Volver al blog
Datos Legal Compliance Estrategia

Ley de Datos en Chile: lo que tu empresa debe hacer antes de que sea tarde

La Ley 21.719 ya es ley de la república. Tienes plazo para cumplir, pero la mayoría de las empresas aún no ha empezado. Aquí está lo que realmente importa.

Epitech
·
Contenido del artículo

En diciembre de 2024 Chile promulgó la Ley 21.719, su nueva Ley de Protección de Datos Personales. Reemplaza a la Ley 19.628 de 1999 —escrita cuando el correo electrónico era una novedad— y pone al país a la altura del estándar GDPR europeo.

Las empresas tienen un plazo de adecuación. El reloj ya corre.

¿Por qué la ley anterior ya no servía?

La Ley 19.628 fue redactada en un contexto donde los datos eran registros en papel o bases de datos locales. No contemplaba:

  • Tratamiento de datos en la nube
  • Perfilamiento algorítmico y decisiones automatizadas
  • Transferencias internacionales de datos
  • Derechos digitales del titular

Resultado: durante 25 años las empresas chilenas operaron en un vacío normativo que generó prácticas muy heterogéneas, muchas de ellas incompatibles con los estándares internacionales actuales.

Qué cambia con la Ley 21.719

El principio de finalidad explícita

Ya no basta con tener los datos. Debes tener una base legal documentada para cada tratamiento: consentimiento, contrato, obligación legal, interés legítimo. Si no puedes justificar por qué tratas un dato, no deberías tenerlo.

El registro de actividades de tratamiento

Toda organización que trate datos debe mantener un registro actualizado de sus actividades de tratamiento. Este registro debe documentar qué datos se tratan, con qué finalidad, quién los trata, por cuánto tiempo y si se transfieren a terceros.

Este registro es el punto de partida de cualquier programa de compliance. Sin él, no puedes saber qué estás haciendo mal.

Derechos ampliados del titular

Los titulares de datos ahora tienen derechos reforzados:

  • Acceso: saber qué datos tiene la organización sobre ellos
  • Rectificación: corregir datos incorrectos
  • Supresión: el “derecho al olvido”
  • Portabilidad: recibir sus datos en formato interoperable
  • Oposición: negarse al tratamiento para fines de marketing
  • No ser objeto de decisiones automatizadas: impugnar decisiones tomadas exclusivamente por algoritmos

El Delegado de Protección de Datos (DPD)

Ciertas organizaciones —aquellas que traten datos a gran escala o datos sensibles de forma habitual— deberán designar un Delegado de Protección de Datos. Este rol puede ser interno o externo, pero debe tener conocimiento especializado y autonomía real.

Sanciones con dientes

La Ley 19.628 prácticamente no tenía enforcement. La nueva ley crea la Agencia de Protección de Datos Personales con facultades sancionatorias reales:

  • Infracciones leves: hasta 5.000 UTM (~$350M CLP)
  • Infracciones graves: hasta 10.000 UTM (~$700M CLP)
  • Infracciones gravísimas: hasta 20.000 UTM (~$1.400M CLP)

Y para empresas con ingresos altos, las multas pueden calcularse como porcentaje del ingreso anual global.

Los datos sensibles tienen reglas especiales

La ley establece categorías especiales de datos que requieren mayor protección:

  • Datos de salud
  • Origen racial o étnico
  • Opiniones políticas o religiosas
  • Datos biométricos y genéticos
  • Orientación sexual o identidad de género
  • Situación migratoria
  • Antecedentes penales

Si tu empresa trata alguna de estas categorías —y muchas lo hacen sin saberlo explícitamente— necesitas una base legal reforzada y medidas de seguridad adicionales.

El mapa de adecuación: por dónde empezar

Desde Epitech trabajamos un proceso de adecuación en cuatro fases:

Fase 1: Inventario y clasificación de datos

Antes de cumplir la ley, necesitas saber qué datos tienes. Esto implica:

  1. Mapear todos los sistemas que almacenan o procesan datos personales
  2. Clasificar los datos por categoría y sensibilidad
  3. Identificar los flujos de datos entre sistemas y hacia terceros
  4. Documentar las bases legales de cada tratamiento

Fase 2: Análisis de brechas

Comparar el estado actual con los requisitos de la ley. Las brechas más comunes que encontramos:

  • Consentimientos no documentados o redactados de forma que no cumple los nuevos requisitos
  • Contratos con proveedores cloud sin cláusulas de protección de datos adecuadas
  • Sistemas legacy sin logs de acceso ni controles de auditoría
  • Políticas de retención inexistentes: datos guardados indefinidamente “por si acaso”

Fase 3: Implementación técnica

Las brechas identificadas se traducen en proyectos técnicos concretos:

  • Implementar mecanismos de consentimiento granular en plataformas web y móviles
  • Crear flujos de gestión de derechos del titular (solicitudes de acceso, supresión, etc.)
  • Actualizar contratos con proveedores (Data Processing Agreements)
  • Implementar controles técnicos: cifrado en reposo y en tránsito, pseudoanonimización, control de accesos

Fase 4: Gobernanza y cultura

La parte más difícil no es técnica: es cultural. Necesitas:

  • Designar el DPD si corresponde
  • Crear el Registro de Actividades de Tratamiento y mantenerlo actualizado
  • Capacitar a los equipos que manejan datos
  • Implementar un proceso de gestión de incidentes de seguridad
  • Establecer revisiones periódicas del programa

El error más costoso: esperar al plazo

Las empresas que esperan hasta el último momento de adecuación siempre enfrentan el mismo problema: descubren que el trabajo es mucho mayor de lo que imaginaban, aceleran procesos que requieren tiempo, y terminan con un compliance superficial que no resistiría una auditoría real.

Las empresas que empiezan hoy tienen tiempo para hacer las cosas bien: inventariar con calma, negociar contratos, capacitar equipos y —lo más importante— aprovechar el proceso de adecuación para mejorar genuinamente su gestión de datos, que es el verdadero beneficio de largo plazo.

¿Quieres evaluar el nivel de adecuación de tu organización? Conversemos.

Ver todos los artículos Conversar con Epitech

También te puede interesar

Tus datos valen más que tu producto: cómo convertirlos en ventaja competitiva
DatosEstrategia

Tus datos valen más que tu producto: cómo convertirlos en ventaja competitiva

LLMs en la empresa: de cero a producción sin quemar el presupuesto
Inteligencia ArtificialLLMs

LLMs en la empresa: de cero a producción sin quemar el presupuesto

IA en el negocio: más allá del hype, hacia el ROI real
Inteligencia ArtificialNegocio

IA en el negocio: más allá del hype, hacia el ROI real