← Volver al blog Ley 21.719

Guía paso a paso de extraterritorialidad y transferencias internacionales en la Ley 21.719 (Chile).

Si tu empresa tiene operaciones, proveedores o usuarios fuera de Chile, dos temas son críticos: cuándo te alcanza la ley estando fuera del país y qué mecanismos son válidos para transferir datos al extranjero.

Publicado 13 dic 2024 · Actualizado may 2026 · 9 min de lectura
Extraterritorialidad y transferencias internacionales de datos — Ley 21.719

Lo esencial en 30 segundos

  • La Ley 21.719 tiene alcance extraterritorial: te alcanza aunque estés fuera de Chile si ofreces bienes o servicios a personas en Chile o monitorizas su comportamiento en el país.
  • Para transferir datos al extranjero necesitas un mecanismo válido: país con nivel adecuado, cláusulas contractuales o normas corporativas vinculantes (BCRs).
  • Existen excepciones (consentimiento expreso, ejecución de contrato, interés público), pero no sustituyen la debida diligencia ni la evidencia documental.
  • La regla de oro: inventaría flujos → evalúa el destino → elige el mecanismo → documenta y asegura.
  • El cumplimiento es obligatorio desde el 1 de diciembre de 2026; las infracciones pueden llegar a 20.000 UTM (60.000 con reincidencia).

Si tu empresa tiene operaciones, proveedores o usuarios fuera de Chile, hay dos preguntas que no puedes dejar sin respuesta: ¿la Ley 21.719 te alcanza estando fuera del país? y ¿qué mecanismos son válidos para mover datos al extranjero sin incumplir? En este artículo respondemos ambas de forma práctica, con los pasos operativos y un checklist listo para usar. Para el panorama general de la normativa, revisa nuestra guía definitiva de la Ley 21.719.

1) Resumen ejecutivo

La Ley 21.719 moderniza la protección de datos en Chile, crea la Agencia de Protección de Datos Personales y su cumplimiento es obligatorio desde el 1 de diciembre de 2026 (fue publicada el 13 de diciembre de 2024, con un período de adecuación de 24 meses). Alinea principios y obligaciones con marcos como el GDPR, exige responsabilidad proactiva, transparencia y seguridad, y regula de forma específica las transferencias internacionales de datos personales.

Para las empresas con operaciones, proveedores o usuarios fuera de Chile, dos temas son críticos: el alcance extraterritorial (cuándo aplica la ley si estás fuera de Chile) y los mecanismos válidos para transferir datos a otros países. Si vienes del mundo europeo, te ayudará revisar las diferencias entre la Ley 21.719 y el GDPR.

2) Alcance territorial y extraterritorialidad

La ley se aplica a responsables o encargados establecidos en Chile y también, de forma extraterritorial, a quienes estando fuera traten datos de personas que se encuentren en Chile, cuando ofrezcan bienes o servicios a esas personas o monitoricen su comportamiento en el país. En la práctica, si diriges tu servicio a usuarios en Chile o procesas datos de chilenos en ese contexto, la ley te alcanza incluso si estás ubicado en el extranjero.

Consecuencia operativa: si tu sede está fuera de Chile pero captas clientes en Chile, deberás mapear qué tratamientos se realizan respecto de personas en Chile, identificar la base legal y alinear tus contratos y políticas a la Ley 21.719.

3) Transferencias internacionales: condiciones y mecanismos

La Ley 21.719 permite transferir datos personales fuera de Chile cuando el destino cumple condiciones que aseguren un nivel adecuado de protección. Los mecanismos típicos incluyen:

  • Países con nivel adecuado de protección, reconocidos por la autoridad.
  • Cláusulas contractuales que aseguren derechos y garantías equivalentes.
  • Normas corporativas vinculantes para grupos empresariales (BCRs).
  • Otros instrumentos que en el futuro precise la Agencia o la regulación.

Recomendación práctica: antes de transferir, evalúa el marco legal del país receptor, el rol del proveedor, las salvaguardas técnicas (cifrado, control de accesos, segregación) y documenta la decisión.

El listado de países con nivel adecuado de protección y los modelos de cláusulas serán precisados por la Agencia de Protección de Datos Personales mediante regulación posterior. Mientras tanto, prioriza mecanismos contractuales sólidos y mantén la flexibilidad para incorporar los instrumentos que la autoridad defina.

4) Excepciones que habilitan la transferencia

Además de los mecanismos anteriores, la ley prevé supuestos que permiten transferir sin pasar por un "país adecuado" o cláusulas tipo, por ejemplo:

  • Consentimiento expreso del titular, informado de los riesgos.
  • Ejecución de un contrato con el titular o medidas precontractuales a su solicitud.
  • Interés público o cumplimiento de obligaciones derivadas de tratados internacionales.

Estas excepciones no sustituyen la debida diligencia: debes evaluar proporcionalidad, necesidad y medidas de mitigación, y dejar rastro documental.

