.svg)
Si bien el Reglamento General de Protección de Datos de la UE (RGPD UE) consta de solo 99 artículos, sus principios fundamentales y los amplios derechos de privacidad que otorga a las personas han influido significativamente en cómo los gobiernos de todo el mundo regulan y protegen los datos personales.
El año pasado, Chile se unió a la creciente lista de países que han actualizado sus leyes de protección de datos para reforzar los derechos de privacidad de las personas y regular la economía digital. La nueva ley chilena, Law No. 21.719 on the Protection of Personal Data (LPPD), fue publicada oficialmente y se convirtió en ley el 13 de diciembre de 2024.
En términos generales, la nueva Ley de Protección de Datos Personales en Chile otorga a los individuos derechos de privacidad más sólidos, incluyendo la introducción del derecho a la portabilidad de los datos y el derecho a bloquear el tratamiento de información personal. También impone requisitos más estrictos a las organizaciones, como mayores obligaciones en materia de seguridad de los datos y reglas más rigurosas para las transferencias internacionales de información.
Si manejas datos personales de residentes en Chile, o si tu sitio web o aplicación móvil es accesible para ellos, podrías estar sujeto a la nueva ley chilena de protección de datos. En este artículo, te explicamos los requisitos clave de la nueva ley y cómo puedes prepararte para cumplir con ella antes de su entrada en vigor, el 1 de diciembre de 2026.
¿Qué es la nueva Ley de Protección de Datos Personales en Chile?
La nueva Ley de Protección de Datos Personales (LPPD) regula la recolección, tratamiento y gestión de los datos personales de personas que residen en Chile.
Según el gobierno chileno, los dos objetivos principales de esta nueva legislación sobre privacidad son mejorar la protección de la privacidad de las personas y regular la economía digital. En consonancia con estos objetivos, la nueva ley otorga a los residentes chilenos derechos de privacidad similares a los contemplados en el RGPD de la UE, como el derecho a la portabilidad de datos y el derecho a bloquear el tratamiento de datos personales.
Además, la ley introduce nuevas obligaciones para los responsables del tratamiento de datos, incluyendo el deber de incorporar la privacidad por defecto en las actividades de tratamiento y de cumplir con normas específicas para las transferencias internacionales de datos.
Junto con estos cambios significativos, la ley establece una autoridad nacional de protección de datos que será la encargada de hacer cumplir sus disposiciones. Aunque la ley fue promulgada el 13 de diciembre de 2024, sus artículos serán exigibles a partir del 1 de diciembre de 2026. Dado el plazo relativamente corto para su entrada en vigor, se recomienda a las empresas que evalúen si les es aplicable y determinen cómo pueden cumplir con sus nuevas obligaciones.
En las siguientes secciones, explicamos cuándo podría aplicar esta ley y cuáles son los requisitos clave que debes tener en cuenta.
¿Se aplica la nueva Ley de Protección de Datos de Chile a tu organización?
Los criterios de aplicabilidad de la nueva ley chilena son muy similares a los del RGPD de la UE. Si cumples con ambos criterios simultáneamente, es muy probable que la ley regule tus actividades de tratamiento de datos personales de residentes chilenos:
Criterio 1: Eres responsable o encargado del tratamiento de datos personales de residentes en Chile
La ley define los datos personales de forma amplia como “cualquier información vinculada o referida a una persona natural identificada o identificable”.
En otras palabras, aunque no puedas identificar directamente a una persona con la información que posees, podrías igualmente estar dentro del alcance de la ley si la identidad de esa persona puede deducirse a través de identificadores indirectos como cargo profesional, dirección, dirección IP, número de matrícula de vehículo u otros datos identificativos.
Si alguno de los datos que gestionas está relacionado con una persona que reside en Chile, este criterio se considera cumplido.
Criterio 2: Tu actividad de tratamiento entra dentro del alcance territorial de la ley
Si procesas datos personales de residentes chilenos como se describe anteriormente, también debes determinar si su actividad de procesamiento cae dentro del alcance geográfico de la Ley.
