{"id":1209,"date":"2025-08-28T03:42:55","date_gmt":"2025-08-28T03:42:55","guid":{"rendered":"https:\/\/alayiatrust.com\/?p=1209"},"modified":"2025-09-01T03:52:43","modified_gmt":"2025-09-01T03:52:43","slug":"guia-paso-a-paso-de-extraterritorialidad-y-transferencias-internacionales-en-la-ley-21-719-chile","status":"publish","type":"post","link":"https:\/\/alayiatrust.com\/en\/guia-paso-a-paso-de-extraterritorialidad-y-transferencias-internacionales-en-la-ley-21-719-chile\/","title":{"rendered":"Gu\u00eda paso a paso de extraterritorialidad y transferencias internacionales en la Ley 21.719 (Chile)"},"content":{"rendered":"<p>Esta gu\u00eda pr\u00e1ctica explica c\u00f3mo aplicar la Ley 21.719 cuando tu organizaci\u00f3n trata datos de personas en Chile desde el extranjero o necesita transferirlos fuera del pa\u00eds. Incluye alcance territorial, mecanismos legales permitidos para la transferencia internacional de datos, excepciones, pasos operativos, checklist y preguntas frecuentes, con enlaces a fuentes oficiales y t\u00e9cnicas.<\/p>\n<h2>1) Resumen ejecutivo<\/h2>\n<p>La Ley 21.719 moderniza la protecci\u00f3n de datos en Chile, crea la Agencia de Protecci\u00f3n de Datos Personales y entra en vigencia general en 2026. Alinea principios y obligaciones con marcos como el GDPR, exige responsabilidad proactiva, transparencia y seguridad, y regula de forma espec\u00edfica las transferencias internacionales de datos personales.<\/p>\n<p>Para las empresas con operaciones, proveedores o usuarios fuera de Chile, dos temas son cr\u00edticos: el <strong>alcance extraterritorial<\/strong> (cu\u00e1ndo aplica la ley si est\u00e1s fuera de Chile) y los <strong>mecanismos v\u00e1lidos para transferir datos<\/strong> a otros pa\u00edses.<\/p>\n<h2>2) Alcance territorial y extraterritorialidad<\/h2>\n<p>La ley se aplica a responsables o encargados establecidos en Chile y tambi\u00e9n, de forma extraterritorial, a quienes estando fuera traten datos de personas que se encuentren en Chile, cuando ofrezcan bienes o servicios a esas personas o monitoricen su comportamiento en el pa\u00eds. En la pr\u00e1ctica, si diriges tu servicio a usuarios en Chile o procesas datos de chilenos en ese contexto, la ley te alcanza incluso si est\u00e1s ubicado en el extranjero.<\/p>\n<p>Consecuencia operativa: si tu sede est\u00e1 fuera de Chile pero captas clientes en Chile, deber\u00e1s mapear qu\u00e9 tratamientos se realizan respecto de personas en Chile, identificar la base legal y alinear tus contratos y pol\u00edticas a la Ley 21.719.<\/p>\n<h2>3) Transferencias internacionales: condiciones y mecanismos<\/h2>\n<p>La Ley 21.719 permite transferir datos personales fuera de Chile cuando el destino cumple condiciones que aseguren un nivel adecuado de protecci\u00f3n. Los mecanismos t\u00edpicos incluyen:<\/p>\n<ul>\n<li><strong>Pa\u00edses con nivel adecuado de protecci\u00f3n<\/strong>, reconocidos por la autoridad.<\/li>\n<li><strong>Cl\u00e1usulas contractuales<\/strong> que aseguren derechos y garant\u00edas equivalentes.<\/li>\n<li><strong>Normas corporativas vinculantes<\/strong> para grupos empresariales (BCRs).<\/li>\n<li>Otros instrumentos que en el futuro precise la Agencia o la regulaci\u00f3n.<\/li>\n<\/ul>\n<p>Recomendaci\u00f3n pr\u00e1ctica: antes de transferir, eval\u00faa el marco legal del pa\u00eds receptor, el rol del proveedor, las salvaguardas t\u00e9cnicas (cifrado, control de accesos, segregaci\u00f3n) y documenta la decisi\u00f3n.<\/p>\n<h2>4) Excepciones que habilitan la transferencia<\/h2>\n<p>Adem\u00e1s de los mecanismos anteriores, la ley prev\u00e9 supuestos que permiten transferir sin pasar por un \u201cpa\u00eds adecuado\u201d o cl\u00e1usulas tipo, por ejemplo:<\/p>\n<ul>\n<li><strong>Consentimiento expreso<\/strong> del titular, informado de los riesgos.