Lo esencial en 30 segundos
- La Ley 21.719 se inspira fuertemente en el GDPR, pero no son idénticas.
- Comparten principios, derechos del titular, responsabilidad proactiva, evaluaciones de impacto y notificación de brechas.
- Las diferencias clave están en el alcance territorial, la autoridad fiscalizadora y el régimen de multas.
- Multas: el GDPR llega a 20 M€ o 4% de la facturación global; la Ley 21.719 a 20.000 UTM (hasta 60.000 por reincidencia) o un porcentaje de los ingresos en Chile.
- Cumplir el GDPR es una gran ventaja, pero la ley chilena exige adaptaciones específicas antes del 1 de diciembre de 2026.
En la era digital, donde los datos fluyen sin fronteras, la protección de la información personal se ha convertido en una preocupación global y una prioridad legislativa. Empresas que operan a nivel internacional se enfrentan al desafío de cumplir con diversas normativas de privacidad, cada una con sus particularidades. En este contexto, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea ha establecido un estándar de oro, influyendo en legislaciones alrededor del mundo. Chile, con la promulgación de su Ley 21.719, ha dado un paso significativo para modernizar su marco de protección de datos, alineándose estrechamente con los principios del GDPR.
Para las empresas con presencia o intereses en Chile y Europa, comprender las similitudes y, crucialmente, las diferencias entre la Ley 21.719 y el GDPR es fundamental. No se trata solo de evitar multas, sino de construir confianza con los clientes y operar de manera ética en un mercado global. En este artículo desglosamos ambas normativas, ofrecemos una tabla comparativa clara y proporcionamos una guía esencial para que las empresas internacionales puedan adaptarse eficazmente a las exigencias chilenas. Para el panorama completo de la normativa chilena, revisa nuestra guía definitiva de la Ley 21.719.
Una visión general: Ley 21.719 y GDPR
Antes de sumergirnos en las comparaciones, es esencial comprender la esencia de cada normativa.
El GDPR: el estándar global de privacidad
El Reglamento General de Protección de Datos (Reglamento UE 2016/679) entró en vigor en mayo de 2018 y es la ley de privacidad y seguridad de datos más estricta del mundo. Aunque es una ley de la Unión Europea, su alcance es extraterritorial, lo que significa que afecta a cualquier organización que procese datos personales de ciudadanos de la UE, independientemente de dónde se encuentre. Sus principios fundamentales incluyen:
- Licitud, lealtad y transparencia: los datos deben procesarse de manera legal, justa y transparente.
- Limitación de la finalidad: los datos deben recopilarse para fines específicos, explícitos y legítimos.
- Minimización de datos: solo se deben recopilar los datos estrictamente necesarios.
- Exactitud: los datos deben ser precisos y mantenerse actualizados.
- Limitación del plazo de conservación: los datos deben conservarse solo durante el tiempo necesario.
- Integridad y confidencialidad: los datos deben procesarse garantizando una seguridad adecuada.
- Responsabilidad proactiva (accountability): las organizaciones son responsables de demostrar el cumplimiento.
El GDPR otorga a los individuos una serie de derechos robustos, incluyendo el derecho de acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad de datos y oposición. Además, impone obligaciones estrictas a los controladores y procesadores de datos, como la necesidad de obtener consentimiento explícito, realizar evaluaciones de impacto (DPIA) y notificar las brechas de seguridad.
La Ley 21.719: la respuesta de Chile a la privacidad moderna
La Ley 21.719, publicada el 13 de diciembre de 2024, es la nueva normativa chilena que regula la protección y el tratamiento de los datos personales. Esta ley actualiza la antigua Ley N° 19.628 y busca alinear a Chile con los estándares internacionales, incluyendo principios y derechos similares a los del GDPR. Sus objetivos principales son fortalecer los derechos de los titulares de los datos y establecer un marco legal robusto para su manejo por parte de cualquier entidad que trate datos personales en el territorio nacional.
Los principios rectores de la Ley 21.719 son muy similares a los del GDPR, incluyendo la licitud, finalidad, proporcionalidad, calidad, seguridad y responsabilidad proactiva. La ley también amplía y fortalece los derechos de los titulares, reconociendo los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y el derecho a la portabilidad. Un cambio fundamental es la creación de una Agencia de Protección de Datos Personales como entidad fiscalizadora, con facultades para supervisar el cumplimiento y aplicar sanciones.
Similitudes clave
- Principios fundamentales: ambas comparten licitud, lealtad, transparencia, limitación de la finalidad, minimización, exactitud, conservación limitada, integridad, confidencialidad y responsabilidad proactiva.
