Ley 21.719 Protección de Datos Chile: Guía empresas

La Ley 21.719, publicada el 13 de diciembre de 2024, regula la protección y el tratamiento de los datos personales en Chile y crea la Agencia de Protección de Datos Personales. Esta ley modifica sustancialmente la antigua Ley 19.628 y entra en vigencia el 1 de diciembre de 2026. Las empresas tienen menos de 10 meses para adecuarse.

¿Qué es la Ley 21.719?

Es la nueva ley que regula cómo las organizaciones —públicas y privadas— deben recolectar, almacenar, usar y proteger los datos personales de las personas en Chile. Se aplica a toda empresa que trate datos personales, incluyendo aquellas ubicadas fuera de Chile que ofrezcan bienes o servicios a personas en territorio nacional o que monitoreen su comportamiento (Art. 1° bis).

Dato personal se define como cualquier información vinculada a una persona natural identificada o identificable, incluyendo nombre, RUT, datos biométricos, de salud, financieros, de ubicación e incluso perfiles de comportamiento.

Los 8 principios que debes cumplir

La ley establece 8 principios rectores en su Artículo 3° que toda organización debe seguir:

1. Licitud y lealtad: Solo puedes tratar datos de manera lícita y leal. Debes poder acreditar la licitud del tratamiento.

2. Finalidad: Los datos deben ser recolectados con fines específicos, explícitos y lícitos. No puedes usarlos para fines distintos a los informados.

3. Proporcionalidad: Solo puedes tratar los datos que sean necesarios, adecuados y pertinentes para la finalidad declarada.

4. Calidad: Los datos deben ser exactos, completos y actualizados.

5. Responsabilidad: El responsable de datos es legalmente responsable del cumplimiento de todos los principios.

6. Seguridad: Debes garantizar estándares adecuados de seguridad, protegiendo los datos contra tratamiento no autorizado, pérdida o destrucción.

7. Transparencia e información: Debes informar al titular de manera precisa, clara e inequívoca sobre tus políticas y prácticas de tratamiento de datos.

8. Confidencialidad: Quienes tengan acceso a datos personales deben guardar secreto o confidencialidad, incluso después de terminada la relación con el titular.

Derechos de los titulares (ARCO+)

La ley fortalece significativamente los derechos de las personas sobre sus datos (Artículos 4° al 10°). ARCO es el acrónimo de Acceso, Rectificación, Cancelación (Supresión) y Oposición. El "+" incorpora los nuevos derechos de Portabilidad y Bloqueo:

• A — Acceso (Art. 5°): Saber qué datos tuyos tiene una empresa, su origen, finalidad y destinatarios.

• R — Rectificación (Art. 6°): Corregir datos inexactos, desactualizados o incompletos.

• C — Cancelación/Supresión (Art. 7°): Solicitar la eliminación de tus datos cuando ya no sean necesarios, revoques el consentimiento, o hayan sido obtenidos ilícitamente.

• O — Oposición (Art. 8°): Oponerte al tratamiento de tus datos para marketing o cuando se basen en interés legítimo del responsable.

• + Portabilidad (Art. 9°): Obtener una copia de tus datos en formato electrónico estructurado y transferirlos a otro responsable.

• + Bloqueo (Art. 8° ter): Suspender temporalmente el tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición.

Importante: El responsable tiene 30 días corridos para responder a cualquier solicitud, prorrogable por 30 días más. Los derechos de rectificación, supresión y oposición son gratuitos.

Consentimiento: la base del tratamiento

El consentimiento debe ser (Art. 2° literal p): libre, específico, inequívoco e informado, otorgado mediante una declaración o acción afirmativa clara. Ya no sirven las casillas pre-marcadas ni los consentimientos genéricos tipo 'al usar este sitio aceptas todo'.

Sanciones: el impacto económico real

La ley clasifica las infracciones en tres niveles (Artículos 34 bis, ter y quáter):

Para empresas no-PYME con reincidencia (Art. 35): la multa puede alcanzar hasta el 2% de los ingresos anuales por infracciones graves y hasta el 4% de los ingresos anuales por gravísimas. Esto es similar al modelo del GDPR europeo.

Sanciones accesorias (Art. 38): En caso de infracciones gravísimas reiteradas, la Agencia puede suspender las operaciones de tratamiento de datos hasta por 30 días.

Atenuantes (Art. 36): Realizar pentesting, tener un modelo de prevención certificado, colaborar con la investigación y autodenuncia son circunstancias que reducen la sanción.