5) Pasos operativos para cumplir cuando hay transferencias

  1. Inventario y mapa de datos. Identifica qué datos personales salen de Chile, a qué fines, a qué países y con qué proveedores.
  2. Base legal y minimización. Verifica que el tratamiento tenga base de licitud y que solo transfieras lo necesario.
  3. Evalúa el destino. Revisa el marco normativo del país receptor, controles de seguridad y antecedentes del proveedor.
  4. Selecciona el mecanismo. Adecuación, cláusulas contractuales, BCRs u otra salvaguarda válida; incorpora cláusulas de seguridad y notificación de incidentes.
  5. Transparencia. Actualiza la política de privacidad: finalidades, base legal, terceros, países y derechos del titular.
  6. Seguridad. Cifrado en tránsito y reposo, control de accesos, gestión de vulnerabilidades, pruebas y auditorías.
  7. Registro y evidencia. Mantén ROPA/registro de actividades, evaluaciones y contratos; esto acredita "accountability".
  8. Protocolo de incidentes. Define cómo evaluar, mitigar y notificar brechas que afecten datos transferidos.

6) Qué revisar en contratos con proveedores (encargados)

  • Finalidad y obligación de instrucción. El encargado solo tratará datos según tus instrucciones documentadas.
  • Medidas de seguridad. Estándares mínimos, cifrado, controles de acceso, registro y auditoría.
  • Subencargados. Condiciones para su uso y lista actualizada de subprocesadores.
  • Ubicaciones. Países donde se almacenan o acceden los datos.
  • Incidentes. Plazos de aviso "sin demoras indebidas", contenido mínimo y cooperación.
  • Retorno o eliminación. Al término del servicio, devolución o borrado verificable.

7) Interacción con el GDPR y otras normativas

Si ya cumples GDPR o LGPD, tendrás terreno avanzado: principios, registros, DPIA, transparencia y seguridad son convergentes. Aun así, revisa los matices locales de la Ley 21.719 (definiciones, derechos, sanciones y rol de la Agencia) y adecúa textos y procedimientos a los términos chilenos. Analizamos punto por punto las diferencias en Ley 21.719 vs. GDPR.

8) Notificación de brechas cuando hay transferencias

Si una brecha afecta datos transferidos o ubicados en el extranjero, evalúa el riesgo para titulares en Chile. Si el umbral se cumple, deberás notificar a la autoridad y, cuando corresponda, a las personas afectadas. Prevé coordinación contractual para recibir alertas del proveedor a tiempo y poder cumplir con la obligación de informar sin demoras indebidas.

9) Checklist rápido (transferencia internacional)

  • ¿Identificaste datos, finalidades, países y proveedores involucrados?
  • ¿Confirmaste base legal y minimización?
  • ¿Evaluaste el marco del país receptor y las salvaguardas?
  • ¿Tienes cláusulas contractuales o BCRs en vigor cuando no hay "adecuación"?
  • ¿Actualizaste la política de privacidad y el registro de actividades?
  • ¿Acreditas seguridad proporcional al riesgo (cifrado, accesos, auditoría)?
  • ¿Existe un protocolo de incidentes con plazos y contenido mínimo?

¿Transfieres datos fuera de Chile?

Te ayudamos a mapear flujos internacionales, elegir el mecanismo correcto y dejar la evidencia lista. Diagnóstico de 30 minutos.

Agendar diagnóstico

Preguntas frecuentes

¿La Ley 21.719 me aplica si estoy fuera de Chile?

Sí, si ofreces bienes o servicios a personas que se encuentren en Chile o monitorizas su comportamiento en el país. En tal caso, debes cumplir respecto del tratamiento realizado sobre personas en Chile, incluso si tu sede está en el extranjero.

¿Puedo transferir datos a cualquier país si tengo consentimiento?

El consentimiento expreso puede habilitar la transferencia, pero debes informar los riesgos al titular y mantener medidas de seguridad y evidencia documental. Siempre conviene evaluar si existen mecanismos más robustos, como países con nivel adecuado de protección, cláusulas contractuales o normas corporativas vinculantes (BCRs).

¿Qué sanciones existen por incumplir la Ley 21.719?

Las infracciones se clasifican en leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM). En caso de reincidencia la multa puede triplicarse —hasta 60.000 UTM— o aplicarse un porcentaje de los ingresos anuales por ventas y servicios en Chile (2% en reincidencia grave y 4% en gravísima) para empresas que no son de menor tamaño, además de medidas correctivas y exposición reputacional. Detallamos el régimen completo en Multas y sanciones de la Ley 21.719.

¿Cómo reflejo las transferencias internacionales en mi política de privacidad?

Incluye finalidades, base legal, categorías de datos, terceros, países o criterios para determinarlos, plazos de conservación, derechos y canales de contacto. Si usas proveedores en la nube, identifica su rol y las salvaguardas aplicadas a la transferencia.

Escrito por

El equipo de AlayIAtrust

Equipo de abogados y consultores especializados en protección de datos personales y cumplimiento de la Ley 21.719 en Chile.

También te puede interesar

Ley 21.719

Diferencias entre la Ley 21.719 y el GDPR: guía para empresas internacionales

 Ley 21.719

Ley 21.719: guía definitiva para cumplir y evitar multas millonarias

 Sanciones

Multas y sanciones de la Ley 21.719: lo que debes saber para evitarlas
Próximo paso

¿Tu empresa está lista
para diciembre 2026?

Diagnóstico de 30 minutos sin compromiso.

Solicitar diagnóstico