Ley 21.719: Chile entra a la era moderna de la protección de datos personales

Un cambio histórico en la privacidad digital chilena

El 13 de diciembre de 2024, Chile dio un paso trascendental en materia de protección de datos personales con la publicación de la Ley 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. Esta normativa reemplaza la antigua Ley 19.628 de 1999, llevando al país a estándares internacionales comparables con el GDPR europeo.

Para profesionales de ciberseguridad, compliance y tecnología, esta ley representa un cambio de paradigma que exige preparación, inversión y transformación en la forma en que las organizaciones manejan la información personal.

¿Cuándo entra en vigencia?

Un aspecto crucial que todas las organizaciones deben conocer es que la Ley 21.719 entrará en vigencia de forma diferida el 1 de diciembre de 2026. Esto otorga un período de adaptación de aproximadamente dos años desde su publicación para que empresas y organismos públicos implementen los cambios necesarios.

Este plazo no es una invitación a la complacencia. La experiencia internacional demuestra que la implementación de un marco robusto de protección de datos requiere tiempo, recursos y un cambio cultural organizacional significativo.

Principales novedades y obligaciones

1. Creación de la Agencia de Protección de Datos Personales

La ley crea la Agencia de Protección de Datos Personales, un organismo autónomo encargado de fiscalizar el cumplimiento de la normativa, investigar infracciones y aplicar sanciones. Esta agencia tendrá poderes de supervisión, investigación y sanción similares a las autoridades de protección de datos europeas.

2. Principios rectores del tratamiento de datos

La ley introduce principios fundamentales que toda organización debe cumplir: licitud, finalidad, proporcionalidad, calidad, seguridad, responsabilidad, confidencialidad y transparencia. Estos principios no son meramente declarativos; su incumplimiento conlleva sanciones administrativas y responsabilidad civil.

3. Derechos ARCOP: Empoderamiento del titular de datos

La ley fortalece los derechos de las personas sobre su información personal, conocidos como derechos ARCOP: Acceso, Rectificación, Cancelación/Supresión, Oposición y Portabilidad. Las organizaciones deberán implementar mecanismos efectivos y accesibles para que los titulares ejerzan estos derechos.

4. Consentimiento informado y expreso

La ley establece estándares más exigentes para el consentimiento. Ya no basta con avisos genéricos en políticas de privacidad extensas que nadie lee. El consentimiento debe ser libre, específico, informado e inequívoco, lo que implica repensar completamente los formularios de captura de datos.

5. Evaluaciones de impacto de privacidad

Para tratamientos de datos que presenten altos riesgos para los derechos de las personas, se requerirán evaluaciones de impacto de privacidad previas. Esto es especialmente relevante para proyectos que involucren tecnologías emergentes, decisiones automatizadas o tratamiento masivo de datos sensibles.

6. Notificación de brechas de seguridad

Las organizaciones estarán obligadas a notificar a la Agencia y, en ciertos casos, a los titulares afectados sobre brechas de seguridad que comprometan datos personales. Esta obligación introduce una nueva dimensión en la gestión de incidentes de ciberseguridad.

7. Transferencias internacionales de datos

La ley regula estrictamente las transferencias de datos personales fuera de Chile, exigiendo que el país de destino ofrezca un nivel de protección adecuado o que se implementen salvaguardas apropiadas.

Implicaciones para las organizaciones

Sector privado

Las empresas enfrentan desafíos significativos:

• Auditoría integral: Identificar todos los flujos de datos personales en la organización
• Actualización de políticas: Rediseñar políticas de privacidad, términos de servicio y procedimientos internos
• Implementación técnica: Desarrollar capacidades para responder a solicitudes de derechos ARCOP
• Seguridad de la información: Fortalecer medidas técnicas y organizativas de protección de datos
• Capacitación: Formar al personal en los nuevos estándares de privacidad
• Designación de roles: Considerar la necesidad de nombrar delegados de protección de datos

Sector público

Los organismos públicos enfrentan responsabilidades particulares, incluyendo la responsabilidad administrativa del jefe superior del órgano por incumplimientos, con sanciones que incluyen multas sobre su remuneración e incluso suspensión en el cargo.

Régimen sancionatorio: El costo del incumplimiento

Los principios establecidos no son simples recomendaciones, sino obligaciones verificables cuyo incumplimiento puede derivar en sanciones significativas. El régimen sancionatorio incluye multas que pueden alcanzar montos sustanciales según la gravedad de la infracción, el número de afectados y la reincidencia.

Más allá de las multas administrativas, las organizaciones enfrentan riesgos reputacionales, potenciales demandas civiles y la posibilidad de órdenes de cese de tratamiento de datos que pueden paralizar operaciones comerciales.

Recomendaciones para la preparación

Acción inmediata (2025)

1. Diagnóstico inicial: Realizar un mapeo de datos personales tratados por la organización
2. Gap analysis: Identificar brechas entre prácticas actuales y requisitos de la ley
3. Planificación estratégica: Desarrollar un roadmap de cumplimiento con hitos claros
4. Presupuesto: Asignar recursos financieros y humanos para la implementación

Mediano plazo (2026, pre-vigencia)

1. Implementación de políticas: Actualizar documentación legal y procedimientos
2. Desarrollo tecnológico: Implementar sistemas para gestión de consentimientos y ejercicio de derechos
3. Capacitación masiva: Formar a todos los colaboradores en cultura de protección de datos
4. Simulacros: Realizar ejercicios de respuesta a brechas de seguridad
5. Revisión de contratos: Actualizar acuerdos con proveedores y encargados de tratamiento