<\/li>\n<li><strong>Ejecuci\u00f3n de un contrato<\/strong> con el titular o medidas precontractuales a su solicitud.<\/li>\n<li><strong>Inter\u00e9s p\u00fablico o cumplimiento de obligaciones<\/strong> derivadas de tratados internacionales.<\/li>\n<\/ul>\n<p>Estas excepciones no sustituyen la debida diligencia: debes evaluar proporcionalidad, necesidad y medidas de mitigaci\u00f3n, y dejar rastro documental.<\/p>\n<h2>5) Pasos operativos para cumplir cuando hay transferencias<\/h2>\n<ol>\n<li><strong>Inventario y mapa de datos.<\/strong> Identifica qu\u00e9 datos personales salen de Chile, a qu\u00e9 fines, a qu\u00e9 pa\u00edses y con qu\u00e9 proveedores.<\/li>\n<li><strong>Base legal y minimizaci\u00f3n.<\/strong> Verifica que el tratamiento tenga base de licitud y que solo transfieras lo necesario.<\/li>\n<li><strong>Eval\u00faa el destino.<\/strong> Revisa el marco normativo del pa\u00eds receptor, controles de seguridad y antecedentes del proveedor.<\/li>\n<li><strong>Selecciona el mecanismo.<\/strong> Adecuaci\u00f3n, cl\u00e1usulas contractuales, BCRs u otra salvaguarda v\u00e1lida; incorpora cl\u00e1usulas de seguridad y notificaci\u00f3n de incidentes.<\/li>\n<li><strong>Transparencia.<\/strong> Actualiza la pol\u00edtica de privacidad: finalidades, base legal, terceros, pa\u00edses y derechos del titular.<\/li>\n<li><strong>Seguridad.<\/strong> Cifrado en tr\u00e1nsito y reposo, control de accesos, gesti\u00f3n de vulnerabilidades, pruebas y auditor\u00edas.<\/li>\n<li><strong>Registro y evidencia.<\/strong> Mant\u00e9n ROPA\/registro de actividades, evaluaciones y contratos; esto acredita \u201caccountability\u201d.<\/li>\n<li><strong>Protocolo de incidentes.<\/strong> Define c\u00f3mo evaluar, mitigar y notificar brechas que afecten datos transferidos.<\/li>\n<\/ol>\n<h2>6) Qu\u00e9 revisar en contratos con proveedores (encargados)<\/h2>\n<ul>\n<li><strong>Finalidad y obligaci\u00f3n de instrucci\u00f3n.<\/strong> El encargado solo tratar\u00e1 datos seg\u00fan tus instrucciones documentadas.<\/li>\n<li><strong>Medidas de seguridad.<\/strong> Est\u00e1ndares m\u00ednimos, cifrado, controles de acceso, registro y auditor\u00eda.<\/li>\n<li><strong>Subencargados.<\/strong> Condiciones para su uso y lista actualizada de subprocesadores.<\/li>\n<li><strong>Ubicaciones.<\/strong> Pa\u00edses donde se almacenan o acceden los datos.<\/li>\n<li><strong>Incidentes.<\/strong> Plazos de aviso \u201csin demoras indebidas\u201d, contenido m\u00ednimo y cooperaci\u00f3n.<\/li>\n<li><strong>Retorno o eliminaci\u00f3n.<\/strong> Al t\u00e9rmino del servicio, devoluci\u00f3n o borrado verificable.<\/li>\n<\/ul>\n<h2>7) Interacci\u00f3n con GDPR y otras normativas<\/h2>\n<p>Si ya cumples GDPR o LGPD, tendr\u00e1s terreno avanzado: principios, registros, DPIA, transparencia y seguridad son convergentes. Aun as\u00ed, revisa los matices locales de la Ley 21.719 (definiciones, derechos, sanciones y rol de la futura Agencia) y adec\u00faa textos y procedimientos a los t\u00e9rminos chilenos.<\/p>\n<h2>8) Notificaci\u00f3n de brechas cuando hay transferencias<\/h2>\n<p>Si una brecha afecta datos transferidos o ubicados en el extranjero, eval\u00faa el riesgo para titulares en Chile. Si el umbral se cumple, deber\u00e1s notificar a la autoridad y, cuando corresponda, a las personas afectadas. Prev\u00e9 coordinaci\u00f3n contractual para recibir alertas del proveedor a tiempo y poder cumplir con la obligaci\u00f3n de informar sin demoras indebidas.<\/p>\n<h2>9) Checklist r\u00e1pido (transferencia internacional)<\/h2>\n<ul>\n<li>\u00bfIdentificaste datos, finalidades, pa\u00edses y proveedores involucrados?<\/li>\n<li>\u00bfConfirmaste base legal y minimizaci\u00f3n?