Contáctanos en https://efectus.cl/#contacto para más información y diagnóstico inicial.