Buscar la política de privacidad de un competidor, cambiarle el logo y publicarla es una práctica extendida entre empresas chilenas. También es una mala idea que está a punto de volverse cara. A partir del 1 de diciembre de 2026 entrará en vigor el nuevo régimen de protección de datos que la Ley N° 21.719 incorpora a la Ley N° 19.628. Este contempla una Agencia de Protección de Datos Personales facultada para fiscalizar y sancionar, además de multas de hasta 20.000 UTM para infracciones gravísimas conforme a los artículos 34 quáter y 35.
La política de privacidad será lo primero que mire cualquier fiscalizador, porque el nuevo artículo 14 ter obliga a mantenerla publicada, con fecha y versión, en el sitio web de la empresa. Incumplir ese deber de información y transparencia es infracción expresa (art. 34 bis letra a). Y una política que describe tratamientos que la empresa no hace, u omite los que sí hace, es peor que no tener ninguna.
El principio que ordena todo este trabajo cabe en una frase. La política describe, no decide. Primero se entiende cómo fluyen los datos dentro del negocio y recién después se redacta el documento que lo cuenta. Esta guía recorre ese camino en cuatro pasos.
1. Paso previo, mapear los datos
Antes de escribir una línea, la empresa necesita un inventario honesto de sus tratamientos. En una PyME este ejercicio toma una o dos semanas de entrevistas con las áreas. Conviene documentar, por cada proceso, lo siguiente.
- Qué datos se recolectan: identificación, contacto, datos transaccionales, navegación, geolocalización, datos de trabajadores y postulantes.
- Por qué canal entran: sitio web, formularios, app, correo, punto de venta, integraciones con terceros.
- Para qué se usan: entrega del servicio, facturación, marketing, analítica, prevención de fraude.
- Quién los recibe: proveedores que tratan datos por cuenta de la empresa, empresas del grupo, cesionarios.
- Dónde se almacenan y por cuánto tiempo: servidores propios o nube, país de alojamiento, plazo de conservación por categoría.
Si en este mapeo aparecen datos sensibles, como salud o datos biométricos, el estándar de cuidado sube y conviene revisar el tratamiento con asesoría específica antes de publicarlo en una política.
2. Paso central, definir la base de licitud de cada tratamiento
El nuevo régimen exige que cada tratamiento se apoye en una base de licitud aplicable y que el responsable pueda demostrar el cumplimiento de las obligaciones legales correspondientes. La regla general es el consentimiento del titular, que debe ser libre, informado y específico en cuanto a sus finalidades (art. 12). El artículo 13 agrega fuentes de licitud que operan sin consentimiento, entre ellas las siguientes.
- El tratamiento necesario para la celebración o ejecución de un contrato con el titular, o para medidas precontractuales solicitadas por él.
- El cumplimiento de una obligación legal.
- La satisfacción de intereses legítimos del responsable o de un tercero, siempre que no se afecten los derechos y libertades del titular. Si se invoca esta base, el titular puede exigir que se le informe cuál es ese interés legítimo.
- El tratamiento de datos sobre obligaciones económicas, financieras, bancarias o comerciales conforme a su regulación especial.
Asignar base de licitud es una decisión jurídica, no de redacción. Apoyar el marketing masivo en un supuesto interés legítimo, por ejemplo, es una apuesta discutible que conviene evaluar caso a caso.
3. Paso de redacción, el contenido mínimo de la política
Con el mapeo y las bases definidas, la política se arma con este checklist. El orden es el que un titular esperaría encontrar.
Advertencia. Copiar una política GDPR trae errores que un fiscalizador detecta en dos minutos. Referencias a autoridades europeas, bases legales que no existen en Chile y derechos con plazos incorrectos. El template extranjero no es un atajo, es una confesión de que nadie miró los tratamientos reales.
4. Paso final, mantener la política viva
La política se revisa cada vez que cambia la operación. Un proveedor nuevo de nube, una campaña con datos de terceros, una integración con una plataforma extranjera o el lanzamiento de una app son gatillos de actualización. Además conviene fijar una revisión anual con responsable definido, mantener historial de versiones y verificar la coherencia entre la política, los términos y condiciones y los contratos con encargados. La fecha y versión publicadas obligan, cualquier titular puede comparar lo que la política dice con lo que la empresa hace.
Hasta el 30 de noviembre de 2026 sigue rigiendo la Ley 19.628 en su texto actual. Publicar hoy una política alineada con el nuevo régimen no es adelantarse por deporte. Es evitar rehacer el trabajo en plena entrada en vigencia, cuando todos los asesores del mercado estén saturados.
5. Cómo acompaña CUBILLOS LAMA
En CUBILLOS LAMA, bajo el modelo Outside General Counsel, hacemos el mapeo de datos, definimos las bases de licitud y redactamos la política de privacidad junto con los documentos que la sostienen, contratos con encargados, cláusulas de transferencia internacional y procedimiento de respuesta a titulares. Tu departamento legal, sin el costo de uno propio. Si tu política actual es un template o no refleja tus tratamientos reales, agenda una reunión de diagnóstico.
Este contenido es informativo y no constituye asesoría legal para un caso específico.
¿Tienes consultas sobre tu situación legal?
Conversemos sobre cómo aplica esto a tu empresa.
Contáctanos →Área relacionada: Regulatorio
Conoce cómo abordamos este ámbito legal bajo el modelo OGC.
Área relacionada: Regulatorio →