Agencia de Protección de Datos Personales: Qué es y cómo te afecta
Chile tendrá su primera Agencia de Protección de Datos Personales autónoma. Conoce sus funciones, poderes de fiscalización, proceso de denuncias y cómo prepararte para sus inspecciones.
Equipo StrixSoft
Especialistas en Software, IA y Ciberseguridad
Una de las transformaciones más importantes que trae la Ley 21.719 es la creación de la Agencia de Protección de Datos Personales (APDP), la primera autoridad dedicada exclusivamente a fiscalizar el cumplimiento de la normativa de datos personales en Chile. Hasta ahora, Chile era uno de los pocos países de la OCDE sin un organismo especializado en esta materia. La Agencia cambia radicalmente el escenario: las empresas ya no solo enfrentan una ley, sino una entidad con poder real para investigar, sancionar y obligar al cumplimiento.
¿Qué es la Agencia de Protección de Datos Personales?
La APDP es una corporación autónoma de derecho público, con personalidad jurídica y patrimonio propio, especializada técnicamente y descentralizada. Esto significa que actúa con independencia funcional — no recibe instrucciones del gobierno sobre cómo investigar o sancionar casos específicos.
Dependencia administrativa: Se relaciona con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo.
Gobierno interno: Un Consejo Directivo compuesto por tres consejeros designados por el Presidente y ratificados por el Senado. Los consejeros tienen dedicación exclusiva y duración de seis años en el cargo, renovables por una sola vez.
Inicio de operaciones: Se espera que la Agencia comience a operar durante el segundo semestre de 2026, con la designación de consejeros prevista dentro de los 60 días posteriores a la publicación de la ley.
Funciones principales de la Agencia
Fiscalización y supervisión
La Agencia tiene la facultad de iniciar procedimientos de investigación de oficio (por iniciativa propia) o a petición de parte (por denuncia de un titular). Puede requerir información a cualquier organización, acceder a sus instalaciones y sistemas, y examinar documentación relacionada con el tratamiento de datos personales.
Potestad normativa
Puede dictar instrucciones de carácter general obligatorio que interpreten y desarrollen las disposiciones de la ley. También emitirá cláusulas contractuales tipo para transferencias internacionales, guías sobre evaluaciones de impacto, estándares para programas de cumplimiento y directrices sobre materias específicas.
Potestad sancionatoria
Es la entidad que aplica las sanciones establecidas en la ley: multas de hasta 20.000 UTM, suspensión de actividades de tratamiento, órdenes de eliminación de datos y registro en el Registro Nacional de Sanciones y Cumplimiento.
Registro Nacional de Sanciones y Cumplimiento
La Agencia administra este registro público donde se inscriben: las sanciones aplicadas a responsables de datos (por 5 años), los modelos de prevención de infracciones certificados y las resoluciones relevantes. Cualquier persona puede consultar este registro para verificar el historial de cumplimiento de una organización.
Certificación de MPI
La Agencia certifica los Modelos de Prevención de Infracciones presentados por las empresas, verificando que cumplan los requisitos legales y que estén efectivamente implementados.
Cooperación internacional
Actúa como punto central de contacto para la cooperación judicial internacional en materia de protección de datos. Además, determina qué países tienen niveles adecuados de protección para efectos de transferencias internacionales de datos.
El proceso de denuncia ante la Agencia
¿Quién puede denunciar?
Cualquier titular de datos personales que considere que sus derechos han sido vulnerados puede presentar una denuncia ante la Agencia. No se requiere abogado ni representación legal.
Paso 1: Reclamación previa al responsable
Antes de acudir a la Agencia, el titular debe ejercer sus derechos directamente ante el responsable de datos (la empresa). Si la empresa no responde dentro del plazo legal, responde de forma insatisfactoria o deniega la solicitud sin fundamento, el titular puede entonces escalar a la Agencia.
Paso 2: Presentación de la denuncia
La denuncia se presenta ante la Agencia indicando los hechos, el derecho vulnerado, las gestiones previas realizadas ante el responsable y la prueba disponible.
Paso 3: Investigación
La Agencia notifica al responsable denunciado, quien tiene un plazo para presentar sus descargos y pruebas. La Agencia puede solicitar información adicional, realizar inspecciones y requerir la colaboración de otros organismos.