Si eres una empresa establecida en territorio chileno, este criterio se cumple automáticamente. Sin embargo, si estás fuera de Chile, aún podrías estar sujeto a la ley si se cumple alguna de las siguientes condiciones:
- Tratas datos personales de residentes chilenos en nombre de una organización establecida en Chile; o
- Ofreces bienes o servicios a personas en Chile, o monitoreas sus actividades mediante tecnologías como el seguimiento en línea o el perfilado.
Como puedes deducir de estos dos criterios, si operas un sitio web, una app móvil u otro servicio digital accesible para residentes en Chile, es probable que estés dentro del alcance de la nueva Ley de Protección de Datos Personales.
¿Cuáles son las principales obligaciones para las organizaciones bajo la nueva Ley chilena?
Si determinaste que tus actividades de tratamiento están sujetas a la nueva LPPD, deberás cumplir con las siguientes obligaciones clave:
Identificar una base legal para el tratamiento de datos
Debes identificar y fundamentar tu tratamiento de datos personales en una base legal válida. Estas bases son similares a las del RGPD en la UE e incluyen: el consentimiento del titular, la necesidad contractual, la obligación legal y el interés legítimo.
Implementar un mecanismo de consentimiento válido
Aunque el consentimiento es la base general del tratamiento, la ley exige que sea libre, informado y específico respecto a su finalidad.
Además, debe otorgarse antes del tratamiento y mediante una manifestación inequívoca del titular. Es decir, no se consideran válidos los checkboxes preseleccionados, la mera navegación por un sitio web o la descarga de una app.
También debe ser posible retirar el consentimiento en cualquier momento.
Garantizar la transparencia
Las organizaciones deben contar con un aviso de privacidad fácilmente accesible que explique cómo se tratan los datos personales de acuerdo con la ley. Este aviso debe estar disponible para los titulares o para la Agencia de Protección de Datos Personales cuando lo soliciten.
En la práctica, una política de privacidad pública en tu sitio web es una buena forma de cumplir con este requisito.
Respetar los derechos de los titulares
El marco legal anterior en Chile ya contemplaba derechos como el acceso y la rectificación.
La nueva ley amplía estos derechos, incorporando el derecho a la portabilidad, el derecho a bloquear el tratamiento de datos personales, el derecho a oponerse y el derecho a no ser objeto de decisiones automatizadas, incluido el perfilado.
Estos nuevos derechos alinean la legislación chilena con el RGPD en la UE.
Implementar medidas de seguridad
El artículo 14 de la ley exige a los responsables del tratamiento implementar medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales, y prevenir su destrucción accidental o ilícita.
También se exige cumplir con los principios de protección de datos desde el diseño y por defecto.
Obtener consentimiento antes de tratar datos sensibles
Como regla general, debes obtener el consentimiento expreso del titular antes de recolectar o tratar datos sensibles.
El artículo 2 de la ley define los datos sensibles como información relacionada con:
(...) las características físicas o morales de las personas, o hechos o circunstancias de su vida privada o intimidad, que revelen origen étnico o racial, opiniones políticas, afiliación sindical, situación socioeconómica, convicciones ideológicas o filosóficas, creencias religiosas, datos de salud, perfil biológico humano, datos biométricos, y la información relativa a la vida sexual, orientación sexual o identidad de género.
– Law No. 21.719 on the Protection of Personal Data, Diario Oficial de la República de Chile, 13 de diciembre de 2024
Notificar brechas de seguridad
El artículo 14 de la ley exige a las organizaciones notificar a la Agencia de Protección de Datos Personales sin dilación indebida cualquier incidente que represente un riesgo razonable para los derechos y libertades de los titulares.
Además, la notificación directa a los titulares será obligatoria cuando la brecha involucre datos sensibles, de menores o información financiera/bancaria.
Cumplir con las transferencias internacionales de datos
Según la Ley, los datos personales de residentes chilenos solo pueden transferirse a un tercer país si:
- El país receptor ha sido declarado adecuado, o
- La organización utiliza un mecanismo aprobado, como el consentimiento del titular, cláusulas contractuales modelo o normas corporativas vinculantes (binding corporate rules).
Hasta ahora, no se ha publicado la lista de países considerados adecuados.
Delegado de protección de datos
La ley no obliga a las organizaciones a nombrar un delegado de protección de datos.
