Todo sobre la nueva regulación de protección de datos en Chile (Ley 21.719)

Todo sobre la nueva regulación de protección de datos en Chile (Ley 21.719)

Chile ha publicado un nuevo marco de protección de datos personales con la Ley 21.719. Descubre los principios clave, los requisitos, las multas y cómo Didomi te ayuda a cumplir con las normas.
Solicita una demo

Confían en nosotros miles de empresas en todo el mundo

¿Qué es la nueva Ley de Protección de Datos 21.719 de Chile?

La Ley 21.719 de Chile, aprobada en marzo de 2024, es la regulación de protección de datos moderna e integral del país. Reemplaza la obsoleta ley de 1999 y acerca a Chile a los estándares internacionales de privacidad como el RGPD y la LGPD
Esta nueva ley:
• Establece la Agencia de Protección de Datos Personales (APDP)
• Introduce requisitos más estrictos para el procesamiento de datos personales
• Otorga mayores derechos a las personas
• Crea un marco de sanciones por incumplimiento

Solicita una demo

Principios clave de la ley 21.719

Legalidad, equidad y transparencia

Las organizaciones deben tratar los datos personales basándose en una base jurídica válida, garantizando que las personas comprendan claramente cómo se recopilará, utilizará y compartirá su información. La transparencia también exige proporcionar banners de privacidad accesibles, evitar patrones engañosos e informar a las personas sobre sus derechos. El procesamiento siempre debe alinearse con las expectativas de los usuarios y el marco legal de Chile.

Limitación de propósito

Los datos solo pueden recopilarse para fines específicos, explícitos y legítimos que se comuniquen a la persona en el momento de la recolección. Cualquier uso secundario debe ser compatible con el propósito original, y las organizaciones no pueden reutilizar los datos personales para actividades no relacionadas sin una justificación adecuada o un nuevo consentimiento.

Minimización de datos

Los controladores deben asegurarse de que solo se recopilan los datos personales estrictamente necesarios para cumplir con la finalidad declarada. Esto implica evitar la recopilación excesiva de datos, limitar los campos opcionales y revisar periódicamente la necesidad de cada categoría de información. La minimización reduce los riesgos de cumplimiento y refuerza la privacidad desde el diseño.

Precisión

Las organizaciones deben tomar medidas razonables para mantener los datos personales exactos, completos y actualizados. Esto incluye verificar la información en el momento de la recopilación, permitir que los usuarios soliciten correcciones fácilmente y establecer procesos internos para evitar que se utilice información desactualizada o incorrecta en la toma de decisiones.

Limitación de almacenamiento

Los datos personales solo pueden almacenarse durante el tiempo necesario para cumplir con la finalidad legítima para la cual fueron recopilados. Una vez cumplido ese propósito, los datos deben eliminarse, anonimizarse o archivarse de forma segura. Un calendario claro de conservación ayuda a las organizaciones a respetar este principio y cumplir con las obligaciones legales.

Integridad y confidencialidad

Los controladores están obligados a implementar medidas técnicas y organizativas sólidas para proteger los datos personales contra el acceso no autorizado, la alteración, la pérdida o el uso indebido. Esto incluye cifrado, controles de acceso, políticas internas, formación del personal y planes de respuesta a incidentes que salvaguarden la confidencialidad durante todo el ciclo de vida de los datos.

Responsabilidad

Las organizaciones deben poder demostrar en cualquier momento el pleno cumplimiento de la Ley 21.719. La responsabilidad proactiva incluye documentar las actividades de procesamiento, realizar Evaluaciones de Impacto en la Protección de Datos (DPIA) para operaciones de alto riesgo, mantener registros de auditoría, diseñar programas internos de gobernanza y garantizar que tanto los equipos internos como los encargados externos cumplan con las obligaciones de privacidad.

Requisitos para elCumplimiento

Las organizaciones deben cumplir con las siguientes obligaciones:

Se debe establecer una base legal para cada actividad de tratamiento

Bajo la Ley 21.719, toda instancia de procesamiento de datos personales debe basarse en una base jurídica válida, como el consentimiento, la necesidad contractual, la obligación legal o el interés legítimo. Los responsables deben documentar la justificación para cada finalidad de procesamiento y asegurarse de que los datos no se utilicen más allá de lo permitido por la base jurídica seleccionada. Esto es fundamental para demostrar cumplimiento ante la APDP.

El consentimiento debe ser informado, explícito, específico y revocable

El consentimiento debe obtenerse mediante una acción clara y afirmativa que no esté vinculada a otros fines ni oculta tras un lenguaje ambiguo. Los usuarios deben comprender plenamente a qué están aceptando, poder negarse sin consecuencias negativas y tener la posibilidad de retirar su consentimiento en cualquier momento. Las casillas preseleccionadas y los mecanismos de consentimiento implícito no cumplen con la nueva ley.

Derechos del interesado: acceso, corrección, eliminación, portabilidad y más

Las personas tienen derecho a saber qué datos se recopilan sobre ellas, solicitar su corrección o eliminación, y recibir su información en un formato portable. También pueden oponerse a ciertos tipos de procesamiento, incluido el perfilado o la toma de decisiones automatizada que les afecte de manera significativa. Las organizaciones deben implementar procedimientos claros y fáciles de usar para responder a estas solicitudes dentro de los plazos legalmente establecidos.

