Indicadores financieros 9/10/2025: Cargando indicadores financieros... UF $ Dólar observado $ Más indicadores →

Novedades de Ley de Protección y Tratamiento de Datos Personales (Ley 21.719)

Constanza Aguirre Pérez
27 de mayo de 2025por
Descargar PDF
Novedades de Ley de Protección y Tratamiento de Datos Personales (Ley 21.719)

Estimados(as):

Este 13 de diciembre del 2024 se publicó en el diario oficial la Ley 21.719 que regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales. Esta nueva ley trae consigo una necesaria actualización a la normativa nacional ya existente, que se encuentra contenida en la Ley N°19.628 del año 1999, conocida como ley de protección a la vida privada.

El objeto de esta ley es regular la forma y condiciones en que se efectúa el tratamiento y protección de datos personales, asegurando el respeto de los derechos y libertades de las personas, alineándose con los estándares internacionales.

¿Qué son los datos personales? 

El nuevo artículo 2 letra f, define el concepto de dato personal:

“Artículo 2:

f) Dato personal: cualquier información vinculada o referida a una persona natural identificada o identificable. Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Para determinar si una persona es identificable deberán considerarse todos los medios y factores objetivos que razonablemente se podrían usar para dicha identificación en el momento del tratamiento.”

De lo anterior se desprende que, para que la información pase a ser «dato personal», debemos poder unir la información con una persona determinada.

Además de la definición ya señalada, debemos tener presente las siguientes, que son esenciales para entender la nueva normativa:

Tratamiento de datos:

Es cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales.

Titular de datos o titular:

La persona natural, identificada o identificable, a quien conciernen o se refieren los datos personales.

Responsable de datos:

Es toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.

Encargado:

La persona natural o jurídica que trate datos personales, por cuenta del responsable de datos.

¿Cuándo será aplicable esta normativa?

Esta normativa será aplicable en 3 casos:

  1. Cuando el responsable o encargado del tratamiento de datos esté establecido o constituido en territorio nacional.
  2. Cuando el encargado realice operaciones de tratamiento en nombre de un responsable establecido en Chile.
  3. Aunque el responsable o encargado no estén establecidos en Chile, si sus operaciones de tratamiento de datos personales están destinadas a ofrecer bienes o servicios a titulares en Chile.

Principios:

Esta ley establece nuevos principios, los que debemos tener en consideración al momento de entender y de interpretar la norma. Los principios son los siguientes:

  • Licitud y lealtad: los datos se deben tratar de forma justa y legal.
  • Finalidad: los datos deben ser recolectados con fines específicos y el tratamiento debe realizarse en marco a esos fines. No puede usarse sin consentimiento.
  • Proporcionalidad: los datos a tratar deben limitarse a aquellos necesarios, adecuados y pertinentes para el fin y solo por el tiempo necesario.
  • Calidad: los datos deben ser exactos, completos, actuales y pertinentes.
  • Responsabilidad: quienes realicen el tratamiento de datos son responsables de que se cumplan estos principios.
  • Seguridad: el responsable debe garantizar la protección de los datos evitando filtraciones o pérdida de estos.
  • Transparencia: el responsable debe entregar al titular la información necesaria para el ejercicio de los derechos que establece la ley.
  • Confidencialidad: el responsable debe guardar secreto y confidencialidad de los datos personales.

Licitud del tratamiento de datos

Para que una empresa pueda tratar datos personales de una persona natural deberá contar con un marco legal que lo autorice, lo que puede ocurrir en los casos que indicamos a continuación.

El artículo 12, de la ley en comento, nos señala que la regla general es la siguiente: Es lícito el tratamiento cuando el titular otorgó su consentimiento de forma libre, informada, previa y específica en cuando a su finalidad. Puede otorgarse de forma oral o escrita.

Si el otorgamiento lo realiza un mandatario, este deberá estar expresamente facultado para ello.

Cabe destacar que el responsable será quien debe probar que se otorgó consentimiento de acuerdo con lo previamente indicado.

¿Cuándo el consentimiento no es libre?

La ley nos dice explícitamente en el mismo artículo 12 que «Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.»

Un ejemplo de esto es el caso de las compraventas atadas, esto es cuando te obligan a entregar información como el run o número de teléfono para hacer una compra.

Ahora bien, aunque el consentimiento es la fuente de licitud por regla general, el legislador establece otros casos en los que se podrá tratar datos personales, aunque no exista un consentimiento expreso:

  1. Cuando existan obligaciones de carácter económico, financiero, bancario o comercial en relación con los boletines comerciales y análisis y evaluación de créditos.
  2. Cuando lo disponga la ley, o sea necesario para cumplir con la ley.
  3. Cuando sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable.
  4. Cuando sea necesario para satisfacer el interés legítimo de un responsable o tercero, siempre que no se afecten los derechos y libertades del titular.
  5. Cuando sea necesario para la formulación, ejercicio o defensa de un derecho ante tribunales de justicia u órganos públicos.

¿Cuáles son los derechos del titular de los datos?

El titular de los datos, esto es, a quien conciernen, tendrá una serie de derechos, los que son personales, intransferibles e irrenunciables y consisten en los siguientes:

  • Acceso: el titular tiene derecho a solicitar y obtener del responsable confirmación respecto de si se están tratando sus datos, y acceder a ellos.
  • Rectificación: tiene derecho a solicitar y obtener la rectificación de datos personales que sean tratados y que sean inexactos, desactualizados o incompletos.
  • Supresión: tiene derecho a solicitar y obtener la eliminación de datos personales.
  • Oposición: tiene derecho a oponerse a que se realice un tratamiento de datos especifico.
  • Portabilidad: El titular de datos tiene derecho a solicitar y recibir una copia de los datos personales que le conciernen, que haya facilitado al responsable, en un formato electrónico estructurado, genérico y de uso común, que permita ser operado por distintos sistemas, y a comunicarlos o transferirlos a otro responsable de datos.
  • Bloqueo: El titular de datos podrá solicitar la suspensión temporal de cualquier operación de tratamiento de sus datos personales cuando formule una solicitud de rectificación, supresión u oposición.

