La Ley N° 21.719, introduce una reforma sustantiva al régimen chileno de protección de datos personales y entrará en vigencia el 1° de diciembre de 2026.

Su ámbito de aplicación es amplio: alcanza a toda persona natural o jurídica que realice tratamiento de datos personales (de clientes, trabajadores o proveedores), con independencia del sector o tamaño de la organización. La ley reafirma que los datos personales pertenecen a sus titulares, y su tratamiento por parte de terceros (empresas, organizaciones, proveedores de servicios) únicamente es lícito en la medida en que exista una base legal que lo justifique y una finalidad determinada que lo enmarque.

Principales obligaciones

Licitud del tratamiento. Toda operación de tratamiento de datos debe fundarse en una base legal válida: consentimiento del titular, ejecución de un contrato, cumplimiento de una obligación legal, interés legítimo del responsable, entre otras causales que establece la ley. El responsable debe identificar cuál aplica a cada tratamiento que realiza y estar en condiciones de demostrarlo, cumpliendo con los requisitos aplicables a cada caso.

Datos sensibles. Los datos de salud, biometría, origen étnico, afiliación religiosa o política, entre otros, quedan sujetos a un régimen especialmente restrictivo. El consentimiento para su tratamiento debe ser expreso, y las excepciones que permiten prescindir de él están establecidas de forma taxativa en la ley.

Deber de información. Las empresas deben mantener una política de tratamiento de datos personales accesible y actualizada, que dé cuenta de las categorías de datos tratados, las finalidades, la base de licitud, los destinatarios a quienes se comunican o ceden, los plazos de conservación y las medidas de seguridad adoptadas.

Contratos con terceros. Cuando el tratamiento de datos se externaliza a un proveedor, debe celebrarse un contrato que regule expresamente las condiciones de ese tratamiento. La ley formaliza y amplía esta exigencia respecto del marco anterior.

Evaluación de Impacto en Protección de Datos (EIPD). Para operaciones que involucren tratamiento masivo de datos o datos sensibles, la ley establece la obligación de realizar una evaluación de impacto previa.

Fiscalización y Sanciones

La ley crea la Agencia de Protección de Datos Personales, organismo autónomo con facultades de fiscalización y sanción. Las multas van desde amonestación escrita hasta 20.000 UTM ($1.400 millones de pesos aproximadamente) para infracciones gravísimas. Para medianas y grandes empresas reincidentes, la multa puede alcanzar el 4% de los ingresos anuales. Las sanciones quedarán registradas en un Registro Nacional de acceso público. La adecuación a esta normativa implica un proceso que abarca el mapeo de operaciones de tratamiento, la revisión de contratos vigentes, la actualización de políticas y documentos, y en muchos casos, cambios en los procedimientos internos de captura y gestión de datos; por lo que es recomendable iniciar ese proceso con la debida anticipación.

Para preguntas o mayor información sobre este tema, puede contactar a nuestro equipo legal corporativo.