Doing Business Chile 2026 · IX

Protección de datos personales

Chile cambió las reglas del tratamiento de datos personales. La Ley N° 21.719, publicada el 13 de diciembre de 2024, reforma sustancialmente el régimen anterior, lo acerca al estándar europeo y crea una autoridad con potestad para fiscalizar y multar. Entra en vigencia el 1 de diciembre de 2026, de modo que una empresa extranjera que trate datos de personas en Chile tiene una ventana acotada para adecuarse antes de que las nuevas obligaciones y multas sean exigibles.

分享此报告LinkedInWhatsAppX邮件

CAMBIO DE RÉGIMEN

El cambio de régimen y por qué importa

Durante veinticinco años, el tratamiento de datos personales en Chile se rigió por la Ley N° 19.628, sobre Protección de la Vida Privada, publicada el 28 de agosto de 1999. Pionera en la región, quedó atrás frente a la economía digital. Permitía tratar datos con un consentimiento poco exigente, no contemplaba una autoridad de control especializada y dejaba el cumplimiento entregado, en la práctica, a la acción civil de los afectados ante los tribunales ordinarios. Para una empresa acostumbrada al Reglamento General de Protección de Datos de la Unión Europea (RGPD/GDPR), el régimen chileno parecía laxo, y esa percepción está por terminar.

La Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, modifica de manera sustancial la Ley N° 19.628 y la acerca al modelo del RGPD/GDPR. Incorpora principios expresos del tratamiento, redefine el consentimiento, amplía los derechos del titular, impone obligaciones documentales al responsable, regula por primera vez de forma explícita la transferencia internacional de datos y crea una autoridad administrativa con facultades de fiscalización y sanción. El texto fija multas de hasta 20.000 unidades tributarias mensuales para las infracciones más graves.

Con una vacancia cercana a veinticuatro meses, hasta el 1 de diciembre de 2026 sigue rigiendo la Ley N° 19.628 en su redacción original; desde ese día rige el marco reformado en su integridad. Ese desfase define el calendario de adecuación de cualquier empresa con operaciones o clientes en Chile.

Para una empresa extranjera, el punto relevante es el alcance territorial. Cuando el responsable no está establecido en Chile, la sujeción al marco chileno debe revisarse caso a caso según los supuestos territoriales previstos por la ley y la conexión efectiva del tratamiento con titulares ubicados en el país. Una empresa con sede en el extranjero que ofrece servicios a personas en Chile o que monitorea su comportamiento puede quedar dentro del ámbito de la ley aunque no tenga oficina local, en una extraterritorialidad tomada del modelo europeo.

OGC 视角

El 1 de diciembre de 2026 debe gobernar tu plan de cumplimiento, y no conviene esperar a esa fecha para empezar, porque el registro de actividades, las evaluaciones de impacto, los contratos con encargados y los mecanismos de transferencia internacional toman meses de implementación.

GARANTÍA CONSTITUCIONAL

El derecho fundamental del artículo 19 N° 4

La protección de los datos personales es en Chile una garantía constitucional. El artículo 19 N° 4 de la Constitución, en el texto fijado por el Decreto 100 de 2005, asegura a todas las personas el respeto y protección a la vida privada y, tras la reforma introducida por la Ley N° 21.096, publicada el 16 de junio de 2018, la protección de sus datos personales, cuyo tratamiento se rige por la ley.

La Ley N° 21.719 es el desarrollo legal de ese derecho. El artículo 1° de la Ley N° 19.628, en su texto modificado, declara que regula la forma y condiciones del tratamiento de datos personales en conformidad al artículo 19 N° 4 de la Constitución. Para una empresa, el incumplimiento no es solo un riesgo administrativo de multa, sino la afectación de una garantía constitucional, con la carga reputacional y la exposición a acciones que ello conlleva.

OGC 视角

Trata la protección de datos como cumplimiento de un derecho fundamental, no como un trámite. La pregunta de fondo no es si publicaste una política de privacidad, sino si el tratamiento respeta la autodeterminación informativa de las personas cuyos datos manejas.

CONCEPTOS CENTRALES

Ámbito de aplicación y conceptos centrales

La Ley N° 21.719 trabaja sobre cuatro conceptos que definen quién responde y por qué.

El encargado del tratamiento es quien trata datos por cuenta del responsable, en virtud de un contrato. El proveedor de infraestructura en la nube, la plataforma de correos masivos o el procesador de pagos suelen actuar como encargados. La ley exige que la relación conste por escrito y que el encargado aplique medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

OGC 视角

Mapea tus flujos de datos y define, contrato por contrato, quién es responsable y quién es encargado. Un mismo proveedor puede serlo en distinto rol según la finalidad, y esa calificación determina las cláusulas que necesitas y el reparto de responsabilidad.

PRINCIPIOS

Los principios del tratamiento

El artículo 3 de la Ley N° 19.628, en su texto modificado por la Ley N° 21.719, fija los principios que rigen todo tratamiento de datos personales. No son declaraciones de buena intención, sino estándares de conducta exigibles y sancionables.

