En diciembre de 2024, Chile promulgó la Ley 21.719, una reforma integral del marco de protección de datos personales del país. Esta legislación histórica reemplaza las disposiciones obsoletas de la Ley 19.628, que había regulado la protección de datos en Chile desde 1999. La nueva ley alinea el panorama regulatorio chileno con los estándares internacionales, inspirándose significativamente en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Para las empresas que operan en Chile o manejan datos de residentes chilenos, comprender esta nueva ley es esencial para garantizar el cumplimiento y evitar sanciones sustanciales.
¿Por qué era necesaria una nueva ley?
Chile fue uno de los primeros países latinoamericanos en promulgar legislación sobre protección de datos cuando aprobó la Ley 19.628 en 1999. Sin embargo, la ley original tenía deficiencias significativas que se hicieron cada vez más evidentes durante las últimas dos décadas. Carecía de una autoridad de control dedicada para la aplicación, no imponía sanciones significativas por infracciones y no abordaba las prácticas modernas de procesamiento de datos como la computación en la nube, la inteligencia artificial y los flujos de datos transfronterizos.
La ausencia de un organismo de aplicación independiente significaba que las personas debían perseguir las violaciones de protección de datos a través de los tribunales, un proceso lento y costoso que efectivamente dejaba la mayoría de las violaciones sin resolver. Las empresas operaban con una supervisión mínima, y el marco de protección de datos de Chile era ampliamente considerado insuficiente según los estándares internacionales. La reforma constitucional de 2018, que elevó la protección de datos personales a un derecho fundamental en la Constitución de Chile, sentó las bases para la reforma legislativa integral que representa la Ley 21.719.
Disposiciones Clave de la Ley 21.719
La nueva ley introduce un marco regulatorio integral que aborda las brechas de su predecesora y alinea a Chile con las mejores prácticas globales. Las siguientes secciones describen sus disposiciones más significativas.
Derechos Ampliados de los Titulares de Datos
La Ley 21.719 amplía significativamente los derechos disponibles para los titulares de datos. Además de los derechos existentes de acceso, rectificación y supresión, la nueva ley introduce el derecho a la portabilidad de datos, el derecho de oposición al tratamiento y el derecho a no ser objeto de decisiones automatizadas. Estos derechos reflejan estrechamente los establecidos bajo el RGPD, proporcionando a las personas un control significativo sobre su información personal.
Los responsables del tratamiento deben responder a las solicitudes de los titulares dentro de los plazos definidos y proporcionar mecanismos claros para que las personas ejerzan sus derechos. El incumplimiento en facilitar estos derechos puede resultar en acciones regulatorias y sanciones.
Requisitos de Consentimiento Reforzados
El consentimiento bajo la Ley 21.719 debe ser libre, específico, informado e inequívoco. La ley requiere que el consentimiento se obtenga mediante una acción afirmativa clara y prohíbe el uso de casillas premarcadas o mecanismos de consentimiento implícito. Los responsables del tratamiento deben poder demostrar que se obtuvo un consentimiento válido y deben proporcionar medios sencillos para que las personas retiren su consentimiento en cualquier momento.
Para el tratamiento de datos personales sensibles, incluida información de salud, datos biométricos y opiniones políticas, se requiere consentimiento explícito a menos que se aplique una excepción legal específica.
Notificación de Brechas de Datos
La ley establece requisitos obligatorios de notificación de brechas de datos por primera vez en la historia de la protección de datos de Chile. Los responsables del tratamiento deben notificar a la Agencia de Protección de Datos Personales cualquier brecha de datos personales que represente un riesgo para los titulares sin dilación indebida. Cuando la brecha pueda resultar en un alto riesgo para las personas, los titulares afectados también deben ser notificados directamente.
Las organizaciones deben implementar procedimientos de detección y respuesta ante brechas para garantizar el cumplimiento oportuno de estos requisitos.
Obligaciones del Delegado de Protección de Datos
La Ley 21.719 introduce el requisito de que ciertas organizaciones designen un Delegado de Protección de Datos (DPD). El DPD es responsable de supervisar la estrategia de protección de datos de la organización, monitorear el cumplimiento, asesorar sobre evaluaciones de impacto en protección de datos y servir como punto de contacto principal con la autoridad de control. Para obtener orientación detallada sobre los requisitos del DPD, consulte nuestro artículo sobre obligaciones del DPD en Chile.
La Agencia de Protección de Datos Personales
Quizás la innovación más significativa de la Ley 21.719 es la creación de la Agencia de Protección de Datos Personales, la primera autoridad independiente de protección de datos de Chile. Este organismo autónomo está facultado para investigar denuncias, realizar auditorías, emitir decisiones vinculantes e imponer sanciones administrativas por incumplimiento.
