Ley 21.719: reforma de protección de datos en Chile

Todo lo que necesita saber sobre la ley chilena de protección de datos, en preguntas y respuestas. Qué cambió con la Ley 21.719, qué derechos tienen las personas y qué deben hacer las organizaciones antes del 1 de diciembre de 2026.

La Ley 19.628 sobre Protección de la Vida Privada es la norma que rige el tratamiento de datos personales en Chile. La Ley 21.719, publicada el 13 de diciembre de 2024, no es una ley nueva e independiente: es una reforma profunda que modifica y moderniza la Ley 19.628, alineándola con estándares internacionales. La mayoría de sus disposiciones entra en plena vigencia el 1 de diciembre de 2026, aunque la creación de la Agencia de Protección de Datos y otras normas ya iniciaron su marcha. Esta guía explica el texto vigente con esas modificaciones.

Contenido

1. La ley y su propósito
2. Alcance y aplicabilidad
3. Definiciones clave
4. Derechos de los titulares
5. Obligaciones de las organizaciones
6. Datos sensibles y categorías especiales
7. Transferencias internacionales y la Agencia
8. Sanciones por incumplimiento
9. Reclamos y recursos del titular
10. Delegado de datos y modelo de prevención

1. La ley y su propósito

¿Qué norma protege mis datos personales en Chile y por qué importa?

La Ley 19.628, reformada por la Ley 21.719, regula cómo cualquier persona, empresa u organismo público puede recolectar, usar, almacenar y compartir datos personales. Importa porque convierte la protección de datos en un derecho exigible con consecuencias concretas: las personas pueden controlar su información y las organizaciones que no cumplan se exponen a sanciones de una autoridad especializada.

¿Cuál es el objetivo de la ley, en simple?

Equilibrar dos cosas: permitir que las organizaciones usen datos para operar y, al mismo tiempo, proteger la vida privada y los derechos de las personas. La ley fija principios (licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia y confidencialidad) que ordenan ese equilibrio.

¿Es una ley antigua? ¿Cuándo se promulgó y por qué es relevante ahora?

La Ley 19.628 es de 1999 y por años fue considerada insuficiente para la era digital. Su relevancia actual viene de la Ley 21.719 (2024), que la reescribe casi por completo: incorpora nuevos derechos, crea una autoridad de control y endurece las obligaciones. Por eso hoy es un tema prioritario para cualquier organización.

¿Qué es la Ley 21.719 y cómo se relaciona con la 19.628? ¿La reemplaza?

No la reemplaza: la reforma. La Ley 21.719 modifica el articulado de la Ley 19.628 para modernizarla. En la práctica se habla indistintamente de «Ley 21.719» o «nueva ley de datos», pero el cuerpo legal sigue siendo la Ley 19.628 con sus modificaciones.

¿Cuándo entra en plena vigencia la ley reformada?

La regla general es el 1 de diciembre de 2026 (24 meses desde la publicación de la reforma). Algunas disposiciones, como la creación de la Agencia, operan antes. Ese plazo es la «marcha blanca» para que las organizaciones se adapten: conviene usarlo, no esperarlo.

Si su organización todavía no inicia su adecuación, el tiempo que queda hasta diciembre de 2026 es justo el necesario para hacerlo bien. Vea cómo abordamos esto en Consultoría e Implementación LPDP.

2. Alcance y aplicabilidad

¿A quién se aplica? ¿Solo a grandes empresas?

A todos: personas naturales y jurídicas, privadas y públicas, que traten datos personales, sin importar su tamaño. No quedan cubiertas las actividades puramente personales o domésticas, ni el tratamiento que hacen los medios en el ejercicio de las libertades de opinión e información. La ley sí gradúa algunas exigencias según el tamaño de la entidad, pero no exime a las pymes.

Si mi empresa es extranjera pero tengo clientes en Chile, ¿me aplica? ¿Y si solo opero online?

Sí. La ley aplica cuando el responsable está en Chile, cuando el encargado actúa por un responsable establecido en Chile, y también cuando una empresa, sin estar en el país, ofrece bienes o servicios a personas que están en Chile o monitorea su comportamiento (rastreo, perfilamiento, predicción). Operar solo online no exime: lo relevante es a quién están dirigidas las operaciones.

¿Qué tipos de datos están protegidos?

