Resumen Ley de Proteccion De Datos

Ley 21.719 — Protección de Datos Personales (Chile)

Resumen ejecutivo y técnico

1. Objeto y ámbito

Regula el tratamiento y la protección de los datos personales de personas naturales. Se aplica a responsables establecidos en Chile, a encargados que traten por cuenta de responsables chilenos y a tratamientos dirigidos a personas ubicadas en Chile (oferta de bienes/servicios o monitoreo de comportamiento). Excluye usos personales y ciertas actividades periodísticas.

2. Definiciones clave

Dato personal: información sobre persona natural identificada o identificable.
Responsable del tratamiento: decide fines y medios del tratamiento.
Encargado del tratamiento: trata datos por cuenta del responsable.
Anonimización: proceso irreversible que impide la reidentificación.
Seudonimización: separación de identificadores con salvaguardas.

3. Principios

Licitud y lealtad: tratamiento conforme a derecho y buena fe.
Finalidad: fines específicos, explícitos y legítimos.
Proporcionalidad y minimización: solo lo necesario y pertinente.
Transparencia e información: deber de informar al titular.
Seguridad y confidencialidad: medidas técnicas/organizativas adecuadas.
Responsabilidad proactiva: demostrar cumplimiento (accountability).

4. Derechos del titular

Los titulares de datos personales tienen los siguientes derechos fundamentales, conocidos por el acrónimo ARSOP:

Acceso: conocer si sus datos están siendo tratados, acceder a su contenido y obtener información sobre su origen, finalidad y destinatarios.
Rectificación: corregir datos personales inexactos, incompletos o desactualizados.
Supresión: solicitar la eliminación de datos cuando ya no sean necesarios para la finalidad con que fueron recolectados o cuando se retire el consentimiento.
Oposición: negarse al tratamiento de los datos en casos justificados, por ejemplo, cuando el tratamiento se base en intereses legítimos no prevalentes o sea incompatible con la finalidad original.
Portabilidad: recibir una copia de sus datos en formato estructurado, de uso común y lectura automática para transmitirlos a otro responsable.
Bloqueo temporal: mientras se resuelve una solicitud, puede suspenderse el tratamiento de los datos.

Los responsables deben ofrecer canales claros y trazables para el ejercicio de estos derechos, como formularios autenticados, tickets o direcciones de contacto dedicadas.

5. Obligaciones del responsable

Base de licitud: consentimiento libre, informado, específico e inequívoco, u otras bases (obligación legal, contrato, protección de vida, interés legítimo, etc.).
Gestión de consentimientos y posibilidad de revocación.
Medidas de seguridad proporcionales al riesgo.
Notificación de vulneraciones a la autoridad y, cuando corresponda, a titulares.
Evaluaciones de Impacto para tratamientos de alto riesgo.
Registro de actividades y programas de cumplimiento (DPO/delegado recomendado).

6. Datos sensibles y especiales

Incluye, entre otros, salud, biometría, convicciones, vida sexual y datos de niñas, niños y adolescentes. Requieren salvaguardas reforzadas y, por regla general, consentimiento expreso, salvo excepciones legales.

7. Transferencias internacionales

Permitidas con garantías adecuadas (decisiones de adecuación, cláusulas contractuales, normas corporativas, etc.). Verificar ubicación y subencargados en servicios de nube.

8. Autoridad de control

Se crea la Agencia de Protección de Datos Personales con facultades de fiscalización, instrucciones y sanción. Gestiona reclamos, guías y listas de países adecuados.

9. Infracciones y sanciones

La Ley 21.719 establece un régimen sancionatorio especial, con potestades de fiscalización y sanción a cargo de la Agencia de Protección de Datos Personales. Las infracciones se clasifican y se sancionan atendiendo a su gravedad y a criterios de graduación.

