ShellTI · Legislación y Cumplimiento
La nueva ley chilena de protección de datos personales, vigente desde diciembre de 2026. Actualiza el estándar normativo al nivel del GDPR europeo, con obligaciones concretas para responsables y encargados del tratamiento.
Resumen Ejecutivo
La Ley N° 21.719 modifica la Ley N° 19.628 sobre protección de la vida privada y eleva sustancialmente el estándar de protección de datos personales en Chile. Publicada en el Diario Oficial y con un período de adecuación que culminó en diciembre de 2026, establece un régimen comparable al RGPD de la Unión Europea.
La ley aplica a toda persona natural o jurídica, pública o privada, que realice tratamiento de datos personales de personas domiciliadas en Chile, independientemente de dónde esté domiciliado el responsable del tratamiento.
El Consejo para la Transparencia actúa como autoridad de control hasta la creación de la Agencia de Protección de Datos Personales. Es el órgano competente para recibir reclamaciones, instruir procedimientos sancionatorios y fiscalizar el cumplimiento de la ley.
Obligaciones Clave
Mantener un Registro de Actividades de Tratamiento actualizado (Art. 14 bis), identificando finalidades, categorías de datos, titulares, bases de licitud y plazos de conservación.
Implementar mecanismos de consentimiento libre, informado, específico e inequívoco (Art. 12-13). Para datos sensibles: consentimiento explícito obligatorio.
Adoptar medidas técnicas y organizativas apropiadas al riesgo (Art. 14 quater), considerando el estado de la técnica y la naturaleza de los datos.
Realizar Evaluaciones de Impacto en la Protección de Datos (Art. 15 ter) para tratamientos de alto riesgo: datos sensibles masivos, vigilancia sistémica, decisiones automatizadas.
Formalizar contratos con todos los encargados del tratamiento (Art. 17-18) que especifiquen obligaciones de seguridad, confidencialidad y eliminación de datos.
Conservar datos solo durante el tiempo necesario para la finalidad declarada (principio de limitación). Implementar políticas de retención y eliminación segura.
Derechos de los Titulares
El titular tiene derecho a obtener confirmación de si sus datos son tratados, qué datos, con qué finalidad y quiénes son los destinatarios. El plazo de respuesta es de 30 días hábiles.
Derecho a corregir datos inexactos o incompletos. El responsable debe rectificar o suprimir los datos en el plazo legal.
Derecho al olvido: supresión de datos cuando ya no sean necesarios para la finalidad, cuando se revoque el consentimiento, o cuando el tratamiento sea ilícito.
El titular puede oponerse al tratamiento por motivos legítimos, incluyendo la oposición al uso de datos para marketing directo.
Nuevo en la Ley 21.719: el titular puede solicitar sus datos en formato estructurado, de uso común y legible por máquina, y transferirlos a otro responsable.
Notificación de Brechas
El Art. 26 de la Ley 21.719 establece la obligación de notificar a la autoridad de control dentro de las 72 horas desde que el responsable toma conocimiento de una vulneración de seguridad. Este es uno de los requisitos más exigentes operacionalmente.
La notificación debe incluir: naturaleza de la vulneración, categorías y número aproximado de titulares afectados, datos de contacto del DPO, consecuencias probables y medidas adoptadas. Si la brecha implica riesgo elevado para los titulares, también deben ser notificados sin dilación.
No notificar dentro del plazo puede constituir una infracción grave, con multas de hasta 5.000 UTM (aprox. $350 millones CLP en 2026) y responsabilidad civil por daño moral ante los titulares afectados.
Régimen Sancionatorio
Incumplimientos menores de deberes formales: falta de actualización del RAT, avisos de privacidad incompletos, demora en responder ejercicio de derechos.
Tratamiento sin base de licitud válida, ausencia de medidas de seguridad básicas, no comunicar vulneraciones de seguridad sin riesgo elevado.
Tratamiento de datos sensibles sin consentimiento explícito, no notificar brechas de alto riesgo, transferencias internacionales ilícitas, reincidencia.
Adicional a las sanciones administrativas, el responsable puede ser condenado a indemnizar daños patrimoniales y extrapatrimoniales (daño moral) causados a los titulares.
Preguntas Frecuentes
La Ley 21.719 fue publicada en el Diario Oficial y estableció un período de adecuación. Las obligaciones principales entraron en vigencia en diciembre de 2026. Sin embargo, la autoridad de control ya ha iniciado procedimientos sancionatorios, por lo que el cumplimiento es urgente.
Toda persona natural o jurídica, de derecho público o privado, que trate datos personales de titulares domiciliados en Chile, independientemente de dónde esté ubicado el responsable del tratamiento. Incluye empresas extranjeras que ofrezcan bienes o servicios a personas en Chile.
Son datos sensibles: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, datos de salud, datos genéticos, datos biométricos, orientación sexual, situación patrimonial y sindical. Su tratamiento requiere consentimiento explícito o base legal específica.
La Ley 21.719 requiere la designación de un DPO para: órganos de la administración del Estado, responsables que traten datos de forma habitual y masiva, responsables que traten datos sensibles a gran escala, y entidades que realicen vigilancia sistemática a gran escala. Para empresas privadas medianas, la designación voluntaria es recomendable.
ShellTI acompaña a empresas chilenas desde el diagnóstico hasta la certificación, con foco en Ley 21.719 e ISO 27001.