Paso 4: Resolución
La Agencia emite una resolución fundada que puede: acoger la denuncia y ordenar medidas correctivas, aplicar sanciones, o rechazar la denuncia si no se acredita la infracción. La resolución es recurrible ante los tribunales de justicia.
Procedimientos de fiscalización de oficio
La Agencia no solo actúa por denuncia. Puede iniciar procedimientos de investigación por iniciativa propia cuando detecte indicios de incumplimiento. Los escenarios más probables incluyen:
- Brechas de seguridad reportadas en medios de comunicación o notificadas por la propia empresa
- Denuncias colectivas o patrones de quejas contra una misma organización
- Investigaciones sectoriales dirigidas a evaluar el cumplimiento en industrias específicas (financiera, salud, telecomunicaciones, retail)
- Monitoreo digital de políticas de privacidad, banners de cookies y prácticas de recopilación de datos en sitios web y aplicaciones
Cómo prepararse para una fiscalización
Documentación que debes tener lista
- Registro de actividades de tratamiento: Un inventario completo de todos los tratamientos de datos personales que realiza tu empresa, incluyendo finalidades, categorías de datos, destinatarios y plazos de conservación
- Bases de licitud documentadas: Para cada tratamiento, la justificación legal (consentimiento, contrato, obligación legal, interés legítimo, etc.) con la evidencia correspondiente
- Políticas de privacidad vigentes: Actualizadas conforme a los requisitos de la ley y publicadas de forma accesible
- Contratos con encargados de tratamiento: Acuerdos actualizados con todos los proveedores que procesan datos personales por cuenta de tu empresa
- Registros de solicitudes de derechos: Historial de solicitudes recibidas, tiempos de respuesta y resoluciones adoptadas
- Evaluaciones de impacto: EIPD realizadas para tratamientos de alto riesgo
- Evidencia de medidas de seguridad: Informes de pentesting, auditorías de seguridad, certificaciones y políticas de seguridad de la información
- Registros de capacitación: Evidencia de que el personal ha sido formado en protección de datos
Cultura organizacional de cumplimiento
Más allá de los documentos, la Agencia evaluará si existe una cultura real de protección de datos en tu organización. Esto se evidencia en el conocimiento del personal sobre sus obligaciones, la existencia de procesos efectivos (no solo en papel) y la capacidad de responder a incidentes de forma oportuna.
Comparación con autoridades de otros países
| Aspecto | APDP (Chile) | AEPD (España) | ANPD (Brasil) |
|---|---|---|---|
| Tipo | Autónoma, derecho público | Autoridad independiente | Autarquía vinculada a Presidencia |
| Multa máxima | 20.000 UTM (~€1.3M) | €20 millones o 4% ingresos | R$50 millones (~€9M) |
| Inicio operaciones | 2026 | 1993 | 2020 |
| DPO obligatorio | Solo para MPI | Sí (ciertos casos) | Sí (ciertos casos) |
| Registro sanciones | Sí (5 años) | Sí | No |
Recomendaciones finales
La creación de la APDP marca un antes y un después en la protección de datos en Chile. Las empresas que se prepararon antes de la entrada en vigencia de la ley tendrán una ventaja clara frente a aquellas que reaccionen solo cuando llegue la primera fiscalización.
- No esperes a diciembre de 2026: La Agencia puede iniciar actividades preliminares y de difusión antes de la plena vigencia
- Documenta todo: La capacidad de demostrar cumplimiento es tan importante como el cumplimiento mismo
- Prioriza las brechas más visibles: Políticas de privacidad desactualizadas, formularios sin consentimiento válido y falta de respuesta a solicitudes de titulares serán los primeros puntos de revisión
- Invierte en seguridad: Los informes de pentesting y las medidas técnicas son la evidencia más sólida de diligencia ante la Agencia
En StrixSoft combinamos ciberseguridad y compliance para que tu empresa enfrente la fiscalización de la APDP con confianza. Desde pentesting profesional hasta consultoría en cumplimiento de la Ley 21.719, te ayudamos a construir una postura de protección de datos sólida y demostrable. Agenda una evaluación sin costo.