Skip to main content
Nueva Ley de Protección de Datos Personales en Chile: qué es, por qué es clave y cómo deben prepararse las empresas
Noticias

Nueva Ley de Protección de Datos Personales en Chile: qué es, por qué es clave y cómo deben prepararse las empresas

By 18 de junio de 2026No Comments

Guía para empresas frente a la Ley N° 21.719

La protección de datos personales se ha convertido en un tema central para las empresas en Chile. La entrada en vigencia de la Ley N° 21.719 marcará un cambio relevante en la forma en que las organizaciones recopilan, almacenan, utilizan, comparten y resguardan información de personas naturales.

Esta nueva normativa moderniza el marco legal chileno en materia de protección de datos personales, eleva los estándares de cumplimiento y crea una nueva institucionalidad fiscalizadora: la Agencia de Protección de Datos Personales.

En la práctica, la ley exigirá a las empresas contar con mayor orden, trazabilidad y control sobre los datos personales que tratan. Esto no se limita a información de clientes. También incluye datos de trabajadores, proveedores, postulantes, contactos comerciales, usuarios de plataformas digitales y cualquier otra persona natural cuyos datos sean tratados por la organización.

Prepararse con anticipación será clave para reducir riesgos legales, prevenir sanciones y fortalecer la confianza con clientes, trabajadores y terceros.

¿Qué es la Ley N° 21.719 de Protección de Datos Personales?

La Ley N° 21.719 regula la protección y el tratamiento de los datos personales en Chile. Su objetivo es establecer reglas claras sobre la forma en que las personas naturales, empresas, instituciones públicas y organizaciones privadas pueden tratar datos personales.

En términos simples, la ley busca que las organizaciones no solo tengan datos, sino que sepan:

  • Qué datos personales tratan.
  • Para qué los utilizan.
  • Dónde se almacenan.
  • Quiénes acceden a ellos.
  • Con qué base legal se tratan.
  • Durante cuánto tiempo se conservan.
  • Con quiénes se comparten.
  • Qué medidas de seguridad se aplican para protegerlos.

La nueva ley modifica profundamente la actual Ley N° 19.628 sobre Protección de la Vida Privada, incorporando nuevos derechos para los titulares de datos, mayores obligaciones para los responsables del tratamiento y un régimen de fiscalización y sanciones más exigente.

¿Cuándo entra en vigencia la nueva Ley de Protección de Datos Personales?

La Ley N° 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entrará en vigencia el 1 de diciembre de 2026.

Este plazo tiene por finalidad permitir que empresas, organismos públicos y demás entidades que tratan datos personales puedan adecuar sus procesos internos, políticas, contratos, sistemas y mecanismos de cumplimiento antes de que la nueva normativa sea plenamente exigible.

Aunque la entrada en vigencia no es inmediata, el proceso de adecuación puede requerir tiempo, especialmente en organizaciones que manejan grandes volúmenes de información o que no cuentan con un inventario claro de sus datos personales.

¿Por qué es importante para las empresas?

La nueva ley no debe entenderse únicamente como una obligación legal. También representa un cambio en la forma en que las empresas deben gestionar la información personal dentro de sus operaciones.

Actualmente, muchas organizaciones tratan datos personales de manera dispersa, a través de distintas áreas, plataformas, planillas, sistemas comerciales, bases de recursos humanos, herramientas de marketing, proveedores externos o servicios en la nube.

Esto puede generar riesgos relevantes, especialmente cuando no existe claridad sobre el origen de los datos, la finalidad del tratamiento, los permisos de acceso, la base legal utilizada o los plazos de conservación.

Adecuarse a la nueva ley permitirá a las empresas:

  • Reducir riesgos legales y regulatorios.
  • Prevenir sanciones.
  • Ordenar sus bases de datos.
  • Mejorar la seguridad de la información.
  • Fortalecer la confianza de clientes, trabajadores y proveedores.
  • Responder adecuadamente frente a solicitudes de titulares.
  • Contar con procesos documentados y auditables.
  • Prepararse ante eventuales fiscalizaciones de la autoridad.

¿Qué se entiende por datos personales?

Los datos personales son aquellos relativos a una persona natural identificada o identificable. Esto significa que no solo se trata del nombre o RUT de una persona, sino también de cualquier información que permita identificarla directa o indirectamente.

