Ley de Protección de Datos Personales en Chile: Guía Práctica para Empresas

En el mundo actual, uno de los activos mas valiosos que puede tener una organización, es la informacion personal de sus clientes o potenciales clientes. Desde datos recopilados en formularios de contactos, plataformas de e-commerce, redes sociales o sistemas internos, la protección de esa información es clave no solo para cumplir la ley, sino ademas para generar confianza y construir una reputación sólida.

En Chile, la nueva Ley de Protección de Datos Personales representa un cambio significativo en la forma en que las empresas deben tratar la información de sus usuarios, clientes y empleados. Esta normativa, aprobada en 2024, no solo moderniza la legislación anterior, sino que también introduce una serie de derechos para los ciudadanos y obligaciones estrictas para quienes gestionan datos personales.

Las organizaciones deberán implementar nuevas políticas, revisar sus procesos internos y adoptar medidas de seguridad más robustas. Esto implica una transformación no solo técnica, sino también cultural, que afecta diferentes áreas dentro de sus estructuras.

Este artículo busca ser una guía práctica para entender cómo aplicar la ley en su operación diaria. Abordaremos qué implica la nueva legislación, a quiénes afecta, cuáles son los derechos de los titulares de los datos y qué deben hacer las organizaciones para cumplirla correctamente.

¿Qué es la Ley de Protección de Datos Personales en Chile?

La nueva Ley N.º 21.719 sobre Protección y Tratamiento de los Datos Personales, fue publicada en el Diario Oficial el 13 de diciembre de 2024, y modifica integralmente la antigua Ley N.º 19.628, vigente desde 1999. Esta actualización normativa tiene como objetivo modernizar el marco regulatorio sobre el tratamiento de datos personales, adaptándose al acelerado avance digital experimentado en Chile y alineándose con estándares internacionales como el RGPD.

La nueva legislación busca garantizar que el uso de datos se haga de forma transparente, segura y con respeto a los derechos de las personas.

Entre sus pilares:

• Tratamiento de datos según principios claros: legalidad, finalidad, proporcionalidad y responsabilidad.
• Creación de un ente fiscalizador con atribuciones reales.
• Consentimiento explícito e informado como base para recolectar datos.
• Nuevos derechos para los ciudadanos: acceso, rectificación, eliminación y portabilidad.

La ley se aplica tanto en el sector público como privado. Abarca desde servicios del Estado y municipalidades hasta clínicas, bancos, universidades y empresas digitales.

También establece reglas sobre transferencias internacionales, evaluaciones de impacto y medidas de seguridad ajustadas al nivel de riesgo.

¿Qué se entiende por “datos personales” según la ley?

La nueva ley deja claro qué tipo de información debe protegerse. Esto es clave para que las empresas sepan qué datos entran en su responsabilidad y cómo deben manejarlos.

Datos personales

Se consideran datos personales todos aquellos que permiten identificar a una persona natural, de forma directa o indirecta. No importa si el dato está en papel, en un Excel o en la nube: si se puede asociar a alguien, entra en esta categoría.

Algunos ejemplos típicos:

• Nombre, RUT, teléfono o correo
• Dirección, ubicación o IP
• Información laboral o financiera
• Fotos, videos o audios
• Historial de navegación o compras online

Datos sensibles

Estos son aún más delicados, porque pueden afectar la privacidad o generar discriminación si no se usan bien. Por eso, la ley exige más cuidados.

Se incluyen:

• Datos de salud o historial médico
• Huellas, rostro o cualquier dato biométrico
• Opiniones políticas o religiosas
• Origen étnico o identidad de género
• Afiliación sindical

Para tratarlos, se necesita consentimiento claro y por escrito, salvo en casos excepcionales (como una emergencia médica).

¿Y los datos anonimizados?

Si los datos se modifican de tal forma que ya no se puede saber a quién pertenecen, dejan de considerarse personales. Pero eso solo aplica si la anonimización es total y no reversible.

Esto es útil para empresas que trabajan con análisis de datos o IA, porque permite usar la información sin comprometer la privacidad de las personas.

Principales derechos del titular de los datos

Uno de los cambios más relevantes que trae la nueva ley es que entrega más poder a las personas sobre su propia información. Cualquier persona natural, cuyos datos estén siendo recopilados o utilizados, tiene hoy derechos claros que deben ser respetados por las empresas y organismos públicos.