- Derechos de los titulares: ambas otorgan derechos robustos sobre los datos personales, incluyendo acceso, rectificación, supresión, oposición y portabilidad.
- Consentimiento explícito: en general, ambas exigen un consentimiento libre, específico, informado e inequívoco, especialmente para datos sensibles.
- Evaluaciones de impacto: ambas requieren evaluaciones para tratamientos de alto riesgo (DPIA en GDPR, EIPD en Ley 21.719).
- Notificación de brechas: la obligación de notificar a la autoridad de control y, en ciertos casos, a los titulares es común a ambas.
- Figura del DPO / encargado: ambas prevén un responsable de la protección de datos, con diferencias en obligatoriedad y denominación.
- Transferencias internacionales: ambas regulan las transferencias a países sin nivel adecuado de protección, exigiendo garantías.
Diferencias clave
Si bien las similitudes son notables, las diferencias pueden tener un impacto significativo en la estrategia de cumplimiento de una empresa internacional:
- Alcance territorial: el GDPR tiene un alcance extraterritorial más explícito y amplio. La Ley 21.719 se aplica a tratamientos realizados en Chile, aunque también puede tener implicaciones para empresas extranjeras que traten datos de personas en Chile o que ofrezcan bienes y servicios en el país.
- Autoridad de control: el GDPR cuenta con el Comité Europeo de Protección de Datos (EDPB) y autoridades en cada Estado miembro. La Ley 21.719 crea una nueva Agencia de Protección de Datos Personales como única autoridad fiscalizadora nacional.
- Monto y base de cálculo de las multas: las del GDPR pueden alcanzar hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor. La Ley 21.719 sanciona las infracciones gravísimas con hasta 20.000 UTM, ampliables hasta 60.000 UTM solo por reincidencia; el porcentaje del 2% o 4% se calcula únicamente sobre los ingresos por ventas y servicios en Chile y solo para la reincidencia de empresas que no son de menor tamaño. Profundizamos en Multas y sanciones de la Ley 21.719.
- Base legal: aunque ambas reconocen varias bases, la interpretación de cada una puede variar. El GDPR es más estricto en la definición de interés legítimo.
- Datos sensibles: ambas definen categorías especiales, pero las listas específicas tienen ligeras variaciones.
- Plazos de implementación: el GDPR rige desde 2018. La Ley 21.719 fue publicada el 13 de diciembre de 2024 y su cumplimiento es obligatorio desde el 1 de diciembre de 2026.
Cuidado con la comparación de multas. Es un error frecuente equiparar el 4% del GDPR (sobre la facturación global) con la Ley 21.719. En Chile, el porcentaje del 2% o 4% se aplica solo en caso de reincidencia, únicamente a empresas que no son de menor tamaño y sobre los ingresos por ventas y servicios en Chile, no sobre la facturación mundial. Para la mayoría de las empresas, el tope sigue siendo el monto en UTM de la categoría correspondiente.
Tabla comparativa: Ley 21.719 vs. GDPR
| Característica | Ley 21.719 (Chile) | GDPR (Unión Europea) |
|---|---|---|
| Publicación / vigencia | Publicada dic. 2024 · vigencia gradual (dic. 2024 y dic. 2026) | En vigor desde mayo 2018 |
| Alcance territorial | Tratamientos en Chile; puede aplicar a empresas extranjeras que traten datos de chilenos | Extraterritorial: cualquier empresa que trate datos de ciudadanos de la UE |
| Autoridad de control | Agencia de Protección de Datos Personales (nueva) | Autoridades de cada Estado miembro y EDPB |
| Multa máxima | Hasta 20.000 UTM (gravísimas); hasta 60.000 UTM solo por reincidencia, o 2%/4% de los ingresos por ventas y servicios en Chile (reincidencia de grandes empresas) | Hasta 20 M€ o 4% de la facturación anual global, lo que sea mayor |
| Derechos del titular | Acceso, Rectificación, Cancelación, Oposición (ARCO), Portabilidad | Acceso, Rectificación, Supresión, Limitación, Portabilidad, Oposición |
| Evaluación de impacto | EIPD | DPIA |
| Notificación de brechas | Obligatoria a la Agencia y, en ciertos casos, a los titulares | Obligatoria a la autoridad (72 h) y, en ciertos casos, a los titulares |
| Transferencias internacionales | Requiere garantías adecuadas (cláusulas tipo, normas corporativas) | Garantías adecuadas + decisiones de adecuación |
Adaptaciones para empresas internacionales con presencia en Chile
Para las empresas que ya cumplen con el GDPR, la adaptación a la Ley 21.719 será un proceso más fluido, pero no exento de desafíos. Algunas consideraciones clave:
- Mapeo de datos y evaluación de brechas: identifica dónde se almacenan los datos que procesas en Chile y compara tus prácticas con la Ley 21.719.
