Hablemos

Esta guía de preguntas frecuentes reúne, en lenguaje claro, los puntos que más consultan directivos, equipos legales, TI, riesgos y marketing sobre la Ley 21.719. Incluye definiciones básicas, alcance, obligaciones clave, derechos de las personas, sanciones, plazos y una hoja de ruta práctica para implementar privacidad como motor de confianza del cliente.

1) ¿Qué es la Ley 21.719 y por qué es relevante?

Es la normativa chilena que regula el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales. Moderniza el marco anterior, eleva estándares de transparencia y seguridad, y alinea a Chile con prácticas internacionales. Su objetivo es proteger mejor los derechos de las personas y dar certezas a las organizaciones.

2) ¿Cuándo entra en vigencia?

Fue publicada el 13 de diciembre de 2024 y su vigencia general comienza a los 24 meses de la publicación, es decir, en diciembre de 2026. Durante el período de transición se espera la dictación de reglamentos y lineamientos de la futura Agencia.

3) ¿A quién se aplica?

Aplica a personas naturales o jurídicas, públicas y privadas, que realicen tratamiento de datos personales en Chile o que ofrezcan bienes/servicios dirigidos a personas en Chile y traten sus datos en ese contexto. En la práctica, cubre a la gran mayoría de organizaciones que manejan información de clientes, usuarios, pacientes, estudiantes, colaboradores, etc.

4) ¿Qué se entiende por “dato personal” y “dato sensible”?

Dato personal es cualquier información que identifica o puede identificar a una persona (por ejemplo: nombre, RUT, correo, teléfono, dirección, identificadores en línea). Dato sensible es una categoría especial vinculada a aspectos que, por su naturaleza, requieren mayor protección (como salud, biométricos, convicciones, vida sexual), y que activan obligaciones reforzadas.

5) ¿Cuáles son los principios clave que introduce?

6) ¿Cuáles son las bases legales para tratar datos?

La ley prevé bases de licitud que justifican el tratamiento (por ejemplo, consentimiento; cumplimiento de obligaciones legales; ejecución de un contrato con el titular; y otras bases reconocidas por la normativa). Cada organización debe mapear sus tratamientos, determinar la base aplicable y documentarla.

7) ¿Cuándo necesito consentimiento y cómo debe ser?

Cuando la base legal del tratamiento sea el consentimiento, este debe ser inequívoco (y expreso en ciertos casos, como datos sensibles). Debe ser informado, libre y demostrable. No se presume: la organización debe registrar la fecha, el canal y el alcance (finalidades) aceptado por la persona, además de ofrecer mecanismos de retiro (opt-out) cuando proceda.

8) ¿Qué obligaciones de transparencia y deber de información existen?

Se debe explicar en lenguaje claro qué datos se recogen, para qué finalidades, cuál es la base legal, con quién se comparten, por cuánto tiempo se conservan, cómo ejercer derechos y datos de contacto del responsable. Esta información debe estar disponible en la política de privacidad y, cuando corresponda, en avisos contextuales (p. ej., junto a formularios).

9) ¿Qué derechos tienen los titulares (personas)?

Entre otros, acceso a su información, rectificación, eliminación/cancelación, oposición, portabilidad y a no quedar sujeto exclusivamente a decisiones automatizadas en ciertos casos. La organización debe disponer de un canal para solicitudes (DSAR), verificar identidad, responder en plazos razonables y mantener evidencia de la gestión.

10) ¿Qué significa responsabilidad proactiva (accountability)?

Implica poder demostrar, con evidencias y registros, que la empresa cumple los principios y obligaciones: inventario de tratamientos, base legal por tratamiento, políticas y procedimientos, formación periódica, evaluaciones de impacto cuando proceda, contratos con encargados, gestión de incidentes y auditorías internas.

11) ¿Debo llevar un registro de actividades de tratamiento (ROPA)?

Sí, mantener un registro actualizado de las operaciones de tratamiento es una práctica esencial para evidenciar cumplimiento. Debe incluir finalidades, categorías de datos y titulares, destinatarios, transferencias, medidas de seguridad y plazos de conservación, entre otros aspectos que definan los reglamentos.

12) ¿Cuándo corresponde realizar una evaluación de impacto (DPIA)?

En tratamientos que puedan implicar alto riesgo para derechos y libertades (por ejemplo, uso de datos sensibles a gran escala, monitorización sistemática, decisiones automatizadas de impacto significativo). La DPIA documenta riesgos y medidas de mitigación; su exigencia y alcance se precisarán en reglamentos y guías de la Agencia.

13) ¿Cómo se regulan las cookies, el marketing y el seguimiento digital?

El uso de cookies y tecnologías de seguimiento debe alinearse con los principios: transparencia, base legal adecuada (consentimiento cuando sea necesario), minimización, seguridad y respeto de preferencias. Los banners deben permitir consentimientos granulares y rechazo equivalente. Es clave registrar y poder demostrar la preferencia del usuario.

14) ¿Qué exige la ley sobre seguridad de la información?

Medidas técnicas y organizativas proporcionales al riesgo: control de accesos, autenticación multifactor, cifrado en tránsito y reposo, gestión de vulnerabilidades, segmentación de redes, respaldos, continuidad de negocio, registro y monitoreo, y prueba periódica de controles. La seguridad es parte del ciclo continuo de la privacidad.