Las organizaciones no solo deben facilitar el ejercicio de estos derechos, sino también responder en los plazos que exige la ley. A continuación, los explicamos de forma sencilla:

Derecho de acceso

Toda persona puede pedir a una empresa u organización que le diga qué datos tiene sobre ella, por qué los está usando, con quién los compartió (si aplica), y cuánto tiempo los piensa conservar.

• Ejemplo: Un cliente puede pedir a una tienda online que le informe si guarda su dirección, historial de compras o preferencias de navegación.
  La respuesta debe entregarse en un máximo de 20 días hábiles, sin costo para el solicitante.

Derecho de rectificación

Permite corregir datos que estén mal: incompletos, desactualizados o simplemente erróneos.

• Ejemplo: Si una empresa tiene un correo electrónico equivocado, el titular puede pedir que se corrija de inmediato.

Derecho de eliminación (o cancelación)

También conocido como el “derecho al olvido”, permite solicitar que se eliminen datos en los siguientes casos:

• Ya no son necesarios para el fin con que fueron recolectados.
• La persona retira su consentimiento.
• El tratamiento es ilegítimo.
• Se venció el plazo legal o contractual para conservarlos.

Esto es clave, por ejemplo, si una persona ya no quiere que su información esté en un sitio web o una base de datos de marketing.

Derecho de oposición

Permite negarse al uso de sus datos si hay motivos válidos. Este derecho es especialmente útil cuando:

• Se recibe publicidad no deseada.
• Se crean perfiles comerciales automáticos.
• Se usan datos para fines no consentidos.

Las empresas deben ofrecer formas simples para ejercer este derecho, como enlaces de “no quiero recibir más correos”.

Obligaciones de las empresas

Todas las organizaciones que manejan datos personales, ya sean grandes empresas, startups, organismos públicos o fundaciones, tienen obligaciones claras. Si recoges, guardas o tratas info de personas, esto te involucra. No es solo para esquivar multas; la idea es ponerse las pilas desde el principio y aplicar buenas prácticas antes de que aparezcan problemas.

Permiso claro y específico

Cada vez que quieras datos, necesitas el visto bueno expreso de la persona. El silencio o las casillas marcadas de antemano no cuentan. Ese permiso tiene que ser:

• Libre y con toda la info necesaria.
• Para un propósito concreto.
• Fácil de retirar en cualquier momento.

Por ejemplo, si alguien se suscribe a tu boletín, no puedes luego usar esos datos para mandarle promociones sin pedirle permiso de nuevo.

Usarlos solo para lo prometido

Los datos solo pueden servir para lo que se dijo al recolectarlos. Si quieres darles un uso distinto, toca pedir un permiso extra. Imagina que guardas datos para una compra: no los uses luego para publicidad sin avisar.

Seguridad según el riesgo

Debes proteger la info contra accesos no autorizados, pérdidas o cambios indeseados. Algunas medidas:

• Encriptación.
• Contraseñas fuertes.
• Control de accesos internos.
• Capacitar al equipo en buenas prácticas digitales.

El nivel de seguridad tiene que ajustarse al tipo de datos y cuán sensibles sean.

Aviso rápido de incidentes

Si ocurre una filtración o se pierden datos, hay que avisar a la Agencia de Protección de Datos y, cuando corresponda, a las personas afectadas. Hacerlo pronto ayuda a paliar daños.

Llevar un registro de todo

Mantén un documento donde señales: para qué usas cada dato, qué tipo es, qué medidas de seguridad aplicas, cuánto tiempo lo guardas y con quién lo compartes (si aplica). La autoridad podrá pedirlo en una fiscalización.

Evaluaciones de impacto

Cuando el tratamiento sea complejo o de alto riesgo (datos sensibles, perfiles automáticos, videovigilancia, etc.), haz antes un análisis de riesgos y define controles. Esto es clave en sectores como salud, educación o fintech.

Responsable de Protección de Datos (DPO)

En lo público es obligatorio; en lo privado, muy recomendable si manejas gran volumen de datos, info sensible o procesos automatizados. El DPO se encarga de velar por el cumplimiento de la ley, asesorar al equipo y ser el canal con la autoridad. Debe ser independiente de áreas como TI o auditoría para evitar conflictos de interés.

¿Qué es la Agencia de Protección de Datos Personales?