- Revisión de bases legales: asegúrate de tener una base legal válida para cada actividad de tratamiento y de poder demostrarlo.
- Actualización de políticas y avisos: refleja los requisitos específicos de la ley, incluyendo la nueva Agencia y los derechos ampliados de los titulares chilenos.
- Gestión de consentimientos: revisa tus mecanismos para asegurar que cumplen con los estándares de la ley, especialmente para datos sensibles y transferencias.
- Procesos para derechos: adapta tus procesos internos para atender solicitudes ARCO y de portabilidad dentro de los plazos.
- Medidas de seguridad: asegura medidas técnicas y organizativas adecuadas, incluyendo gestión de incidentes y notificación de brechas.
- Contratos con terceros: actualiza los contratos con proveedores que procesen datos en tu nombre.
- Formación y concienciación: capacita a tu personal en Chile sobre los requisitos de la ley.
- Rol del DPO: evalúa la necesidad de designar un encargado de protección de datos en Chile.
- Monitoreo continuo: establece auditorías para mantener tus prácticas actualizadas y conformes.
Las transferencias de datos entre Chile y la Unión Europea merecen atención especial: revisa nuestro análisis sobre extraterritorialidad y transferencias internacionales bajo la Ley 21.719.
Conclusión: un paso adelante en la protección de datos global
La Ley 21.719 de Chile y el GDPR europeo representan dos pilares fundamentales en el panorama global de la protección de datos. Si bien el GDPR ha sentado las bases e influido en gran medida en la legislación chilena, la Ley 21.719 establece un marco robusto y adaptado a la realidad del país, con sus propias particularidades.
Para las empresas internacionales, comprender estas diferencias y similitudes no es solo una cuestión de cumplimiento legal, sino una oportunidad para fortalecer la confianza con sus clientes, operar de manera más ética y consolidar su reputación en un mercado cada vez más consciente de la privacidad. Si quieres alinear tu programa de privacidad con ambos marcos, conversemos en un diagnóstico.
¿Operas en Chile y en Europa?
Te ayudamos a alinear tu programa GDPR con la Ley 21.719. Diagnóstico de 30 minutos.
Agendar diagnósticoPreguntas frecuentes sobre la Ley 21.719 y el GDPR
¿La Ley 21.719 es igual al GDPR?
No son idénticas, aunque la Ley 21.719 se inspira fuertemente en el GDPR. Comparten principios, derechos del titular, responsabilidad proactiva, evaluaciones de impacto y notificación de brechas. Las diferencias principales están en el alcance territorial, el diseño de la autoridad fiscalizadora y el régimen y la base de cálculo de las multas.
Si ya cumplo el GDPR, ¿cumplo automáticamente la ley chilena?
No automáticamente, pero partes con gran ventaja. Cumplir el GDPR cubre buena parte de los principios y obligaciones de la Ley 21.719. Aun así, debes adaptar políticas y avisos a la nueva Agencia chilena, revisar las bases legales bajo la ley local, ajustar los procesos de derechos ARCO y verificar las garantías para transferencias desde y hacia Chile.
¿Las multas son equivalentes?
No. El GDPR llega hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor. La Ley 21.719 sanciona las infracciones gravísimas con hasta 20.000 UTM, ampliables hasta 60.000 UTM por reincidencia; el porcentaje del 2% o 4% se calcula solo sobre los ingresos por ventas y servicios en Chile y únicamente para la reincidencia de empresas que no son de menor tamaño.
¿La ley chilena aplica a empresas extranjeras?
La Ley 21.719 se aplica a los tratamientos de datos realizados en Chile y puede tener implicaciones para empresas extranjeras que traten datos de personas en Chile o que ofrezcan bienes y servicios en el país. El GDPR tiene un alcance extraterritorial más explícito, pero ambas pueden alcanzar a organizaciones fuera de su territorio.
¿Cuándo entra en vigencia la Ley 21.719?
La Ley 21.719 fue publicada el 13 de diciembre de 2024 y su cumplimiento es obligatorio desde el 1 de diciembre de 2026, tras un período de adecuación de 24 meses. El GDPR, en cambio, rige desde mayo de 2018.