Algunos ejemplos de datos personales son:

  • Nombre y apellido.
  • RUT o número de identificación.
  • Correo electrónico.
  • Teléfono.
  • Dirección.
  • Cargo o lugar de trabajo.
  • Firma.
  • Imagen.
  • Datos de geolocalización.
  • Información contractual.
  • Datos financieros.
  • Historial de compras.
  • Información contenida en bases de clientes, trabajadores o proveedores.

La ley también reconoce la existencia de datos personales sensibles, que requieren un estándar de protección más alto.

¿Qué son los datos personales sensibles?

Los datos personales sensibles son aquellos que se refieren a aspectos especialmente protegidos de la vida privada o intimidad de una persona.

Entre ellos se encuentran, por ejemplo:

  • Datos relativos a la salud.
  • Datos biométricos.
  • Datos relativos al perfil biológico humano.
  • Información sobre origen étnico o racial.
  • Convicciones ideológicas, filosóficas o religiosas.
  • Afiliación política, sindical o gremial.
  • Información sobre vida sexual, orientación sexual o identidad de género.
  • Situación socioeconómica.
  • Otros antecedentes que puedan afectar significativamente los derechos de una persona.

Para las empresas, este punto es especialmente relevante en áreas como recursos humanos, prevención de riesgos, beneficios laborales, sistemas de control de acceso, cámaras de seguridad, plataformas tecnológicas, salud ocupacional y gestión de trabajadores.

¿A quiénes aplica la Ley N° 21.719?

La ley aplica a personas naturales, empresas privadas, organizaciones y organismos públicos que realicen tratamiento de datos personales.

En el caso de las empresas, esto puede incluir actividades tan habituales como:

  • Crear una base de clientes.
  • Gestionar contratos.
  • Enviar comunicaciones comerciales.
  • Administrar nóminas de trabajadores.
  • Procesar postulaciones laborales.
  • Usar formularios web.
  • Operar plataformas digitales.
  • Contratar proveedores tecnológicos.
  • Almacenar información en la nube.
  • Compartir datos con empresas relacionadas o terceros.
  • Usar herramientas de CRM, marketing, facturación o gestión documental.

Por lo tanto, prácticamente toda empresa que opera en Chile trata datos personales en algún nivel y deberá revisar si sus procesos cumplen con las nuevas exigencias.

¿Qué deberán cumplir las empresas?

La nueva normativa exige que las empresas adopten un enfoque más preventivo, documentado y responsable frente al tratamiento de datos personales.

Entre las principales obligaciones que deberán considerar se encuentran:

  • Identificar los datos personales que tratan.
  • Determinar la finalidad de cada tratamiento.
  • Definir la base de legitimidad que autoriza el uso de esos datos.
  • Informar adecuadamente a los titulares.
  • Respetar los derechos de las personas.
  • Adoptar medidas de seguridad.
  • Regular la relación con proveedores que tratan datos por cuenta de la empresa.
  • Revisar transferencias nacionales e internacionales de datos.
  • Contar con políticas internas.
  • Implementar procedimientos para responder solicitudes.
  • Gestionar riesgos asociados al tratamiento de datos.
  • Documentar las decisiones y medidas adoptadas.

En la práctica, cumplir con la ley no se limita a publicar una política de privacidad en el sitio web. Las empresas deberán demostrar que cuentan con procesos internos reales, coherentes y trazables.

Principios que deberán guiar el tratamiento de datos personales

Uno de los elementos centrales de la nueva ley es que el tratamiento de datos personales deberá ajustarse a ciertos principios.

Estos principios permiten evaluar si una empresa está tratando datos de manera adecuada. Entre los más relevantes se encuentran:

  • Licitud y lealtad: los datos deben tratarse conforme a una base legal válida y de manera transparente.
  • Finalidad: los datos deben usarse para fines específicos, explícitos y lícitos.
  • Proporcionalidad: solo deben tratarse los datos necesarios para cumplir la finalidad definida.
  • Calidad: los datos deben ser exactos, completos, actuales y pertinentes.
  • Seguridad: deben adoptarse medidas técnicas y organizativas para proteger los datos.
  • Transparencia e información: los titulares deben conocer cómo y para qué se usan sus datos.
  • Responsabilidad: quien trata datos personales debe hacerse cargo del cumplimiento de la normativa.

