Conoce la nueva Ley de protección de datos personales de Chile

Chile aprobó la Ley de Protecciones de Datos Personales (Ley 27.719), luego de un proceso de tramitación que duró 7 años, para estar alineada con el Reglamento General de Protección de Datos de la Unión Europea. Esta nueva legislación amplía los derechos de los titulares de datos y establece la creación de la Agencia de Protección de Datos Personales y el Registro Nacional de Sanciones y Cumplimiento. 

En este artículo te contaremos qué significa la nueva ley, los principales cambios y mucho más. Sigue leyendo para descubrir cómo impacta a las empresas, ciudadanos y al manejo de la información personal. 

¿Qué es la ley de protección de datos personales (Ley 21719) 

La ley 21719, publicada el 13 de diciembre de 2024, establece un marco legal para la protección y el tratamiento de los datos personales en Chile. Esta normativa llega para reemplazar y modernizar la antigua Ley 19.628 sobre la protección de la vida privada, alineándose con estándares internacionales como el Reglamento de Protección de Datos (GDPR) de la Unión Europea, con esto Chile busca elevar el estándar de protección, crear una autoridad de control, delimitar el ejercicio de los derechos por parte de los titulares, consagrar nuevas fuentes de licitud para el tratamiento de datos, regular la transferencia internacional y establecer un régimen robusto de responsabilidades y sanciones. 

Suena un poco complicado, pero acá te lo explicaremos mejor para que puedas entender todas las implicaciones de esta ley. 

Principales cambios y novedades de la Ley 21719

Su objetivo principal es minimizar la posibilidad de que estas empresas sean utilizadas como instrumentos para actividades ilícitas. 

La nueva ley introduce modificaciones importantes para garantizar una mayor protección de la información personal:

1. Creación de la Agencia de Protección de Datos Personales

Se establece un organismo encargado de fiscalizar y garantizar el cumplimiento de la ley, asegurando que tanto entidades públicas como privadas manejen los datos personales de manera adecuada.

2. Derechos de los titulares de datos

La ley refuerza y amplía los derechos de las personas sobre su información personal:

• Derecho de acceso: Permite conocer qué datos se están tratando y con qué finalidad.
• Derecho de rectificación: Posibilita corregir información incorrecta o desactualizada.
• Derecho de supresión: Autoriza la eliminación de datos cuando ya no sean necesarios.
• Derecho a la portabilidad: Permite trasladar datos de un responsable a otro.
• Derecho de oposición: Posibilita negarse a ciertos tratamientos de datos.

3. Mayor responsabilidad para empresas e instituciones

Las organizaciones que traten datos personales deben cumplir con principios como:

• Licitud y lealtad: Los datos deben tratarse de manera justa y legal.
• Finalidad: Deben recolectarse con un objetivo específico y no usarse para otros fines sin consentimiento.
• Seguridad: Se exige la implementación de medidas adecuadas para evitar filtraciones o accesos no autorizados.

4. Requisitos para el consentimiento

El consentimiento para el uso de datos personales debe ser libre, informado, específico e inequívoco. Esto significa que las empresas no pueden utilizar los datos personales sin una autorización clara del usuario.

5. Sanciones más severas

Las multas por incumplimiento pueden ser elevadas, dependiendo de la gravedad de la infracción. Las empresas deben asegurarse de cumplir con las normativas para evitar sanciones económicas y daños a su reputación.

Ámbito de aplicación territorial 

La ley se aplica en los siguientes casos:

1. Cuando el responsable o encargado del tratamiento de datos esté establecido en Chile. 
   
   
2. Cuando el encargado realice operaciones de tratamiento en nombre de un responsable establecido en Chile. 
   
   
3. Aunque el responsable o encargado no estén establecidos en Chile, si sus operaciones de tratamiento de datos personales están destinadas a ofrecer bienes o servicios a titulares en Chile.

Los responsables no constituidos en Chile deben indicar un correo electrónico para recibir comunicaciones de los titulares de datos y de la Agencia. 

Bases de legitimación del tratamiento de datos

La ley establece que el tratamiento de datos debe basarse en el consentimiento del titular. Sin embargo, también reconoce otras bases de legitimación, como el cumplimiento de obligaciones legales, la ejecución de contratos y el interés legítimo del responsable, siempre que no se afecten los derechos fundamentales del titular. 

Principios que rigen el tratamiento de datos

La ley 21719 implementa varios principios que deben cumplirse al momento de tratar datos personales: 

• Principio de licitud y lealtad: El responsable debe mostrar la licitud del tratamiento. 