Con la entrada en vigencia de la nueva ley, Chile suma un cambio clave: la creación de una Agencia de Protección de Datos Personales. Se trata de una entidad autónoma y técnica, que tendrá como misión fiscalizar, orientar y hacer cumplir la normativa en todo el país.

Hasta ahora, no existía en Chile un organismo con dedicación exclusiva a la protección de datos. Este nuevo ente, similar a los que operan en Europa y otras regiones, viene a cerrar esa brecha institucional.

Funciones principales de la Agencia

La nueva autoridad no solo tendrá poder sancionador. También asumirá un rol educativo y de acompañamiento. Entre sus tareas principales están:

• Supervisar a empresas y organismos públicos para verificar que respeten la ley.
• Aplicar sanciones en caso de incumplimiento, considerando la gravedad del hecho y si hubo reincidencia.
• Recibir denuncias de personas que sientan vulnerados sus derechos.
• Emitir guías y recomendaciones para distintos sectores.
• Promover buenas prácticas, certificaciones y códigos de conducta.
• Informar a la ciudadanía sobre sus derechos en materia de privacidad.

Una mirada más colaborativa

El objetivo del gobierno no es solo fiscalizar. También se espera que esta agencia ayude a las organizaciones, sobre todo a las más pequeñas, a adaptarse a la ley sin afectar su funcionamiento. Por eso, su enfoque buscará ser preventivo, equilibrado y educativo.

Relación con otros organismos

La Agencia podrá coordinarse con entidades como la CMF, Subtel, Sernac o el Ministerio de Salud, según el sector o tipo de datos involucrados. Así, se espera una mirada integral frente a los distintos riesgos que pueden surgir en el uso de datos personales.

En resumen, con la llegada de esta nueva autoridad, Chile da un paso concreto hacia una protección más efectiva y moderna de la información personal. Las empresas, por su parte, deberán prepararse para operar bajo estándares más exigentes y supervisados.

Sanciones por incumplimiento

Con la nueva ley, Chile establece por primera vez un sistema serio de sanciones para quienes no respeten la protección de datos. La normativa clasifica las infracciones en tres niveles: leves, graves y muy graves. Cada una tiene multas proporcionales, que se calculan en UTM y pueden llegar hasta las 10.000 UTM en los casos más severos.

Algunos ejemplos:

• No actualizar datos a tiempo: leve.
• Tratar información sin consentimiento: grave.
• Comercializar datos sensibles sin base legal: muy grave.

Pero el impacto va más allá del dinero. Las organizaciones también arriesgan:

• Daño reputacional, que afecta la relación con clientes y socios.
• Pérdida de contratos, en especial con empresas que exigen cumplimiento normativo.
• Demandas de usuarios, cuando se vulneran sus derechos.

La Agencia podrá además imponer medidas adicionales: suspender procesos, exigir correcciones inmediatas o informar públicamente las infracciones.

Hoy ya no basta con tener políticas escritas. Las empresas deben demostrar que aplican buenas prácticas reales y que entienden que la privacidad ya no es opcional: es parte del negocio.

¿Qué deben hacer las empresas para cumplir?

Cumplir con la nueva ley no es solo publicar una política en la web. Requiere revisar de forma integral cómo la empresa gestiona los datos personales y adaptar procesos, herramientas y roles.

Diagnóstico inicial

Todo parte por saber dónde estás parado. Es clave mapear:

• Qué datos personales recolecta la organización.
• Dónde se almacenan y quién tiene acceso.
• Con qué fines se usan y si se comparten con terceros.

Este análisis permite identificar riesgos y corregir prácticas innecesarias.

Registro de Actividades de Tratamiento (RAT), Evaluación de Riesgos y Evaluación de Impacto en la Privacidad

Tras el diagnóstico, la organización debe elaborar su Registro de Actividades de Tratamiento (RAT), documento obligatorio que detalla cada tratamiento de datos personales, incluyendo su finalidad, categorías de datos, responsables, medidas de seguridad y posibles riesgos e impactos asociados.

En paralelo, debe realizarse una evaluación de riesgos y, cuando corresponda, una evaluación de impacto en la privacidad, especialmente en tratamientos que:

• Involucran datos sensibles.
• Manejan grandes volúmenes de datos.
• Implican decisiones automatizadas.
• Suponen transferencias internacionales.

Este proceso permite identificar, analizar y mitigar riesgos que puedan afectar los derechos de los titulares, cumpliendo con los principios de seguridad y responsabilidad proactiva exigidos por la ley.