La Agencia tiene la autoridad para emitir orientación interpretativa, aprobar códigos de conducta y certificar mecanismos de cumplimiento. También desempeñará un papel central en la cooperación internacional en materia de protección de datos, facilitando la integración de Chile en el panorama global de protección de datos.
Sanciones y Aplicación
La Ley 21.719 introduce un marco sancionatorio robusto que representa un cambio drástico respecto al régimen anterior. La Agencia puede imponer multas de hasta 10.000 UTM (Unidades Tributarias Mensuales) por infracciones graves, lo que se traduce en una exposición financiera sustancial para las organizaciones que no cumplan. Las infracciones reiteradas y las circunstancias agravantes pueden conducir a sanciones aún más elevadas.
El marco sancionatorio considera factores como la naturaleza y gravedad de la infracción, el número de titulares afectados, el grado de cooperación con la autoridad de control y si la organización adoptó medidas proactivas para mitigar el daño. Las organizaciones que demuestren programas de cumplimiento robustos y esfuerzos de remediación rápidos pueden beneficiarse de sanciones reducidas.
Cronograma de Transición
La ley prevé un período de implementación gradual para permitir que las empresas y el gobierno se preparen para el cumplimiento total. Los hitos clave incluyen el establecimiento de la Agencia y el desarrollo de regulaciones complementarias. Las organizaciones deben utilizar este período de transición estratégicamente para realizar evaluaciones de brechas, implementar los cambios necesarios y capacitar a su personal.
Es importante señalar que ciertas disposiciones de la ley entran en vigor en diferentes etapas durante el período de transición. Las empresas deben trabajar con asesores legales para comprender los plazos específicos aplicables a sus operaciones y priorizar sus esfuerzos de cumplimiento en consecuencia.
Implicaciones para las Transferencias Internacionales de Datos
La nueva ley establece reglas específicas que rigen la transferencia de datos personales fuera de Chile, abordando una brecha importante en el marco anterior. Las transferencias están permitidas a países que proporcionan un nivel adecuado de protección de datos, según lo determine la Agencia, o mediante mecanismos de transferencia aprobados como cláusulas contractuales tipo y normas corporativas vinculantes. Para un análisis detallado, consulte nuestro artículo sobre transferencias internacionales de datos desde Chile.
Pasos Prácticos para las Empresas
Prepararse para el cumplimiento de la Ley 21.719 requiere un enfoque sistemático. Los siguientes pasos proporcionan una hoja de ruta práctica para las organizaciones.
- Realizar un mapeo de datos: Identifique todos los datos personales que su organización recopila, procesa y almacena, incluyendo dónde se encuentran y quién tiene acceso a ellos
- Revisar y actualizar avisos de privacidad: Asegúrese de que sus políticas de privacidad describan con precisión sus actividades de tratamiento de datos y cumplan con los requisitos de transparencia mejorados
- Evaluar sus bases legales: Documente la base legal para cada actividad de tratamiento e implemente procesos para obtener y gestionar el consentimiento cuando corresponda
- Implementar procedimientos de solicitudes: Establezca flujos de trabajo para manejar solicitudes de acceso, rectificación, supresión, portabilidad y oposición dentro de los plazos requeridos
- Desarrollar planes de respuesta ante brechas: Cree y pruebe procedimientos de respuesta ante incidentes para garantizar la detección y notificación oportuna de brechas de datos
- Designar un DPD si es necesario: Determine si su organización necesita un DPD y contrate uno o utilice un servicio de DPD externalizado
- Capacitar a su personal: Implemente una formación integral en protección de datos para todos los empleados que manejen datos personales
- Revisar transferencias internacionales: Evalúe sus acuerdos de transferencia internacional de datos e implemente las salvaguardas apropiadas
Mirando Hacia el Futuro
La Ley 21.719 marca un momento transformador para la protección de datos en Chile. Posiciona al país como líder regional en regulación de privacidad y señala un compromiso claro con la protección de los datos personales de los ciudadanos chilenos. Las organizaciones que inviertan en cumplimiento ahora no solo evitarán sanciones regulatorias, sino que también generarán confianza con clientes y socios en un mercado cada vez más consciente de la privacidad.
Una plataforma de cumplimiento estructurada como el Mapa de Cumplimiento ResGuard puede ayudar a las organizaciones a navegar las complejidades de la Ley 21.719, automatizar flujos de trabajo de cumplimiento y mantener una supervisión continua de su postura de protección de datos. La preparación proactiva es la clave para convertir el cambio regulatorio en una ventaja competitiva.