ShellTI · Legislación y Cumplimiento
Marco completo sobre el tratamiento de datos personales en Chile: principios fundamentales, bases de licitud, derechos de los titulares y obligaciones de las organizaciones bajo la Ley 21.719.
Resumen Ejecutivo
La protección de datos personales en Chile se rige principalmente por la Ley N° 21.719, que modifica la Ley N° 19.628. Este nuevo marco eleva sustancialmente el estándar de protección, acercando el sistema chileno al Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
El concepto central es el dato personal: toda información relativa a una persona natural identificada o identificable. Esto incluye nombres, RUT, correos, ubicación GPS, hábitos de consumo, datos biométricos y cualquier otra información que permita individualizar a una persona, directa o indirectamente.
Requieren tratamiento especialmente cuidadoso: datos de salud, origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, datos genéticos, datos biométricos, orientación sexual e información patrimonial o sindical. Solo pueden tratarse con consentimiento explícito o base legal específica.
Principios Fundamentales
El tratamiento debe tener una base legal válida: consentimiento del titular, contrato, obligación legal, interés vital, función pública o interés legítimo.
Los datos deben recogerse con fines determinados, explícitos y legítimos. No pueden tratarse de manera incompatible con esa finalidad original.
Solo deben tratarse los datos adecuados, pertinentes y no excesivos en relación con la finalidad declarada. Principio de minimización de datos.
Los datos deben ser exactos y actualizados. El responsable debe adoptar medidas para rectificar o suprimir datos inexactos o incompletos.
Adoptar medidas técnicas y organizativas apropiadas al riesgo para proteger la confidencialidad, integridad y disponibilidad de los datos.
Los datos deben conservarse solo durante el tiempo necesario para la finalidad. Vencido el plazo, deben eliminarse o anonimizarse de forma efectiva.
Bases de Licitud
Base más común pero más exigente: debe ser libre (sin condicionamientos), informado (con aviso de privacidad completo), específico (para cada finalidad) e inequívoco (opt-in activo, no pre-marcado). Para datos sensibles: consentimiento explícito reforzado.
Permite el tratamiento cuando es necesario para la ejecución de un contrato en que el titular es parte, o para medidas precontractuales. Ej: datos de facturación, datos de entrega.
Cuando el tratamiento es necesario para cumplir una obligación legal aplicable al responsable. Ej: datos retenidos por obligaciones tributarias o laborales.
Base más flexible pero que requiere una prueba de ponderación: los intereses legítimos del responsable no deben prevalecer sobre los derechos del titular. Inadecuada para datos sensibles. Requiere documentación del análisis de ponderación.
Transferencias Internacionales
El Art. 25 de la Ley 21.719 regula las transferencias de datos personales fuera del territorio chileno. Solo se permiten hacia países, organizaciones internacionales o estándares que ofrezcan un nivel adecuado de protección comparable al chileno, o mediante garantías contractuales adecuadas.
El uso de servicios cloud estadounidenses (AWS us-east, Google Workspace, Microsoft 365) implica transferencia internacional de datos personales. Estos proveedores ofrecen cláusulas contractuales estándar y certifications que pueden satisfacer el requisito, pero deben formalizarse contractualmente y documentarse.
Existen excepciones al requisito de nivel adecuado: consentimiento explícito del titular para la transferencia específica, necesidad para un contrato, razones de interés público o vital, o cuando la transferencia forma parte de un registro público. Cada excepción tiene requisitos específicos.
Privacy by Design
El principio de Privacy by Design (PbD) establece que la protección de datos debe incorporarse en el diseño de sistemas, productos y procesos desde el inicio, no como un elemento añadido a posteriori. La Ley 21.719 reconoce este principio implícitamente a través de la responsabilidad proactiva.
1. Proactivo, no reactivo. 2. Privacidad como configuración predeterminada. 3. Privacidad integrada en el diseño. 4. Funcionalidad total (no disyuntiva). 5. Seguridad de extremo a extremo. 6. Visibilidad y transparencia. 7. Respeto por la privacidad del usuario.
Mínima recolección de datos desde el formulario de diseño, pseudonimización por defecto, cifrado en reposo desde la primera línea de código, y controles de acceso definidos en la arquitectura antes de la implementación. ShellTI acompaña a equipos de desarrollo en la implementación de PbD.
Preguntas Frecuentes
Es cualquier información relativa a una persona natural identificada o identificable. La identificabilidad puede ser directa (nombre, RUT) o indirecta (combinación de datos que permita individualizar a una persona). Los datos de personas jurídicas no son datos personales, pero sí los datos de sus representantes y trabajadores.
Sí. El principio de transparencia e información exige que los titulares sean informados sobre el tratamiento de sus datos antes o al momento de su recolección. El aviso debe incluir: identidad del responsable, finalidades, bases de licitud, destinatarios, plazos de conservación y cómo ejercer los derechos ARCOP.
Los datos personales de trabajadores son protegidos por la Ley 21.719 y el Código del Trabajo. El empleador puede tratar datos necesarios para la relación laboral, pero no puede usar la dependencia laboral para obtener consentimientos válidos para tratamientos no relacionados con el empleo.
La anonimización es un proceso irreversible que elimina toda posibilidad de reidentificación de una persona. Los datos verdaderamente anonimizados ya no son datos personales y quedan fuera del ámbito de la Ley 21.719. La pseudonimización (reversible) no exime del cumplimiento. El estándar técnico de anonimización efectiva debe poder resistir ataques de reidentificación con datasets auxiliares.
ShellTI acompaña a empresas chilenas desde el diagnóstico hasta la certificación, con foco en Ley 21.719 e ISO 27001.