Estos principios obligan a las empresas a revisar sus prácticas actuales y a justificar por qué tratan ciertos datos, durante cuánto tiempo y bajo qué condiciones.

¿Qué es el responsable del tratamiento de datos?

El responsable del tratamiento es la persona natural o jurídica, pública o privada, que decide sobre los fines y medios del tratamiento de los datos personales.

En el caso de una empresa, normalmente será responsable del tratamiento cuando decide qué datos recopila, para qué los utiliza, cómo los almacena y con quién los comparte.

Por ejemplo, una empresa puede ser responsable del tratamiento respecto de:

  • Datos de sus clientes.
  • Datos de sus trabajadores.
  • Datos de proveedores.
  • Datos de contactos comerciales.
  • Datos de postulantes.
  • Datos recopilados en formularios web.
  • Datos utilizados en campañas comerciales.

El responsable tiene el deber de cumplir con la ley y adoptar las medidas necesarias para proteger los derechos de los titulares.

¿Qué es un encargado del tratamiento?

El encargado del tratamiento es quien trata datos personales por cuenta del responsable.

Esto ocurre, por ejemplo, cuando una empresa contrata a un proveedor externo para prestar servicios que implican acceso o tratamiento de datos personales.

Algunos ejemplos frecuentes son:

  • Proveedores de software.
  • Plataformas de CRM.
  • Servicios de almacenamiento en la nube.
  • Empresas de remuneraciones.
  • Agencias de marketing.
  • Empresas de tecnología.
  • Proveedores de soporte informático.
  • Servicios de mailing.
  • Consultores externos con acceso a bases de datos.

La relación entre responsable y encargado debe estar regulada adecuadamente, especialmente mediante contratos o cláusulas que establezcan obligaciones de confidencialidad, seguridad, finalidad, instrucciones de tratamiento y devolución o eliminación de datos.

¿Qué derechos tendrán los titulares de datos?

La nueva ley fortalece los derechos de las personas respecto de sus datos personales.

Los titulares podrán ejercer derechos como:

  • Acceso: conocer qué datos personales tiene una organización sobre ellos.
  • Rectificación: solicitar la corrección de datos inexactos, desactualizados o incompletos.
  • Supresión o eliminación: pedir la eliminación de datos cuando corresponda.
  • Oposición: solicitar que sus datos no sean tratados en ciertos casos.
  • Portabilidad: recibir sus datos en un formato estructurado y transferible, cuando proceda.
  • Bloqueo: solicitar la suspensión temporal del tratamiento en determinadas circunstancias.

Para las empresas, esto implica contar con procedimientos internos claros para recibir, analizar y responder solicitudes de titulares dentro de los plazos y condiciones que establezca la normativa.

¿Qué información deberán tener disponible las empresas?

Las empresas deberán avanzar hacia un modelo de mayor transparencia. Esto implica informar de manera clara a los titulares sobre el tratamiento de sus datos personales.

Entre los aspectos que deben revisarse se encuentran:

  • Política de tratamiento de datos personales.
  • Identificación del responsable.
  • Finalidades del tratamiento.
  • Categorías de datos tratados.
  • Base legal del tratamiento.
  • Destinatarios o terceros a quienes se comunican los datos.
  • Derechos de los titulares.
  • Canales para ejercer derechos.
  • Medidas de seguridad.
  • Plazos de conservación.
  • Transferencias internacionales, si existen.
  • Uso de decisiones automatizadas o elaboración de perfiles, si corresponde.

Esta información debe ser clara, accesible y coherente con las prácticas reales de la empresa.

¿Qué documentos deberían preparar las empresas?