Actualización documental

La empresa debe revisar:

• Políticas de privacidad.
• Formularios de contacto.
• Contratos con empleados y proveedores.

El lenguaje debe ser claro, indicar el uso de los datos, explicar los derechos del titular y detallar si habrá transferencias a terceros.

Contratos con proveedores

Si se usan servicios externos (CRM, mailing, hosting), hay que asegurar:

• Confidencialidad.
• Finalidad del tratamiento.
• Seguridad.
• Responsabilidad ante incidentes.

Capacitación al equipo

El cumplimiento no es tarea solo de legal o TI. Todos los equipos que acceden a datos deben:

• Saber cómo protegerlos.
• Conocer qué hacer ante una solicitud o incidente.
• Integrar la privacidad en su trabajo diario.

Encargado de Protección de Datos

Aunque no siempre es obligatorio, se recomienda designar un Encargado de Protección de Datos como buena práctica. Esta persona supervisa el cumplimiento normativo, asesora a la organización y actúa como enlace con la Agencia. Debe tener autonomía funcional, conocimientos en privacidad y acceso a los recursos necesarios. Su designación refuerza la gobernanza y la gestión proactiva de riesgos.

Consentimiento claro

Se debe registrar cuándo y para qué se entregó el consentimiento, y permitir que los usuarios lo retiren fácilmente. Esto aplica en formularios, campañas, registros y más.

Plan ante incidentes

Tener un protocolo claro frente a filtraciones o accesos no autorizados:

• Detectar y contener el incidente.
• Informar a la Agencia y, si corresponde, a los afectados.
• Documentar y corregir.

En resumen, cumplir con la ley requiere más que ajustar textos: es asumir que la privacidad es parte del servicio que se entrega. Las empresas que se adapten mejorarán su reputación, reducirán riesgos y estarán más preparadas para competir.

Beneficios de cumplir con la ley

Adaptarse a la nueva ley de protección de datos personales no solo evita sanciones: es una oportunidad estratégica. En un entorno donde la privacidad es clave para los usuarios, las empresas que actúan con responsabilidad ganan ventajas reales.

Confianza del cliente

Cumplir con la ley refuerza la credibilidad. Los usuarios valoran que sus datos sean tratados con transparencia, lo que genera:

• Mayor fidelidad.
• Más conversiones.
• Recomendaciones espontáneas.
• Menor tasa de cancelaciones.

Protección de la reputación

Un mal manejo de datos puede afectar la imagen de una marca por años. En cambio, aplicar buenas prácticas proyecta profesionalismo y compromiso.

Menor exposición a riesgos legales

Cumplir reduce la probabilidad de:

• Multas y sanciones.
• Juicios de usuarios.
• Procesos administrativos.
• Pérdida de contratos o alianzas.

Optimización interna

Revisar el tratamiento de datos permite:

• Limpiar bases innecesarias.
• Detectar errores o duplicaciones.
• Mejorar procesos tecnológicos.
• Unificar criterios entre equipos.

Ventaja en licitaciones y alianzas

Cada vez más empresas exigen garantías de cumplimiento. Contar con una política sólida facilita:

• Participar en concursos públicos.
• Cerrar acuerdos con grandes clientes.
• Expandirse a mercados regulados.

Reputación como marca ética

Cumplir con la ley es también un acto de responsabilidad corporativa. Refuerza el compromiso con la ciudadanía y contribuye a una imagen coherente con valores éticos.

Implementar la ley es más que una obligación. Es una forma de profesionalizar el negocio, diferenciarse y prepararse para un entorno donde la protección de datos será parte del estándar mínimo.

En resumen…

Cumplir con la nueva ley de datos en Chile no es solo un trámite. Es una señal de que la empresa está al día, que entiende los riesgos y que se preocupa por las personas. No se trata de llenar formularios o copiar políticas genéricas. Se trata de asumir que los datos personales son delicados y que hay que tratarlos como tal.

Las empresas que se adelanten y hagan bien las cosas van a estar mejor paradas. Van a generar más confianza, evitarse problemas y destacarse frente a clientes, socios y el mercado en general. A la larga, eso vale más que evitar una multa.

Este cambio llegó para quedarse. Y mientras antes se incorpore, más fácil será adaptarse. Hacer las cosas bien desde el principio es siempre más barato y más efectivo que corregir después de una crisis.