Cualquier información vinculada a una persona natural identificada o identificable: no solo su nombre y RUT, sino correo, teléfono, dirección IP, historial de compras, ubicación, identificadores y más. Si con esos datos se puede determinar quién es la persona, directa o indirectamente, están protegidos.

¿Hay datos que NO estén cubiertos?

Sí. Los datos anonimizados de forma irreversible dejan de ser datos personales. Tampoco se aplica la ley al tratamiento que una persona hace en el marco de sus actividades personales, ni a la actividad periodística y de opinión amparada en la libertad de expresión.

3. Definiciones clave

¿Qué significa «tratamiento de datos personales»?

Cualquier operación sobre datos personales, automatizada o no: recolectar, almacenar, organizar, modificar, usar, comunicar, transmitir o eliminar. Casi todo lo que una organización hace con datos cuenta como tratamiento.

¿Cuál es la diferencia entre dato «identificado» e «identificable», y qué es anonimizar o seudonimizar?

Un dato identificado señala directamente a la persona (su nombre). Un dato identificable permite llegar a ella indirectamente (un identificador que, cruzado con otros, revela quién es). Anonimizar es romper ese vínculo de forma irreversible: el dato deja de ser personal. Seudonimizar es separarlo de la información que identifica, guardada aparte con resguardos; sigue siendo dato personal porque la reidentificación es posible.

¿Qué son los datos sensibles?

Los que revelan aspectos íntimos: origen étnico o racial, afiliación política, sindical o gremial, situación socioeconómica, convicciones ideológicas o filosóficas, creencias religiosas, salud, perfil biológico, datos biométricos, y la vida sexual, orientación sexual e identidad de género. Tienen protección reforzada (sección 6).

¿Quién es el «responsable», el «titular» y el «encargado»?

El responsable es quien decide los fines y medios del tratamiento (normalmente la empresa u organismo). El titular es la persona a quien conciernen los datos: usted es titular de los suyos. El encargado (o tercero mandatario) es quien trata datos por cuenta del responsable siguiendo sus instrucciones, como un proveedor tecnológico.

4. Derechos de los titulares

¿Cuáles son mis derechos sobre mis datos?

La ley reconoce seis derechos: acceso, rectificación, supresión, oposición, portabilidad y bloqueo. Son personales, intransferibles e irrenunciables, y no pueden limitarse por contrato. Suelen abreviarse como derechos «ARCOP» más el bloqueo.

¿Qué son los derechos de acceso, rectificación y supresión?

Acceso: confirmar si tratan sus datos y obtener copia e información sobre origen, finalidad, destinatarios y plazo de conservación. Rectificación: corregir datos inexactos, desactualizados o incompletos. Supresión: eliminar sus datos cuando ya no son necesarios, retiró el consentimiento, fueron tratados ilícitamente o están caducos, salvo excepciones legales.

¿Qué es la oposición y qué pasa con las decisiones automatizadas y los perfiles?

La oposición permite pedir que no se realice un tratamiento determinado, por ejemplo cuando se basa en interés legítimo o se usa para marketing directo. Además, usted tiene derecho a no ser objeto de decisiones basadas solo en tratamiento automatizado (incluida la elaboración de perfiles) que le produzcan efectos jurídicos o le afecten de forma significativa, y a pedir intervención humana, una explicación y la revisión de esa decisión.

¿Qué son la portabilidad y el bloqueo?

Portabilidad: recibir sus datos en un formato electrónico estructurado y de uso común, y transferirlos a otro responsable, cuando el tratamiento es automatizado y se basa en su consentimiento. Bloqueo: suspender temporalmente el tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición.

¿Cómo ejerzo mis derechos y en qué plazos deben responderme?

Se ejercen ante el responsable, por escrito (correo electrónico, formulario o medio equivalente). El responsable debe acusar recibo y pronunciarse dentro de 30 días corridos, prorrogables por una sola vez hasta por otros 30. La solicitud de bloqueo temporal debe responderse en 2 días hábiles. Rectificación, supresión y oposición son siempre gratuitas; el acceso es gratuito al menos una vez por trimestre. Si le rechazan o no responden, puede reclamar ante la Agencia dentro de 30 días hábiles.

5. Obligaciones de las organizaciones

¿Qué debe hacer una organización que trata datos?

Tratar datos solo con una base de licitud (consentimiento u otra causa legal), para fines específicos y explícitos, de forma proporcional, manteniéndolos exactos y solo por el tiempo necesario. Debe poder acreditar la licitud de lo que hace: la carga de la prueba es de la organización, no de la persona.