Aunque el alcance dependerá del tamaño, industria y nivel de riesgo de cada organización, en general las empresas deberían comenzar a preparar o revisar los siguientes documentos:

  • Diagnóstico de cumplimiento y brechas.
  • Inventario o catálogo de datos personales.
  • Política de tratamiento de datos personales.
  • Política de privacidad web.
  • Cláusulas de protección de datos para clientes, trabajadores y proveedores.
  • Consentimientos, cuando correspondan.
  • Procedimiento para ejercer derechos de titulares.
  • Protocolos internos de acceso y uso de datos.
  • Política de conservación y eliminación de datos.
  • Contratos o anexos con encargados de tratamiento.
  • Matriz de riesgos.
  • Procedimientos de seguridad de la información.
  • Protocolos frente a incidentes o brechas de seguridad.
  • Reglas para transferencias internacionales de datos.
  • Capacitación interna para equipos clave.

El objetivo no es generar documentos aislados, sino construir un sistema de cumplimiento que pueda aplicarse en la operación diaria.

¿Qué áreas de la empresa deberían participar?

La protección de datos personales no es solo un asunto legal o tecnológico. Requiere una mirada transversal dentro de la organización.

Las áreas que normalmente deben participar son:

  • Gerencia general.
  • Legal.
  • Recursos humanos.
  • Tecnología o informática.
  • Marketing y comunicaciones.
  • Comercial y ventas.
  • Administración y finanzas.
  • Operaciones.
  • Atención al cliente.
  • Compliance.
  • Seguridad de la información.
  • Áreas que gestionan proveedores.

Esto es especialmente importante porque muchas veces los datos personales se encuentran dispersos en distintas áreas, sistemas y bases internas.

¿Cómo puede una empresa comenzar a prepararse?

El primer paso es realizar un diagnóstico de cumplimiento. Este diagnóstico permite conocer la situación real de la empresa frente a la nueva normativa y detectar brechas antes de implementar medidas correctivas.

Un proceso inicial debería considerar:

  • Identificar qué datos personales trata la empresa.
  • Determinar en qué áreas se encuentran.
  • Revisar las bases de datos existentes.
  • Identificar quiénes acceden a la información.
  • Evaluar con qué proveedores se comparten datos.
  • Revisar contratos y cláusulas actuales.
  • Analizar si existen datos sensibles.
  • Verificar políticas de privacidad y consentimiento.
  • Revisar medidas de seguridad.
  • Identificar transferencias internacionales.
  • Evaluar riesgos y brechas de cumplimiento.
  • Definir un plan de implementación.

Este levantamiento permite ordenar la información y priorizar las acciones más relevantes según el nivel de exposición de la empresa.

Principales riesgos para las empresas

La falta de preparación frente a la nueva ley puede generar distintos riesgos legales, operativos y reputacionales.

Entre los principales riesgos se encuentran:

  • No saber qué datos personales trata la empresa.
  • Usar datos para fines distintos a los informados.
  • Mantener bases de datos desactualizadas o innecesarias.
  • No contar con una base legal válida para el tratamiento.
  • No responder adecuadamente solicitudes de titulares.
  • Compartir datos con proveedores sin regulación contractual.
  • No contar con medidas de seguridad suficientes.
  • Conservar datos por más tiempo del necesario.
  • Tratar datos sensibles sin controles adecuados.
  • Realizar transferencias internacionales sin revisar requisitos.
  • Tener políticas de privacidad genéricas o desactualizadas.
  • No contar con evidencia documental de cumplimiento.

La detección temprana de estos riesgos permite implementar medidas preventivas antes de que la ley sea plenamente exigible.

Beneficios de adecuarse a la Ley N° 21.719

La adecuación a la nueva ley no solo permite reducir riesgos. También puede generar beneficios concretos para la gestión interna y la relación con clientes, trabajadores y terceros.

Entre sus principales beneficios se encuentran:

  • Mayor orden y trazabilidad sobre la información.
  • Reducción de riesgos de sanciones.
  • Mejora en la seguridad de los datos.
  • Mayor confianza de clientes y trabajadores.
  • Mejores prácticas de gobierno corporativo.
  • Procesos internos más claros.
  • Contratos con proveedores más robustos.
  • Mayor preparación frente a fiscalizaciones.
  • Prevención de incidentes de seguridad.
  • Fortalecimiento reputacional.

En un contexto donde los datos son un activo estratégico, gestionarlos correctamente se transforma en una ventaja competitiva.

Diferencia entre política de privacidad y cumplimiento de protección de datos

Una política de privacidad es un documento importante, pero no equivale por sí sola al cumplimiento de la ley.