Responsabilidad Seguridad Responsabilidad hace legalmente responsable a quien trata Seguridad obliga a garantizar estándares adecuados. los datos del cumplimiento de los principios.

La Ley N° 21.719 convierte estos principios, antes dispersos y sin fiscalización de oficio, en el eje del modelo, y los entrega a una agencia con potestad sancionatoria.

OGC 视角

La proporcionalidad es el principio que más fricción genera con las empresas digitales, porque recoger datos por si acaso deja de ser admisible. Revisa cada formulario y permiso de tu aplicación y, si un dato no es necesario para la finalidad declarada, déjalo de pedir.

BASES DE LICITUD

Bases de licitud y el consentimiento

Todo tratamiento de datos personales requiere una base de licitud. La Ley N° 21.719 establece un catálogo de ellas, y el consentimiento del titular es una, pero no la única.

OGC 视角

No construyas todo tu modelo de datos sobre el consentimiento, que se puede retirar y obliga a sostener evidencia de cómo se obtuvo. Para tratamientos estructurales, como la prevención del fraude o la seguridad de tu plataforma, el interés legítimo o la necesidad contractual suelen ser una base más sólida.

DERECHOS DEL TITULAR

Derechos del titular

La Ley N° 21.719 amplía y sistematiza los derechos de la persona cuyos datos se tratan. La tabla siguiente resume cada derecho y lo contrasta, donde corresponde, con el régimen de la Ley N° 19.628.

Acceso Obtener confirmación de si sus datos se tratan, acceder a ellos y Reconocido de forma más limitada, centrado conocer su origen, finalidad y destinatarios. en saber qué datos se almacenan y a quién se comunican

Rectificación Exigir la corrección de datos inexactos, desactualizados o Reconocido respecto de datos erróneos, incompletos. inexactos o incompletos.

Oposición Oponerse a tratamientos determinados, incluida la elaboración de No regulado de forma autónoma y general. perfiles y el marketing directo.

Bloqueo Solicitar la suspensión temporal de operaciones de tratamiento La Ley N° 19.628 contemplaba bloqueo, mientras se resuelve una solicitud de rectificación, supresión u pero no con el alcance sistemático del nuevo oposición. régimen de derechos.

Portabilidad Obtener los datos en formato estructurado y de uso común y No contemplado. transferirlos a otro responsable.

Decisiones Oponerse y no ser objeto de decisiones basadas exclusivamente en No contemplado como derecho autónomo automatizadas tratamiento automatizado, incluida la elaboración de perfiles, general. cuando produzcan efectos jurídicos o le afecten significativamente.

Estos derechos se ejercen ante el responsable, que debe responder en los plazos y la forma que fija la ley; si no responde o lo hace de manera insuficiente, el titular puede reclamar ante la Agencia. La portabilidad y la oposición a la elaboración de perfiles son derechos nuevos, sin equivalente en la Ley N° 19.628, y especialmente sensibles para los modelos de negocio que dependen de la analítica de comportamiento.

OGC 视角

Necesitas un procedimiento interno para atender solicitudes de derechos antes de la vigencia: quién recibe la solicitud, cómo se verifica la identidad del solicitante, qué sistemas se consultan y en qué plazo se responde. La oposición al marketing directo, además, obliga a revisar tus campañas y listas.

OBLIGACIONES

Obligaciones del responsable

La Ley N° 21.719 traslada al responsable el peso del cumplimiento y lo hace demostrable mediante las obligaciones siguientes.

El deber de información obliga a entregar al titular, al momento de recoger los datos, la identidad y datos de contacto del responsable, las finalidades del tratamiento, las categorías de datos tratados, los destinatarios o categorías de destinatarios, la existencia de transferencias internacionales y los derechos que le asisten. Es el contenido mínimo de una política de privacidad que cumpla la ley.

El registro de actividades de tratamiento obliga a mantener un inventario documental de las operaciones de tratamiento, que la Agencia puede requerir y que es la primera evidencia de cumplimiento que una empresa debe poder exhibir.

El deber de reportar vulneraciones de las medidas de seguridad obliga a notificar a la Agencia las brechas que afecten datos personales y, según la gravedad y el tipo de datos comprometidos, también al titular afectado. El encargado que detecta una vulneración debe reportarla al responsable.

La designación de un delegado de protección de datos es una figura que la ley contempla para canalizar el cumplimiento y la relación con la Agencia. No es una obligación universal aplicable a todo responsable, sino que debe evaluarse según la operación y, especialmente, cuando la empresa adopta un modelo de prevención de infracciones o programa de cumplimiento certificable. Cuando se designa, funciona como punto de contacto y supervisa la observancia del marco.

OGC 视角

El registro de actividades de tratamiento es el documento por el que conviene partir, porque obliga a mapear qué datos tratas, con qué finalidad, sobre qué base de licitud y con qué destinatarios. Con ese mapa, la política de privacidad, las evaluaciones de impacto y los contratos con encargados se elaboran con mucha más facilidad.

