Hablemos

Guía paso a paso de extraterritorialidad y transferencias internacionales en la Ley 21.719 (Chile)

Contenido

Esta guía práctica explica cómo aplicar la Ley 21.719 cuando tu organización trata datos de personas en Chile desde el extranjero o necesita transferirlos fuera del país. Incluye alcance territorial, mecanismos legales permitidos para la transferencia internacional de datos, excepciones, pasos operativos, checklist y preguntas frecuentes, con enlaces a fuentes oficiales y técnicas.

1) Resumen ejecutivo

La Ley 21.719 moderniza la protección de datos en Chile, crea la Agencia de Protección de Datos Personales y entra en vigencia general en 2026. Alinea principios y obligaciones con marcos como el GDPR, exige responsabilidad proactiva, transparencia y seguridad, y regula de forma específica las transferencias internacionales de datos personales.

Para las empresas con operaciones, proveedores o usuarios fuera de Chile, dos temas son críticos: el alcance extraterritorial (cuándo aplica la ley si estás fuera de Chile) y los mecanismos válidos para transferir datos a otros países.

2) Alcance territorial y extraterritorialidad

La ley se aplica a responsables o encargados establecidos en Chile y también, de forma extraterritorial, a quienes estando fuera traten datos de personas que se encuentren en Chile, cuando ofrezcan bienes o servicios a esas personas o monitoricen su comportamiento en el país. En la práctica, si diriges tu servicio a usuarios en Chile o procesas datos de chilenos en ese contexto, la ley te alcanza incluso si estás ubicado en el extranjero.

Consecuencia operativa: si tu sede está fuera de Chile pero captas clientes en Chile, deberás mapear qué tratamientos se realizan respecto de personas en Chile, identificar la base legal y alinear tus contratos y políticas a la Ley 21.719.

3) Transferencias internacionales: condiciones y mecanismos

La Ley 21.719 permite transferir datos personales fuera de Chile cuando el destino cumple condiciones que aseguren un nivel adecuado de protección. Los mecanismos típicos incluyen:

  • Países con nivel adecuado de protección, reconocidos por la autoridad.
  • Cláusulas contractuales que aseguren derechos y garantías equivalentes.
  • Normas corporativas vinculantes para grupos empresariales (BCRs).
  • Otros instrumentos que en el futuro precise la Agencia o la regulación.

Recomendación práctica: antes de transferir, evalúa el marco legal del país receptor, el rol del proveedor, las salvaguardas técnicas (cifrado, control de accesos, segregación) y documenta la decisión.

4) Excepciones que habilitan la transferencia

Además de los mecanismos anteriores, la ley prevé supuestos que permiten transferir sin pasar por un “país adecuado” o cláusulas tipo, por ejemplo:

  • Consentimiento expreso del titular, informado de los riesgos.
  • Ejecución de un contrato con el titular o medidas precontractuales a su solicitud.
  • Interés público o cumplimiento de obligaciones derivadas de tratados internacionales.

Estas excepciones no sustituyen la debida diligencia: debes evaluar proporcionalidad, necesidad y medidas de mitigación, y dejar rastro documental.

5) Pasos operativos para cumplir cuando hay transferencias

  1. Inventario y mapa de datos. Identifica qué datos personales salen de Chile, a qué fines, a qué países y con qué proveedores.
  2. Base legal y minimización. Verifica que el tratamiento tenga base de licitud y que solo transfieras lo necesario.
  3. Evalúa el destino. Revisa el marco normativo del país receptor, controles de seguridad y antecedentes del proveedor.
  4. Selecciona el mecanismo. Adecuación, cláusulas contractuales, BCRs u otra salvaguarda válida; incorpora cláusulas de seguridad y notificación de incidentes.
  5. Transparencia. Actualiza la política de privacidad: finalidades, base legal, terceros, países y derechos del titular.
  6. Seguridad. Cifrado en tránsito y reposo, control de accesos, gestión de vulnerabilidades, pruebas y auditorías.
  7. Registro y evidencia. Mantén ROPA/registro de actividades, evaluaciones y contratos; esto acredita “accountability”.
  8. Protocolo de incidentes. Define cómo evaluar, mitigar y notificar brechas que afecten datos transferidos.

6) Qué revisar en contratos con proveedores (encargados)

  • Finalidad y obligación de instrucción. El encargado solo tratará datos según tus instrucciones documentadas.
  • Medidas de seguridad. Estándares mínimos, cifrado, controles de acceso, registro y auditoría.
  • Subencargados. Condiciones para su uso y lista actualizada de subprocesadores.
  • Ubicaciones. Países donde se almacenan o acceden los datos.
  • Incidentes. Plazos de aviso “sin demoras indebidas”, contenido mínimo y cooperación.
  • Retorno o eliminación. Al término del servicio, devolución o borrado verificable.

7) Interacción con GDPR y otras normativas

Si ya cumples GDPR o LGPD, tendrás terreno avanzado: principios, registros, DPIA, transparencia y seguridad son convergentes. Aun así, revisa los matices locales de la Ley 21.719 (definiciones, derechos, sanciones y rol de la futura Agencia) y adecúa textos y procedimientos a los términos chilenos.

8) Notificación de brechas cuando hay transferencias

Si una brecha afecta datos transferidos o ubicados en el extranjero, evalúa el riesgo para titulares en Chile. Si el umbral se cumple, deberás notificar a la autoridad y, cuando corresponda, a las personas afectadas. Prevé coordinación contractual para recibir alertas del proveedor a tiempo y poder cumplir con la obligación de informar sin demoras indebidas.

9) Checklist rápido (transferencia internacional)

  • ¿Identificaste datos, finalidades, países y proveedores involucrados?
  • ¿Confirmaste base legal y minimización?
  • ¿Evaluaste el marco del país receptor y las salvaguardas?
  • ¿Tienes cláusulas contractuales o BCRs en vigor cuando no hay “adecuación”?
  • ¿Actualizaste la política de privacidad y el registro de actividades?
  • ¿Acreditas seguridad proporcional al riesgo (cifrado, accesos, auditoría)?
  • ¿Existe un protocolo de incidentes con plazos y contenido mínimo?

10) Preguntas frecuentes

¿La Ley 21.719 me aplica si estoy fuera de Chile?

Sí, si ofreces bienes o servicios a personas en Chile o monitorizas su comportamiento en el país. En tal caso, debes cumplir respecto del tratamiento realizado sobre personas en Chile.

¿Puedo transferir datos a cualquier país si tengo consentimiento?

El consentimiento expreso puede habilitar la transferencia, pero debes informar los riesgos y mantener medidas de seguridad y evidencia documental. Siempre evalúa si existen mecanismos más robustos (adecuación, cláusulas, BCRs).

¿Qué sanciones existen por incumplir?

La ley prevé un régimen sancionatorio más estricto, con multas elevadas para infracciones graves y gravísimas, además de medidas correctivas y exposición reputacional.

¿Cómo reflejo esto en mi política de privacidad?

Incluye finalidades, base legal, categorías de datos, terceros, países o criterios para determinarlos, plazos de conservación, derechos y canales de contacto. Si usas proveedores en la nube, identifica su rol y salvaguardas.

11) Recursos y fuentes

  • Texto oficial de la Ley 21.719: BCN
  • Análisis técnico de alcance y transferencias: BigID
  • Resumen divulgativo de excepciones de transferencia internacional: InfoProtección

Ver más blogs y noticias

Hablemos