DPIA para actividades de procesamiento de alto riesgo

Las Evaluaciones de Impacto en la Protección de Datos (DPIA) son obligatorias cuando una actividad probablemente presente altos riesgos para los derechos y libertades, por ejemplo, al tratar datos sensibles, realizar perfilado a gran escala o implementar nuevas tecnologías. Una DPIA identifica los riesgos, evalúa su gravedad y define estrategias de mitigación, garantizando que la privacidad esté integrada en las prácticas organizacionales.

Supervisión del procesador y contratos actualizados

Las organizaciones que recurren a encargados del tratamiento externos siguen siendo responsables de garantizar que esos proveedores cumplan con los requisitos legales. Los acuerdos de tratamiento deben especificar las medidas de seguridad, las obligaciones de confidencialidad y los deberes del encargado. Las auditorías periódicas y la documentación ayudan a mantener la responsabilidad en toda la cadena de suministro.

Gobernanza interna que incluye políticas, capacitación y un registro de actividades de procesamiento (ROPA)

Los controladores deben implementar marcos de gobernanza interna, como políticas de privacidad, programas de formación para empleados, procedimientos de respuesta a incidentes y calendarios de conservación. Mantener un ROPA actualizado es esencial, ya que demuestra cómo circulan los datos personales dentro de la organización y proporciona evidencia de cumplimiento para auditorías o investigaciones.

Multas por incumplimiento

Infracciones menores

hasta 5,000 UTM

Infracciones graves

hasta 10 000 UTM

Infracciones muy graves

hasta 20 000 UTM
Por infracciones graves o muy graves repetidas por parte de empresas medianas y grandes: 2 % o 4 % de los ingresos anuales.

UTM = «Unidad tributaria mensual», que es «un índice utilizado por el gobierno chileno para expresar los impuestos, multas y sanciones de manera que se ajuste automáticamente a la inflación».
Las sanciones adicionales incluyen:
• Suspensión de las actividades de procesamiento: 

Se aplica cuando una actividad de tratamiento en curso representa un riesgo grave o inmediato para los derechos de las personas, especialmente si carece de una base jurídica válida, implica datos sensibles o continúa a pesar de advertencias previas.

• Orden de eliminación de datos ilícitos:
Se emite cuando los datos personales fueron recopilados o tratados sin una base legal adecuada, se conservaron más tiempo del permitido o se utilizaron para fines no divulgados originalmente. Esto garantiza que los datos obtenidos de forma indebida no sigan utilizándose ni circulando.

• Amonestaciones públicas:
Se utilizan en casos que implican un impacto generalizado, fallas sistémicas de cumplimiento o falta de cooperación con la APDP. Las amonestaciones públicas buscan fomentar la responsabilidad e informar a las personas afectadas.

Checklist de cumplimiento

✓ Identificar todas las actividades de procesamiento
✓ Definir bases legales
✓ Revisar y actualizar la recopilación de consentimientos
✓ Implementar flujos de trabajo de solicitud de derechos de usuario
✓ Implementar procedimientos de seguridad y violación
✓ Actualizar los contratos de los proveedores
✓ Realizar DPIA cuando sea necesario
✓ Capacitar a los equipos sobre los requisitos de la Ley 21.719
✓ Establecer reglas de retención y eliminación
✓ Implementar un banner de consentimiento que cumpla con las normas
✓ Mantener la documentación lista para la auditoría

Solicita una demo

¿Te afecta la ley 21.719 de Chile?

Tu organización debe cumplir si:

• Tiene su sede en Chile, o
• Ofrece bienes/servicios a personas en Chile, o
• Procesa datos de residentes chilenos, incluso si opera en el extranjero.

Este alcance extraterritorial significa que muchas empresas internacionales están sujetas a la ley.

Solicita una demo

Por qué elegir Didomi para el cumplimiento en Chile

Cumple con los requisitos de la Ley 21.719 con Didomi
Gestión avanzada del consentimiento

Recopila, almacena y gestiona el consentimiento de acuerdo con las normas de consentimiento explícito de Chile.

Centros de preferencias

Ofrece a los usuarios el control sobre sus elecciones en cualquier momento.

Registros listos para la auditoría

Mantén una prueba completa del consentimiento y las actividades de procesamiento.

Cumplimiento multi-región

Gestiona el RGPD, la CCPA, la LGPD y la Ley 21.719 desde una sola plataforma.

Integraciones flexibles

SDK, API, implementaciones en el servidor y compatibles con Webflow.

Configuración de un banner de consentimiento para Chile

Cómo configurar tu banner de consentimiento para el reglamento de protección de datos personales de Chile.
Claridad

Usa un lenguaje claro y neutral

Granularidad

Proporciona opciones granulares para el análisis, el marketing y la personalización

Accesibilidad

Incluir un enlace de preferencias siempre disponible

Auditable

Almacena los registros de consentimiento con marcas de tiempo

Localización

Ofrece una versión localizada en español (Chile)

Preguntas frecuentes (FAQ)

¿Cuándo vence el plazo de entrada en vigor de la Nueva Ley de Protección de Datos Personales Chile (Ley 21.719)?
¿Cuál es la diferencia entre el GDPR y la Ley 21.719?