• Principio de finalidad: El tratamiento debe realizarse con el fin para el que fueron recolectados los datos. 

• Principio de proporcionalidad. Los datos tratados deben ser necesarios para los fines del tratamiento y conservarse solo el tiempo necesario.

• Principio de calidad: Los datos personales deben ser exactos, completos y actuales. 

• Principio de responsabilidad: Los responsables del tratamiento deben cumplir con los principios y obligaciones legales. 

• Principio de seguridad: El responsable debe garantizar estándares adecuados de seguridad. 

• Principio de transparencia e información: El responsable debe informar sobre las políticas y prácticas sobre el tratamiento de datos personales.

• Principio de confidencialidad: El responsable y quienes tengan accesos a los datos deben mantener su secreto y adoptar las medidas necesarias para ello. 

Evaluación de impacto 

En caso de que un tratamiento pueda producir un alto riesgo para los derechos de los titulares de datos, la ley obliga al responsable a realizar, previo a tal tratamiento, una evaluación de impacto en protección de datos. Esto es especialmente relevante para los casos de tratamiento masivo de datos, donde la cantidad o el tipo de datos podrían aumentar significativamente el riesgo para los derechos de las personas. Si de esta evaluación resulta que el tratamiento puede ser de alto riesgo, el responsable podrá consultar a la Agencia de Protección de Datos, antes de proceder, quien emitirá recomendaciones. 

Transferencia internacional de datos personales

La ley regula la transferencia internacional de datos personales, permitiéndola en los siguientes casos: 

1. Transferencia a persona o entidad en país adecuado (definido por la Agencia)
2. Transferencia amparada por un contrato que establezca garantías adecuadas. 
3. Adopción de un modelo de cumplimiento entre los responsables. 

Sanciones

La Ley de Protección de Datos Personales de Chile (Ley 21719) introduce nuevas sanciones, incluyendo multas y la inclusión en el Registro Nacional de Sanciones y Cumplimiento, lo que puede afectar la reputación de una empresa. 

Multas: Varían según la gravedad de la infracción y el tamaño de la entidad responsable.

• Infracciones leves: 

Amonestación escrita o multa de hasta 5.000 unidades tributarias mensuales (aproximadamente USD 387.000. Ejemplo: incumplimiento del deber de información y transparencia, como no indicar correo electrónico para comunicarse con el responsable de datos. 

• Infracciones graves: 

Multa de hasta 10.000 unidades tributarias mensuales (aproximadamente USD 775.000). Ejemplo: tratar datos sin una base de legitimación que lo permita o vulnerar el deber de confidencialidad.

• Infracciones gravísimas: 

Multa de hasta 20.000 unidades tributarias mensuales (aproximadamente USD 1.550.000). Ejemplo: tratar datos de manera fraudulenta, como destinar maliciosamente los datos personales a una finalidad distinta de la consentida por el titular.

En caso de reincidencia, la Agencia puede aplicar una multa de hasta 3 veces el monto indicado. 

Para empresas no consideradas de menor tamaño que reincidan en infracciones graves o gravísimas, la multa puede ser de hasta el 2% o 4% de los ingresos anuales por ventas y servicios del último año calendario.

• Sanciones accesorias: En caso de infracciones gravísimas reiteradas en un período de veinticuatro meses, la Agencia puede suspender las operaciones de tratamiento de datos del responsable hasta treinta días.
  
  
• Registro nacional de sanciones y cumplimiento: Llevará el registro público de las sanciones impuestas a los responsables de datos y será administrado por la Agencia de Protección de Datos. 

Impacto de la ley 21.719 en las empresas y organizaciones

Las empresas y entidades que manejan datos personales deberán adaptar sus procesos y tecnologías para cumplir con la nueva normativa. Algunas de las medidas que debes considerar en tu organización incluyen:

• Implementación de políticas de protección de datos.
• Designación de un Delegado de Protección de Datos (DPO) en ciertas organizaciones.
• Desarrollo de protocolos de respuesta ante filtraciones de datos.
• Auditorías periódicas para garantizar el cumplimiento normativo.

¿Cómo puedo proteger mis datos personales?