¿Cuáles son las bases de licitud? ¿Siempre necesito consentimiento?

El consentimiento es la regla general y debe ser libre, informado, específico, previo e inequívoco, y revocable en cualquier momento. Pero no es la única base: también es lícito tratar datos, sin consentimiento, cuando es necesario para ejecutar un contrato, cumplir una obligación legal, satisfacer un interés legítimo que no afecte los derechos del titular, ejercer derechos ante tribunales, o tratar datos de obligaciones económicas según el Título III.

¿Qué información debo publicar y mantener disponible?

El deber de transparencia exige mantener accesible, por ejemplo en el sitio web, una política de tratamiento de datos que indique: identidad del responsable, datos de contacto para ejercer derechos, categorías de datos y finalidades, base de legitimidad, destinatarios, plazos de conservación, medidas de seguridad, transferencias internacionales y la existencia de decisiones automatizadas.

¿Qué medidas de seguridad y qué es «protección desde el diseño»?

Debe adoptar medidas técnicas y organizativas adecuadas al riesgo (por ejemplo seudonimización, cifrado, control de acceso, respaldo y evaluación periódica). «Protección desde el diseño y por defecto» significa incorporar la privacidad desde antes de iniciar el tratamiento y tratar solo los datos estrictamente necesarios para cada finalidad.

¿Qué hago ante una vulneración de seguridad (brecha)?

Debe reportar a la Agencia, por los medios más expeditos y sin dilaciones indebidas, las vulneraciones que afecten datos personales cuando exista un riesgo razonable para los derechos de las personas, y registrar el incidente. Cuando la brecha involucra datos sensibles, datos de niños y niñas menores de 14 años o datos financieros, debe además comunicar a los titulares afectados en lenguaje claro.

La ley chilena exige reportar la brecha «sin dilaciones indebidas», no fija un plazo rígido de 72 horas como el GDPR europeo. No conviene confundir ambos marcos: el plazo de 72 horas pertenece a otra obligación, la de la Ley Marco de Ciberseguridad (Ley 21.663) hacia la ANCI. Vea cómo articulamos ambos en Ciberseguridad.

¿Qué es el RAT y qué es la EIPD? ¿Cuándo es obligatoria una EIPD?

El registro de actividades de tratamiento (RAT) documenta qué datos trata, con qué fin, base legal, destinatarios y plazos: es la herramienta para acreditar cumplimiento. La evaluación de impacto (EIPD) es obligatoria, antes de iniciar el tratamiento, cuando es probable un alto riesgo, y siempre en casos como: elaboración de perfiles con efectos jurídicos significativos, tratamiento masivo o a gran escala, monitoreo sistemático de zonas de acceso público, y tratamiento de datos sensibles bajo las excepciones del consentimiento.

¿Y si trabajo con proveedores que tratan datos por mí (encargados)?

Necesita un contrato escrito que fije el objeto, la duración, la finalidad, los tipos de datos y las obligaciones de las partes. El encargado solo puede tratar los datos según sus instrucciones; si los usa para otro fin o los cede sin autorización, pasa a ser responsable y responde personal y solidariamente. La subcontratación requiere su autorización expresa.

6. Datos sensibles y categorías especiales

¿Qué hace «sensibles» a ciertos datos y cómo se tratan?

Su uso indebido puede causar discriminación o un daño grave a la persona. Por eso, como regla, solo pueden tratarse con consentimiento expreso. La ley contempla excepciones acotadas (datos hechos públicos por el titular, salvaguarda de la vida o salud, ejercicio de derechos ante tribunales, ciertos fines laborales o de seguridad social, o cuando una ley lo autoriza).

¿Qué pasa con los datos de salud, el perfil biológico y los biométricos?

Los datos de salud y de perfil biológico (genéticos, proteómicos, metabólicos) solo se tratan para los fines de las leyes sanitarias y bajo causales específicas. Los datos biométricos (huella, iris, rostro, voz) exigen consentimiento e información previa sobre el sistema usado, la finalidad, el período de uso y cómo ejercer derechos.

¿Cómo se protegen los datos de niños, niñas y adolescentes?

Su tratamiento debe atender al interés superior del menor. La ley considera niños y niñas a los menores de 14 años y adolescentes a quienes tienen entre 14 y 17. Para tratar datos de niños y niñas se requiere el consentimiento de los padres o representantes. Los datos sensibles de adolescentes menores de 16 años también requieren consentimiento de padres o representantes.