<\/li>\n<li>\u00bfEvaluaste el marco del pa\u00eds receptor y las salvaguardas?<\/li>\n<li>\u00bfTienes cl\u00e1usulas contractuales o BCRs en vigor cuando no hay \u201cadecuaci\u00f3n\u201d?<\/li>\n<li>\u00bfActualizaste la pol\u00edtica de privacidad y el registro de actividades?<\/li>\n<li>\u00bfAcreditas seguridad proporcional al riesgo (cifrado, accesos, auditor\u00eda)?<\/li>\n<li>\u00bfExiste un protocolo de incidentes con plazos y contenido m\u00ednimo?<\/li>\n<\/ul>\n<h2>10) Preguntas frecuentes<\/h2>\n<h3>\u00bfLa Ley 21.719 me aplica si estoy fuera de Chile?<\/h3>\n<p>S\u00ed, si ofreces bienes o servicios a personas en Chile o monitorizas su comportamiento en el pa\u00eds. En tal caso, debes cumplir respecto del tratamiento realizado sobre personas en Chile.<\/p>\n<h3>\u00bfPuedo transferir datos a cualquier pa\u00eds si tengo consentimiento?<\/h3>\n<p>El consentimiento expreso puede habilitar la transferencia, pero debes informar los riesgos y mantener medidas de seguridad y evidencia documental. Siempre eval\u00faa si existen mecanismos m\u00e1s robustos (adecuaci\u00f3n, cl\u00e1usulas, BCRs).<\/p>\n<h3>\u00bfQu\u00e9 sanciones existen por incumplir?<\/h3>\n<p>La ley prev\u00e9 un r\u00e9gimen sancionatorio m\u00e1s estricto, con multas elevadas para infracciones graves y grav\u00edsimas, adem\u00e1s de medidas correctivas y exposici\u00f3n reputacional.<\/p>\n<h3>\u00bfC\u00f3mo reflejo esto en mi pol\u00edtica de privacidad?<\/h3>\n<p>Incluye finalidades, base legal, categor\u00edas de datos, terceros, pa\u00edses o criterios para determinarlos, plazos de conservaci\u00f3n, derechos y canales de contacto. Si usas proveedores en la nube, identifica su rol y salvaguardas.<\/p>\n<h2>11) Recursos y fuentes<\/h2>\n<ul>\n<li>Texto oficial de la Ley 21.719: <a href=\"https:\/\/www.bcn.cl\/leychile\/navegar?idNorma=1209272\" target=\"_blank\" rel=\"noopener\">BCN<\/a><\/li>\n<li>An\u00e1lisis t\u00e9cnico de alcance y transferencias: <a href=\"https:\/\/bigid.com\/es\/blog\/chile-new-data-privacy-law-21-719\/\" target=\"_blank\" rel=\"noopener\">BigID<\/a><\/li>\n<li>Resumen divulgativo de excepciones de transferencia internacional: <a href=\"https:\/\/www.infoproteccion.com\/ley-21719-transparencia-transferencias-internacionales\" target=\"_blank\" rel=\"noopener\">InfoProtecci\u00f3n<\/a><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Esta gu\u00eda pr\u00e1ctica explica c\u00f3mo aplicar la Ley 21.719 cuando tu organizaci\u00f3n trata datos de personas en Chile desde el extranjero o necesita transferirlos fuera del pa\u00eds. Incluye alcance territorial, mecanismos legales permitidos para la transferencia internacional de datos, excepciones, pasos operativos, checklist y preguntas frecuentes, con enlaces a fuentes oficiales y t\u00e9cnicas. 1) Resumen [&hellip;]<\/p>","protected":false},"author":1,"featured_media":1211,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13],"tags":[],"class_list":["post-1209","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/posts\/1209","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/comments?post=1209"}],"version-history":[{"count":1,"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/posts\/1209\/revisions"}],"predecessor-version":[{"id":1210,"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/posts\/1209\/revisions\/1210"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/media\/1211"}],"wp:attachment":[{"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/media?parent=1209"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/categories?post=1209"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alayiatrust.com\/en\/wp-json\/wp\/v2\/tags?post=1209"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}