Seguramente a este punto del artículo ya estás enterado de todo lo que implica la nueva Ley de Protección de Datos para las empresas chilenas, sin embargo, puede que estés preguntándote, cómo te afecta como ciudadano, esta ley también implica cambios importantes en la manera en la que las personas pueden proteger su información, por eso te recomendamos incorporar en tu día a día las siguientes buenas prácticas de seguridad:

• Revisa términos y condiciones antes de compartir datos en plataformas digitales.
• Usa contraseñas seguras y evita compartir información sensible en línea.
• Exige transparencia a las empresas sobre cómo manejan tus datos.

Ejercita tus derechos: Si una empresa está manejando tus datos sin tu consentimiento, puedes reclamar ante la Agencia de Protección de Datos Personales.

En la academía Pirani tuvimos un webinar sobre la importancia de la protección de datos personales, si quieres aprender más sobre el tema, te lo compartimos a continuación:

Cómo gestionar riesgos de ciberseguridad con Pirani

Para que tu empresa cumpla con la Ley 21719 debes contar con herramientas tecnológicas que estén alineadas con estándares internacionales, como la ISO 27001. Con Pirani, puedes gestionar tus riesgos de ciberseguridad y protección de datos sensibles, de manera rápida y ágil, acá te contamos más sobre lo que puedes hacer con Pirani: 

1. Log de Auditoría para un Control Completo

El log de auditoría de Pirani permite registrar todas las acciones realizadas por los usuarios dentro del sistema, facilitando el monitoreo de actividades sospechosas y posibles intentos de acceso no autorizado. Esta funcionalidad sirve para detectar vulnerabilidades y reforzar la seguridad de la información.

2. Análisis de riesgos con Pirani

Pirani y su sistema de gestión de Seguridad de la Información ayuda a las organizaciones a implementar un enfoque basado en riesgos para proteger la información crítica. Con este módulo, es posible:

• Identificar y evaluar amenazas digitales.

• Implementar controles de seguridad adecuados.

• Monitorear continuamente el cumplimiento de normativas como la Ley de Protección de Datos Chile.

3. Respuesta rápida ante incidentes de seguridad

Con Pirani, las empresas pueden establecer protocolos de respuesta ante incidentes que les permitan actuar de manera eficiente en caso de ataques cibernéticos o filtraciones de datos. La automatización de reportes y alertas contribuye a minimizar el impacto de cualquier incidente.

4. Protección Continua y mejora de procesos

El uso de Pirani ISMS garantiza una mejora continua en la protección de datos, permitiendo que las empresas adapten sus estrategias de seguridad a nuevas amenazas y cambios normativos. La plataforma facilita la creación de un entorno seguro y resiliente frente a ciberataques.

Preguntas frecuentes

1. ¿Cuándo entrará en vigor la nueva ley de protección de datos en Chile?
   • La ley entrará en vigor a partir del 1 de diciembre del 2026
2. ¿Qué entidades estarán sujetas a esta ley?
   • Todas las empresas y organismos públicos que manejen datos de personas en Chile deberán cumplir con la normativa.
3. ¿Qué derechos otorga la ley a los individuos sobre sus datos personales?
   • Los individuos podrán acceder, rectificar, eliminar y oponerse al tratamiento de sus datos personales.
4. ¿Qué sanciones enfrentan las organizaciones que no cumplan con la ley?
   • Las organizaciones que incumplan la ley podrán ser sancionadas con multas y otras medidas correctivas.
5. ¿Cómo pueden las empresas prepararse para cumplir con la nueva ley?
   • Las empresas deben revisar y actualizar sus políticas de manejo de datos, implementar medidas de seguridad adecuadas y capacitar a su personal en protección de datos.

La Ley de Protección de Datos Personales en Chile (Ley 21719) marca un antes y un después en la regulación del tratamiento de información personal. Si bien implica desafíos para empresas y ciudadanos, también representa un avance hacia una mayor seguridad y transparencia en el manejo de datos.

Si eres una empresa que maneja datos personales, es fundamental adaptarte cuanto antes para cumplir con la normativa. Y si eres ciudadano, recuerda que ahora tienes mayor control sobre tu información.

Prueba Pirani gratis ahora y descubre todo lo puedes lograr por la gestión de riesgos de ciberseguridad, lo mejor de todo es que no necesitas una tarjeta de crédito para empezar a gestionar riesgos. Si quieres conocer más puedes agendar una reunión de 15 minutos con uno de nuestros asesores.

Artículos relacionados

• Guía para hacer una Política de Seguridad de la Información
• Protege los activos de información de tu organización con Pirani
• Auditoría de ciberseguridad: todo lo que necesitas saber

¡Dejános saber en los comentarios qué te pareció el artículo!