9.1 Clasificación de infracciones

Leves: Incumplimientos formales o de bajo impacto, por ejemplo, deficiencias menores en los deberes de información o en los registros internos de tratamiento, sin afectación significativa para los titulares.
Graves: Incumplimientos que afectan derechos o principios del tratamiento (p. ej., falta de base de licitud en tratamientos no sensibles; deficiencias relevantes de seguridad; incumplimiento de plazos en el ejercicio de derechos).
Gravísimas: Conductas que comprometen severamente los derechos de los titulares (p. ej., tratamiento de datos sensibles sin habilitación legal; incumplimientos sistemáticos de medidas de seguridad; comercialización ilícita de datos; desatención reiterada de órdenes de la autoridad).

9.2 Criterios de graduación

Grado de afectación a los titulares (volumen de datos, naturaleza —si son sensibles— y duración del incumplimiento).
Beneficio obtenido por el infractor y perjuicio causado.
Conducta previa: reincidencia o historial de cumplimiento.
Medidas de mitigación adoptadas oportunamente (contención del incidente, notificación, reparación).
Cooperación con la autoridad y transparencia durante la investigación.

9.3 Atenuantes y agravantes

Atenuantes

Implementación de programas de cumplimiento efectivos (políticas, controles, capacitación, privacy by design).
Existencia de delegado de protección de datos (DPO) o responsable designado con atribuciones reales.
Corrección voluntaria, pronta y completa de las deficiencias detectadas.
Cooperación sustantiva con la Agencia y comunicación temprana a titulares afectados.

Agravantes

Reincidencia o incumplimientos sistemáticos.
Obtención de un beneficio económico relevante mediante la infracción.
Afectación masiva o exposición de datos sensibles.
Obstaculización de la fiscalización o desobediencia de órdenes de la Agencia.

9.4 Medidas y sanciones

Órdenes correctivas (adecuación de procesos, suspensión de tratamientos, implementación de controles).
Multas proporcionales a la gravedad, graduadas según los criterios señalados.
Publicidad de la resolución sancionatoria en casos calificados.
Medidas preventivas y planes de mejora supervisados por la Agencia.

9.5 Procedimiento

Inicio: por denuncia, reclamo de titulares, reporte de incidente o actuación de oficio.
Fiscalización: requerimientos de información, inspecciones y medidas provisorias cuando existan riesgos altos.
Descargos y presentación de antecedentes por el investigado.
Resolución: determinación de hechos, calificación jurídica y sanción/medidas.
Recursos administrativos y judiciales conforme a la normativa aplicable.

9.6 Responsabilidad civil y otras consecuencias

Indemnización de perjuicios a los titulares cuando corresponda.
Posibles obligaciones contractuales frente a clientes/proveedores (incluyendo subencargados).
Impactos reputacionales y exigencias de debida diligencia por parte de terceros (auditorías, cláusulas reforzadas).

Recomendación práctica: documentar un Programa de Cumplimiento (política, inventario de tratamientos, análisis de riesgos, EIPD/PIA, gestión de incidentes, capacitación y auditorías) y designar un responsable claro para la gobernanza de datos.

10. Vigencia y transición

Publicación	13/12/2024
Entrada en vigor	01/12/2026
Transición	24 meses

Durante la transición sigue rigiendo la Ley 19.628 en lo no modificado.

11. Puntos técnicos (TI / RR.HH.)

Arquitectura: minimización, seudonimización, cifrado en tránsito y reposo.
Gobierno de datos: inventario de datos, retención y borrado seguro, registro de actividades.
Gestión de derechos: autoservicio para ARSOP y portabilidad; trazabilidad de solicitudes.
Nube y terceros: due diligence, cláusulas de transferencia, subencargados y localización.
Incidentes: detección, respuesta, notificación y mejora continua.
RR.HH. / Remuneraciones: bases de licitud por contrato, confidencialidad reforzada.

Notas

Este material es informativo y no constituye asesoría legal. Para textos oficiales, revisar el Diario Oficial y la Biblioteca del Congreso Nacional.