TRANSFERENCIAS

Encargados y transferencias internacionales

La relación entre el responsable y sus proveedores que tratan datos por su cuenta debe constar en un contrato de encargo. La ley exige que el encargado trate los datos únicamente conforme a las instrucciones del responsable, aplique las medidas de seguridad apropiadas, guarde confidencialidad y reporte las vulneraciones que detecte. Cuando subcontrata, la cadena de subencargo queda sujeta a las mismas exigencias y la responsabilidad no se diluye por el solo hecho de subcontratar.

La transferencia internacional de datos recibe, por primera vez, una regulación expresa. La regla general es que es admisible cuando el país de destino tiene un nivel adecuado de protección, entendido como un ordenamiento con estándares similares a los de la ley chilena. Cuando no cuenta con un nivel adecuado, la transferencia procede si el responsable adopta garantías que la justifiquen, como cláusulas contractuales, normas corporativas vinculantes u otros instrumentos jurídicos. La Agencia puede formular recomendaciones, adoptar medidas conservativas y, en casos calificados, suspender temporalmente el envío de datos al extranjero.

El 19 de diciembre de 2025 se publicó la Resolución 202503748 exenta, del Ministerio de Economía, que aprueba cláusulas contractuales modelo para transferencias internacionales, lo que reduce la carga de negociar instrumento por instrumento y da previsibilidad a las empresas que mueven datos entre Chile y otras jurisdicciones.

OGC 视角

Para una empresa extranjera, la transferencia internacional suele ser el punto crítico, porque su operación normal implica enviar datos de personas en Chile a servidores fuera del país. Revisa adónde van tus datos y bajo qué garantía; si el destino no tiene nivel adecuado, las cláusulas contractuales modelo son el camino más directo, y no la asumas cubierta solo porque tu proveedor es una empresa global conocida.

LA AGENCIA

La Agencia de Protección de Datos Personales

La Ley N° 21.719 crea la Agencia de Protección de Datos Personales como una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio. Es la pieza que faltaba en el régimen de la Ley N° 19.628 y la que cambia de raíz el incentivo al cumplimiento.

La preparación institucional ya está en curso. El Decreto 12, publicado el 17 de junio de 2025, creó una comisión asesora ministerial para la implementación de la Ley N° 21.719.

OGC 视角

Ahora existe una autoridad que puede fiscalizar de oficio, requerir documentación y multar. Poder exhibirle tu registro de actividades, tus evaluaciones de impacto y tus contratos con encargados separa a una empresa preparada de una expuesta.

M U LTA S

El régimen de multas

La Ley N° 21.719 establece un régimen sancionatorio escalonado según la gravedad de la infracción, con los topes de multa por categoría que resume la tabla siguiente.

Hasta 5.000 Hasta 10.000 Hasta 20.000 unidades unidades unidades tributarias tributarias tributarias mensuales mensuales mensuales multa máxima multa máxima multa máxima

El titular conserva, en paralelo a la vía administrativa, su acción civil de indemnización por los perjuicios que el tratamiento ilícito le cause, responsabilidad que puede recaer sobre el responsable o sobre el encargado según su participación en la infracción.

OGC 视角

Enfoque OGC. El tope en unidades tributarias mensuales se ajusta con el tiempo, conviene calcularlo en moneda corriente. Pero lo que más debe pesar en una decisión de inversión es la regla agravada por reincidencia, porque expone a las empresas que no califican como de menor tamaño a un porcentaje de los ingresos anuales del giro.

PLANDEPREPARACIÓN

Cronograma de vigencia y plan de preparación

Desde el 1 de diciembre de 2026, las obligaciones del nuevo marco y las facultades sancionatorias de la Agencia son exigibles. Un plan razonable encadena, en orden, el registro de actividades, la base de licitud de cada tratamiento, la política de privacidad, los contratos de encargo, la habilitación de las transferencias internacionales, las evaluaciones de impacto de alto riesgo, el procedimiento de atención de derechos y el protocolo de respuesta a brechas, y la eventual designación de un delegado.

OGC 视角

Un programa de adecuación completo en una empresa de tamaño medio con operación digital toma varios meses. Y la protección de datos no se cierra ni se archiva, sino que es una función continua que cambia con cada nuevo producto, proveedor o finalidad y que la Agencia irá precisando con sus instrucciones. Empezar con holgura, y sostenerlo en el tiempo, separa llegar preparado de llegar expuesto. ¿Tu empresa llegará preparada a la entrada en vigencia de la Ley

AGENDA UNA REUNIÓN

N° 21.719 el 1 de diciembre de 2026?

免费下载

下载完整报告

获取 175 页完整 PDF(西班牙语或英语版),含对比表和各章详情。

本内容仅供参考,不构成法律意见。在做出投资决策前,建议就具体情况获取专业意见。

想把这些应用到您的具体情况?

与 Cubillos Lama 合伙人交流智利法律框架如何适用于您的运营。

24个工作小时内回复。