La política de privacidad informa a los titulares sobre ciertos aspectos del tratamiento de sus datos. Sin embargo, el cumplimiento requiere además procesos internos, controles, documentación, contratos, medidas de seguridad y mecanismos de respuesta.

En otras palabras, una empresa puede tener una política publicada en su sitio web, pero seguir expuesta si:

  • No tiene inventario de datos.
  • No conoce quién accede a las bases.
  • No regula a sus proveedores.
  • No responde solicitudes de titulares.
  • No cuenta con medidas de seguridad.
  • No documenta sus decisiones.
  • No capacita a sus equipos.
  • No tiene procedimientos internos.

Por eso, la adecuación debe abordarse como un proceso integral y no como una simple actualización documental.

¿Qué rol tendrá la Agencia de Protección de Datos Personales?

La Ley N° 21.719 crea la Agencia de Protección de Datos Personales, que será la autoridad encargada de fiscalizar el cumplimiento de la normativa y proteger los derechos de los titulares.

Esta nueva institucionalidad representa uno de los cambios más relevantes del sistema chileno, ya que permitirá contar con un organismo especializado en la materia.

La Agencia tendrá facultades para fiscalizar, interpretar la normativa en el ámbito de sus competencias y aplicar sanciones en caso de incumplimientos.

Para las empresas, esto implica que el cumplimiento de protección de datos dejará de ser un tema meramente declarativo y pasará a estar sujeto a una supervisión institucional más activa.

Preguntas frecuentes sobre la nueva Ley de Protección de Datos Personales

¿La Ley N° 21.719 aplica a todas las empresas?

Sí. En términos generales, aplica a las empresas que tratan datos personales de personas naturales. Esto incluye datos de clientes, trabajadores, proveedores, postulantes, usuarios, contactos comerciales y otros terceros.

¿Cuándo entra en vigencia la nueva ley?

La Ley N° 21.719 entra en vigencia el 1 de diciembre de 2026.

¿Basta con actualizar la política de privacidad?

No. La política de privacidad es solo una parte del cumplimiento. Las empresas también deben revisar procesos internos, contratos, medidas de seguridad, bases legales, derechos de titulares, proveedores, conservación de datos y documentación de cumplimiento.

¿Qué empresas tienen mayor exposición?

Tienen mayor exposición aquellas que tratan grandes volúmenes de datos, datos sensibles, información de trabajadores, bases de clientes, datos financieros, datos de salud, información biométrica, plataformas digitales o datos compartidos con múltiples proveedores.

¿Qué debe hacer una empresa primero?

El primer paso recomendable es realizar un diagnóstico de cumplimiento para identificar qué datos trata la empresa, dónde están, quién accede a ellos, con qué finalidad se utilizan y qué brechas existen frente a la nueva ley.

¿Qué pasa si una empresa no cumple?

El incumplimiento puede generar riesgos de fiscalización, sanciones, reclamos de titulares, contingencias contractuales, pérdida de confianza y afectación reputacional.

¿Es necesario capacitar a los equipos internos?

Sí. La protección de datos requiere que las áreas que recopilan, usan o comparten información personal conozcan sus responsabilidades y apliquen criterios adecuados en la operación diaria.

Conclusión

La nueva Ley N° 21.719 marca un cambio profundo en la forma en que las empresas en Chile deberán gestionar los datos personales.

El cumplimiento no se limita a contar con documentos formales, sino que exige orden, trazabilidad, seguridad, transparencia y capacidad real de respuesta frente a los derechos de los titulares.

Para las empresas, prepararse con anticipación permitirá reducir riesgos legales, evitar contingencias futuras y fortalecer la confianza con clientes, trabajadores y terceros.

¿Necesitas apoyo para adecuar tu empresa a la nueva Ley de Protección de Datos Personales?

En Araya & Cía. Abogados apoyamos a empresas en el diagnóstico, diseño e implementación de medidas legales para el cumplimiento de la Ley N° 21.719 sobre Protección de Datos Personales.

Nuestro enfoque permite identificar brechas, ordenar procesos internos, revisar documentos y contratos, y definir un plan de adecuación práctico según la realidad de cada empresa.

Si tu organización recopila, almacena, utiliza o comparte datos personales, este es el momento de prepararse.

Close Menu