15) ¿Qué es una brecha de seguridad y cuándo se notifica?

Es un incidente que provoca destrucción, pérdida, alteración o acceso/divulgación no autorizada de datos personales. Se notifica a la Autoridad y, cuando proceda, a los titulares si el incidente puede generar un riesgo significativo para sus derechos. Debe comunicarse sin demoras indebidas, con información mínima: naturaleza del incidente, categorías y volumen afectados, posibles consecuencias, medidas adoptadas y contacto.

16) ¿Existen plazos “duros” para notificar incidentes?

El estándar es actuar sin demoras indebidas. El detalle operativo, formatos y plazos específicos se precisarán en reglamentos y orientaciones de la Agencia. Mientras tanto, es recomendable fijar plazos internos estrictos (p. ej., ventanas de 24–72 horas para evaluación y comunicación inicial) y ensayar el protocolo.

17) ¿Qué sanciones contempla la Ley 21.719?

Introduce un régimen sancionatorio más severo con categorías de infracciones (leves, graves, gravísimas) y multas que, en los casos más serios, pueden alcanzar hasta 20.000 UTM. Además, pueden existir agravantes (reincidencia) y medidas correctivas. La gestión proactiva de cumplimiento y la evidencia documental pueden mitigar exposición.

18) ¿Qué cambia con la creación de la Agencia de Protección de Datos Personales?

Habrá una autoridad especializada con facultades de fiscalización, instrucción y sanción. También se esperan guías, criterios y reglamentos que orienten la aplicación práctica (p. ej., DPIA, incidentes, transferencias). La interacción con la Agencia requerirá roles definidos y canales institucionales en cada organización.

19) ¿Necesito nombrar un Delegado de Protección de Datos (DPO)?

La ley contempla la figura del DPO y su designación puede ser exigible según el tamaño, la naturaleza de los tratamientos o el riesgo. Aun cuando no sea obligatorio, nombrar un DPO interno o externo es una buena práctica para coordinar cumplimiento, formación, DPIA, DSAR, incidentes y relación con la autoridad.

20) ¿Cómo se gestionan los encargados (proveedores) que tratan datos por cuenta de la empresa?

Debe existir un contrato de encargo de tratamiento (DPA) con cláusulas sobre finalidades, medidas de seguridad, confidencialidad, subencargados, auditorías, notificación de incidentes y retorno/eliminación de datos al finalizar el servicio. Es clave verificar técnicamente y periódicamente a los proveedores críticos.

21) ¿Qué reglas aplican a las transferencias internacionales de datos?

Las transferencias deben contar con garantías adecuadas, evaluaciones de riesgo y, cuando corresponda, instrumentos contractuales o mecanismos que la ley y los reglamentos establezcan. La organización debe documentar la base legal y salvaguardas adoptadas y reflejarlas en su registro de actividades.

22) ¿Cómo debo planificar la retención y eliminación de datos?

Define plazos de conservación acordes a finalidades y obligaciones legales; implementa borrado seguro o anonimización al término. La retención indefinida sin justificación es contraria a los principios de la ley. Es recomendable mantener un cuadro de retención por sistema y categoría de datos.

23) ¿Qué pide la ley sobre decisiones automatizadas y perfiles (profiling)?

Si una decisión basada exclusivamente en tratamiento automatizado produce efectos jurídicos o afecta significativamente al titular, suelen aplicarse garantías reforzadas (transparencia, posibilidad de intervención humana, revisión, impugnación). Las reglas concretas y límites se precisarán en reglamentos; por ahora, documenta lógica general y evaluaciones de riesgo.

24) ¿Cuáles son los “quick wins” para elevar la confianza del cliente?

25) ¿Cómo priorizo si tengo recursos limitados?

Aplica un enfoque de riesgos: identifica tratamientos de alto impacto (datos sensibles, grandes volúmenes, nuevas tecnologías), corrige brechas críticas primero, establece registros mínimos viables (ROPA), formaliza política/avisos y arma el protocolo de incidentes. Paralelamente, define un plan de capacitación básica para equipos de primera línea.

26) ¿Qué KPIs ayudan a demostrar valor del programa?

27) ¿Cómo se integra el programa de privacidad con ciberseguridad y compliance?

Privacidad, seguridad de la información y cumplimiento deben coordinarse: el mapa de datos y la matriz de riesgos alimentan controles de seguridad; los contratos de proveedores reflejan salvaguardas; las auditorías y métricas se consolidan para la alta dirección. Así se evita duplicidad de esfuerzos y se mejora la postura global.

28) ¿Qué errores comunes conviene evitar?

29) ¿Cuál es la hoja de ruta sugerida (primeros 6 meses)?

30) ¿Dónde encuentro el texto oficial y resúmenes confiables?

El texto oficial está en el sitio de la Biblioteca del Congreso Nacional. Para contexto y resúmenes ejecutivos, revisa comunicados del Gobierno y análisis empresariales y jurídicos de prestigio. Al final de este FAQ se incluye una lista de fuentes públicas.

Fuentes y lecturas recomendadas

Agregar un comentario

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *