Ley de Protección de Datos Personales (Ley N°19.628, reformada por la Ley N°21.719)

Es la normativa chilena que regula el tratamiento de datos personales y en qué condiciones puede realizarse, con el objetivo de proteger los derechos de las personas. La reforma introducida por la Ley N°21.719 moderniza la regulación y eleva los estándares, con entrada en vigencia el 1 de diciembre de 2026.

La ley aplica a personas y organizaciones que traten datos personales en Chile, ya sea directamente o por encargo. Con la reforma, también se contemplan supuestos de aplicación cuando el tratamiento se vincula a personas que se encuentren en Chile (por ejemplo, oferta de bienes/servicios), según las reglas y alcances que resulten aplicables.

Sí. Cualquier empresa que trate datos personales (clientes, empleados, proveedores, leads, etc.) está obligada a cumplir, independiente del rubro. Basta con tener bases de datos, correos, CRM, planillas Excel o sistemas internos con información de personas naturales.

Como base, deberías contar al menos con: 1) Política de Protección de Datos Personales 2) Política de Seguridad de la Información 3) Avisos de privacidad / cláusulas de consentimiento 4) Registro de actividades de tratamiento 5) Procedimiento para ejercicio de derechos de titulares (ARCO y otros que correspondan; portabilidad desde la entrada en vigencia de la reforma) 7) Contratos o anexos con terceros que traten datos por ti

Idealmente una revisión anual foral y una revisión extraordinaria ante cambios tecnológicos, nuevos sistemas, nuevos países, incidentes, fusiones/adquisiciones.

Las organizaciones deben informar al titular sobre: 1) Quién es el responsable del tratamiento. 2) Con qué finalidad se recogerán y usarán los datos. 3) Si los datos serán compartidos con terceros y para qué. 4) El período de conservación de esos datos. 5) Además, deben implementar medidas de seguridad para proteger la confidencialidad e integridad de la información.

Las empresas o entidades que tratan datos personales deben adoptar medidas técnicas y organizativas apropiadas que garanticen la confidencialidad, integridad y disponibilidad de la información, así como la prevención de accesos no autorizados, pérdida o destrucción de datos.

Es altamente recomendable definir formalmente un responsable del tratamiento y un punto de contacto interno para coordinar el cumplimiento, gestionar solicitudes de titulares y apoyar la respuesta ante incidentes. En organizaciones medianas o grandes, suele designarse un rol tipo DPO o equivalente. No tiene que ser un cargo exclusivo, pero sí alguien claramente identificado y con autoridad para coordinar cumplimiento, gestionar solicitudes y liderar respuesta ante incidentes.

Sigues siendo responsable. Aunque uses: AWS, Azure, Google, Salesforce, CRMs o plataformas SaaS, tu empresa debe: 1) Informar al titular 2) Tener contratos de tratamiento de datos 3) Verificar estándares de seguridad 4) Evaluar transferencias internacionales

Un Assessment de Protección de Datos desde el punto de vista legal + ciberseguridad, que identifique: 1) Brechas legales 2) Brechas técnicas 3) Riesgos operacionales 4) Prioridades de implementación,

Es cualquier información que permita identificar a una persona natural, ya sea de manera directa o indirecta. Esto incluye datos como el nombre o RUT, así como información relacionada con sus características físicas, genéticas, psicológicas, económicas, culturales o sociales.

La ley protege toda información que se refiere a una persona natural identificada o identificable, como nombre, RUT, dirección, correo electrónico, número de teléfono, datos de salud, financieros, entre otros. Además, existe una categoría especial de datos sensibles (por ejemplo, salud, orientación sexual, datos biométricos) que solo puede tratarse con consentimiento explícito o en circunstancias excepcionales previstas por la ley.

Sí, pero antes de comunicar datos a terceros (incluyendo filiales o proveedores) debe existir una finalidad informada y una base habilitante para la comunicación. Si el uso o finalidad es distinta de la informada originalmente, se debe informar y, cuando corresponda, obtener consentimiento u otra habilitación aplicable. En transferencias internacionales, además, deben cumplirse los resguardos que establezca la normativa aplicable.

En general, el tratamiento de datos personales debe basarse en el consentimiento del titular u otra base habilitante prevista en la ley, según el caso. El consentimiento debe ser informado, específico y otorgado antes del tratamiento. En ciertos casos, el tratamiento puede proceder sin consentimiento, por ejemplo por cumplimiento de obligaciones legales u otras hipótesis habilitantes contempladas por la normativa.

Las personas tienen derechos como: 1) Acceso a la información que se tiene de ellos. 2) Rectificación si los datos son incorrectos. 3) Bloqueo o eliminación cuando el tratamiento es indebido o ya no es necesario. 4) Oposición al tratamiento por motivos legítimos. 5) La reforma reconoce, entre otros, el derecho a la portabilidad (a partir de su entrada en vigencia), es decir, a recibir sus datos en un formato reutilizable y transferible a otro responsable.

Incluye todo el ciclo de vida del dato: Recolectar, almacenar, usar, compartir, analizar y/o eliminar. No importa si es manual o automatizado. Si tu empresa toca datos de personas, está tratando datos.

La normativa distingue categorías de infracciones según su gravedad e impacto: 1) Las faltas leves, que corresponden a errores menores en el manejo de la información que no generan un daño significativo. 2) Las faltas graves, que implican riesgos relevantes para la seguridad, confidencialidad o integridad de los datos. 3) Las faltas gravísimas, que se producen cuando los datos se usan de forma indebida o con fines perjudiciales para las personas afectadas.

El incumplimiento puede generar responsabilidades y sanciones conforme a la normativa aplicable, incluyendo acciones civiles y otros mecanismos que contempla la legislación.

Más allá de multas económicas, el riesgo incluye: Demandas civiles. Daño reputacional. Pérdida de contratos enterprise. Exclusión de licitaciones. Observaciones en due diligence. Bloqueo de operaciones con partners internacionales.

Como buena práctica, ante incidentes o brechas de seguridad se debe registrar el evento, evaluar el impacto y adoptar medidas correctivas. La reforma refuerza estos deberes, con entrada en vigencia el 1 de diciembre de 2026. Esto puede implicar notificación interna y , según corresponda, comunicaciones adicionales conforme la normativa aplicable y la evaluación del riesgo.

La tendencia regulatoria exige mayor trazabilidad en la gestión de incidentes. No gestionar adecuadamente una brecha (incluida la evaluación de si corresponde notificar) puede aumentar el riesgo legal, reputacional y contractual. Ante un incidente que pueda afectar derechos de las personas, se recomienda: registrar el evento, evaluar el impacto, tomar medidas correctivas y definir si corresponde notificar, según el caso y la normativa aplicable.

Debes poder mostrar evidencia: Políticas firmadas. Registros de tratamiento. Matriz de riesgos. Controles implementados. Contratos con proveedores. Capacitaciones realizadas. Bitácoras de incidentes. Procedimientos documentados. Recuerda que compliance no es una intención: es evidencia.