¿Cómo podrá el titular de los datos ejercer estos derechos?

El titular de datos podrá presentar una solicitud responsable de datos, dirigida al correo formulario, o medio equivalente creado por éste para dicho fin. Una vez presentada la solicitud el responsable tendrá 30 días, prorrogables por una vez, para pronunciarse al respecto; en caso de negarse, la respuesta debe ser fundamentada.

En caso de descuerdo el titular tiene 30 días para reclamar a la Agencia de Datos (organismo creado por esta ley, al que nos referiremos más adelante).

¿Cuáles son las obligaciones del responsable de datos?

El responsable de datos se encuentra obligado a cumplir con una serie de obligaciones entre las cuales se encuentra:

  • Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento de datos que se realiza.
  • Asegurar que los datos vengan de fuentes con fines específicos, lícitos y explícitos, y que el tratamiento se limita a aquellos fines.
  • Comunicar o ceder información exacta, completa y actual.
  • Suprimir o anonimizar datos cuando fueron obtenidos para la ejecución de medidas precontractuales.
  • Mantener secreto o confidencialidad acerca de los datos personales. (Excepción: el titular los hizo manifiestamente públicos). Si es información pública, pero se organizó o clasificó, también hay secreto.
  • Mantener a disposición del público la política de tratamiento de datos, tipos de datos que trata, domicilio postal, correo electrónico, medidas de seguridad, derechos que asisten al titular entre otros, de recurrir a la agencia y periodo en que se traten los datos.
  • Adoptar medidas de seguridad.

¿Qué es la Agencia de datos personales?

Esta institución se crea con el objeto de velar por la efectiva protección de los derechos que garantizan la vida privada y protección de datos personales, además de fiscalizar el cumplimiento de la normativa.

Para cumplir con este objetivo, la Agencia tendrá entre sus funciones y atribuciones las de dictar instrucciones y normas generales y obligatorias, aplicar e interpretar administrativamente las disposiciones legales y reglamentos, fiscalizar el cumplimiento de las disposiciones de esta ley, determinar infracciones e incumplimientos, ejercer potestad sancionatoria (cursar multas) y resolver solicitudes y reclamos.

¿Cómo se determinarán las multas en caso de incumplimiento?

Las multas se clasificarán en tres grupos:

Leves: hasta 5.000 UTM

Graves: hasta 10.000 UTM

Gravísimas: hasta 20.000 UTM

Corresponderá a la Agencia determinar el monto de la multa, según su gravedad, perjuicio producido, beneficio económico del infractor, si se afectó datos sensibles o sobre menores, capacidad económica del infractor, el historial y si existieron atenuantes.

Sumado a ello señalarán medidas para subsanar la causal, las que deben ser adoptadas en plazo de 60 días, en caso de no cumplir con dichas medidas, la multa será aumentada en un 50%.

¿Qué es el Registro Nacional de Sanciones y Cumplimientos?

Una de las novedades que trae esta ley es el Registro Nacional de Sanciones y cumplimientos, donde se consignará a los responsables que hayan sido sancionados, indicándose la conducta, la gravedad, atenuantes (si existieran) y la sanción.

Esta anotación se mantendrá por 5 años en este registro, el cual será público, gratuito y se podrá revisar de forma electrónica.

¿Qué puedo hacer si es que no estoy de acuerdo con la resolución de la Agencia?

En caso de no estar de acuerdo con la resolución de la Agencia, se podrá impugnar dentro del plazo de 15 días desde su notificación, a través de un reclamo de Ilegalidad, el que se deberá deducir ante la Corte de Apelaciones de Santiago o la Corte que corresponda al domicilio del reclamante (a elección de este).

¿Qué se debe entender por Modelo de prevención de infracciones?

Esta normativa contempla la posibilidad, para las empresas, de tener un modelo de prevención de infracciones, el cual, si bien es voluntario, en caso de decidir tenerlo este deberá cumplir con los siguientes requisitos mínimos:

Elementos mínimos:

  • Designación de delegado. Con definición de medios y facultades.
  • Identificación del tipo de información que la entidad trata.
  • Identificar procesos y actividades que incrementen el riesgo.
  • Establecer reglas, protocolos y procedimientos específicos que permitan prevenir las infracciones.
  • Mecanismos de reporte interno sobre el cumplimiento de la ley.
  • Canal de denuncias y sanciones internas en caso de incumplimiento.

Esta regulación deberá incorporarse como parte integrante del contrato de trabajo y/o del reglamento interno a fin de que sea obligatoria para todos en la empresa.

Si el modelo cumple con todos los requisitos que establece la ley, la Agencia emitirá una certificación que lo acredite. Esta certificación se registrará en el Registro Nacional de Sanciones y Cumplimientos, por lo que los titulares de derechos podrán revisar si una empresa cumple o no con ello.

La certificación tendrá una vigencia de 3 años, existiendo la posibilidad de ser revocada por la agencia, si se incumple con la obligación de otorgar la información requerida.

¿Cuál es la vigencia de la nueva norma?

La norma entrará en vigor el desde el 1 de diciembre del 2026, dando tiempo el legislador, a todos los involucrados y a los responsables de datos, para implementar la normativa, como a las diversas instituciones involucrada para dictar el reglamento y establecer la nueva institución que en esta ley se establece.

Saludos,

 

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share This