Evaluación de impacto en protección de datos
La ley establece que se deberá realizar una evaluación de impacto cuando una actividad de tratamiento pueda generar un alto riesgo para los derechos de los titulares.
Además, la autoridad podrá publicar una lista de tratamientos que requieran dicha evaluación.
¿Cuáles son las sanciones bajo la nueva ley?
Según la LPPD, las multas pueden variar entre 5.000 y 20.000 unidades tributarias (equivalente a aproximadamente USD 387.000 a USD 1,55 millones, aunque la cifra exacta puede variar).
Si una organización comete infracciones “muy graves” de forma reiterada, la Agencia de Protección de Datos podrá suspender temporalmente sus operaciones de tratamiento de datos, total o parcialmente, por un máximo de 30 días. Durante este periodo, la organización deberá demostrar que ha adoptado medidas correctivas.
En el caso de empresas medianas y grandes que cometan infracciones graves o muy graves de forma reiterada, la Agencia podrá aplicar sanciones equivalentes al 2 % o 4 % de su facturación anual del ejercicio anterior.
¿La nueva ley se aplica a cookies, trackers y tecnologías similares?
La nueva ley no aborda explícitamente el uso de cookies, trackers, SDKs ni tecnologías similares como plugins de redes sociales.
Sin embargo, dada la amplia definición de datos personales que contiene, la información recolectada a través de cookies y tecnologías similares probablemente quede dentro de su alcance. Por ejemplo, si utilizas cookies, plugins sociales u otras herramientas para recolectar IPs, datos de dispositivos o comportamiento del usuario, tu actividad podría estar regulada por esta ley.
Por ello, es recomendable mantenerse al tanto de futuras guías o decisiones regulatorias que aclaren cómo se aplicará la ley a estas tecnologías de rastreo.
¿Cómo puede ayudarte Didomi a cumplir con la nueva ley?
Si tu empresa recopila y trata datos personales de residentes chilenos, hay varios aspectos clave que debes considerar:
- Si recolectas datos sensibles como información sobre salud, género u orientación sexual, necesitarás obtener el consentimiento del titular, salvo que exista una excepción.
- Debes contar con un aviso de privacidad accesible y disponible para los titulares o la autoridad en cualquier momento. Una política clara sobre cómo recopilas y tratas los datos personales será fundamental.
- Dado que el consentimiento es la base general para tratar datos según la nueva ley, lo más probable es que necesites una solución de gestión de consentimiento que facilite tu cumplimiento.
Nuestra Consent Management Platform (CMP) permite a organizaciones globales recopilar, almacenar y gestionar consentimientos, como parte de un conjunto completo de soluciones orientadas a preservar la privacidad: gestión de solicitudes de derechos, administración de datos first-party, monitoreo de cumplimiento y server-side tagging.
Habla con nuestro equipo para analizar tus desafíos de privacidad y descubrir cómo nuestras soluciones pueden ayudarte a cumplir con la nueva Ley de Protección de Datos Personales en Chile:
{{talk-to-an-expert}}
Preguntas frecuentes (FAQ)
¿Cuándo entra en vigor la nueva ley chilena?
Aunque la Law No. 21.719 ya fue promulgada, sus disposiciones comenzarán a aplicarse plenamente el 1 de diciembre de 2026.
¿Se aplica la ley a cookies, trackers y tecnologías similares?
La ley no menciona explícitamente cookies, SDKs ni plugins sociales. Sin embargo, por su definición amplia de datos personales, es probable que la información recolectada mediante estas tecnologías esté cubierta por la ley.
¿Necesito consentimiento para tratar datos sensibles?
Como norma general, sí. Necesitarás el consentimiento expreso del titular para recolectar o tratar datos sensibles, como origen étnico, opiniones políticas, afiliación sindical, creencias religiosas, datos de salud, biométricos o relativos a la orientación sexual o identidad de género.
¿Cuáles son los requisitos para un consentimiento válido?
Según la Law No. 21.719, el consentimiento debe ser libre, informado y específico para su finalidad.
Además, debe otorgarse antes del tratamiento y mediante una acción afirmativa e inequívoca. No son válidos los checkboxes preseleccionados, el simple desplazamiento por un sitio web o la descarga de una app.
Finalmente, los titulares deben poder retirar su consentimiento en cualquier momento.