¿Y los datos de geolocalización?

Se rigen por las mismas bases de licitud que el resto (Arts. 12 y 13), pero el titular debe ser informado con claridad del tipo de datos de ubicación tratados, la finalidad, la duración y si se comunicarán a terceros.

7. Transferencias internacionales y la Agencia

¿Puedo enviar datos al extranjero, por ejemplo a la nube o a la casa matriz?

Sí, cumpliendo condiciones. Es lícito transferir a países con nivel adecuado de protección (que determina la Agencia), o usando garantías como cláusulas contractuales tipo, normas corporativas vinculantes o modelos de certificación. Sin esas vías, hay casos específicos que la permiten (consentimiento expreso para una transferencia determinada, ejecución de un contrato, transferencias bancarias reguladas, cooperación judicial, urgencias médicas, entre otros). El responsable debe poder acreditar que la transferencia cumple la ley.

¿Qué es la Agencia de Protección de Datos Personales y qué hace?

Es la nueva autoridad de control: una corporación autónoma de derecho público, de carácter técnico, que se relaciona con el Presidente a través del Ministerio de Economía. Dicta normas e instrucciones, fiscaliza, interpreta la ley, resuelve reclamos de los titulares, aplica sanciones, certifica modelos de prevención y administra el Registro Nacional de Sanciones y Cumplimiento. No debe confundirse con el Consejo para la Transparencia, con el que solo coordina en ciertas materias.

8. Sanciones por incumplimiento

¿Qué pasa si una organización no cumple?

La Agencia puede sancionar. Las infracciones se clasifican en leves, graves y gravísimas:

• Leves: amonestación escrita o multa de hasta 5.000 UTM.
• Graves: multa de hasta 10.000 UTM.
• Gravísimas: multa de hasta 20.000 UTM.

En caso de reincidencia, la multa puede triplicarse. Para empresas que no califican como de menor tamaño, la sanción por infracciones graves o gravísimas reiteradas puede alcanzar, alternativamente, hasta el 2% o el 4% de los ingresos anuales por ventas y servicios del último año, respectivamente. Existen además sanciones accesorias, como la suspensión de operaciones de tratamiento, y un registro público de sanciones.

9. Reclamos y recursos del titular

¿Cómo reclamo si vulneran mis derechos?

Primero ejerce su derecho ante el responsable. Si lo rechaza o no responde en plazo, puede presentar un reclamo ante la Agencia (procedimiento administrativo de tutela). De la resolución de la Agencia puede recurrirse ante los tribunales mediante un procedimiento de reclamación judicial.

¿Tengo derecho a indemnización?

Sí. El responsable debe indemnizar el daño patrimonial y extrapatrimonial causado por el tratamiento indebido de datos, con independencia de las sanciones administrativas que aplique la Agencia.

10. Delegado de datos y modelo de prevención

¿Qué es un delegado de protección de datos (DPO) y necesito uno?

Es la persona que supervisa el cumplimiento, asesora a la organización, atiende a los titulares y actúa como punto de contacto con la Agencia. Debe designarlo la máxima autoridad y contar con autonomía. La ley no lo exige a toda organización, pero es un elemento obligatorio del modelo de prevención y, en la práctica, la pieza que mantiene el programa vivo. En micro, pequeñas y medianas empresas, el dueño o la máxima autoridad puede asumir esa función.

Si evalúa externalizar este rol, vea nuestra Guía del DPO y el servicio DPO & Data Officer.

¿Qué es un modelo de prevención de infracciones y para qué sirve?

Es un programa de cumplimiento que las organizaciones pueden adoptar de forma voluntaria. Incluye, entre otros elementos, la designación de un delegado, la identificación de datos y riesgos, protocolos para prevenir infracciones, mecanismos de reporte interno y a la Agencia, y sanciones internas. La Agencia certifica estos modelos (con vigencia de tres años) e inscribe a las entidades certificadas en el Registro Nacional de Sanciones y Cumplimiento. Tener un modelo certificado ayuda a demostrar diligencia y a gestionar el riesgo.

De la norma a la operación

Una hora, su contexto, una hoja de ruta. Diagnostique dónde está su organización frente a la Ley 21.719 y qué pasos siguen. Agendar diagnóstico.