Agencia de Protección de Datos Personales

Se crea un organismo autónomo con facultades para: fiscalizar el cumplimiento, investigar infracciones, aplicar sanciones, dictar instrucciones de carácter general y llevar el Registro Nacional de Sanciones y Cumplimiento (Art. 39). Este registro es público y permanece por 5 años.

Modelo de Prevención de Infracciones (Art. 49)

Las empresas pueden adoptar voluntariamente un programa de cumplimiento certificado por la Agencia. Este modelo debe incluir:

• Designación de un Delegado de Protección de Datos

• Identificación de los tipos de datos que trata y los riesgos asociados

• Protocolos y procedimientos de prevención

• Mecanismos de reporte interno y a la Agencia

• Sanciones internas por incumplimiento

Beneficio clave: Tener un modelo de prevención certificado es un atenuante de responsabilidad ante sanciones (Art. 36 numeral 5).

Delegado de Protección de Datos (Art. 50)

Cualquier empresa puede designar un Delegado con las siguientes funciones:

• Informar y asesorar al responsable sobre obligaciones legales

• Supervisar el cumplimiento de la ley y las políticas internas

• Servir de punto de contacto con la Agencia y los titulares de datos

• Desarrollar un plan anual de trabajo

• Asistir en la identificación de riesgos

En micro, pequeñas y medianas empresas, el dueño o la máxima autoridad puede asumir directamente esta función.

Requisitos técnicos para el cumplimiento

La ley exige medidas técnicas y organizativas apropiadas (principio de seguridad, Art. 3° letra f). Esto se traduce en:

Seguridad de la información

• Cifrado de datos personales en tránsito y en reposo

• Control de acceso basado en roles y principio de mínimo privilegio

• Registros de auditoría de acceso a datos personales

• Evaluaciones periódicas de seguridad (pentesting)

• Plan de respuesta ante brechas con notificación a la Agencia

Gestión de datos

• Inventario de todos los tratamientos de datos personales

• Evaluaciones de impacto para tratamientos de alto riesgo

• Políticas de retención y eliminación de datos

• Procedimientos para atender solicitudes de titulares en plazo (30 días)

• Mecanismos de consentimiento que cumplan los requisitos legales

Gobernanza

• Designación de Delegado de Protección de Datos

• Modelo de prevención de infracciones documentado

• Capacitación del personal que trata datos personales

• Contratos con terceros mandatarios que procesen datos en tu nombre

¿Cómo ayuda el ethical hacking al cumplimiento?

Las pruebas de penetración son una herramienta directamente relevante para la Ley 21.719:

Es un atenuante legal ante sanciones: El Artículo 36 numeral 5 establece que haber cumplido diligentemente los deberes de dirección y supervisión para la protección de datos, verificado con certificación, es un atenuante. Un pentesting periódico documenta esta diligencia.

Identifican las rutas de ataque a datos personales: Un pentesting revela exactamente cómo un atacante podría acceder a los datos personales en tus sistemas, permitiendo corregir antes de una brecha real.

Validan que tus medidas de seguridad funcionan: El principio de seguridad (Art. 3° letra f) exige estándares adecuados. El pentesting es la forma más efectiva de demostrar que tus controles son reales, no solo documentales.

Priorizan inversiones: Los resultados permiten enfocar recursos en las vulnerabilidades de mayor riesgo para los datos personales que almacenas.

Plazos clave

Plan de acción: 8 pasos para preparar tu empresa

1. Realizar un inventario de todos los datos personales que recopilas, almacenas y procesas, identificando categorías, bases de datos y finalidades

2. Evaluar la seguridad actual de los sistemas que almacenan datos personales mediante pentesting profesional

3. Actualizar políticas de privacidad y mecanismos de consentimiento para cumplir con los nuevos requisitos (libre, específico, inequívoco e informado)

4. Implementar controles técnicos de cifrado, control de acceso y monitoreo

5. Crear procedimientos para atender solicitudes de titulares (acceso, rectificación, supresión, oposición, portabilidad) dentro de los 30 días legales

6. Designar un Delegado de Protección de Datos o definir quién asumirá esa función

7. Desarrollar un modelo de prevención de infracciones que pueda ser certificado por la Agencia

8. Capacitar al equipo en las obligaciones de la Ley 21.719 y buenas prácticas de manejo de datos personales

Cómo te ayudamos en StrixSoft

En StrixSoft combinamos nuestros servicios de ethical hacking, desarrollo de software e inteligencia artificial para ayudar a las empresas a cumplir con la Ley 21.719:

• Pentesting enfocado en datos personales: Evaluamos la seguridad de los sistemas que almacenan y procesan datos personales, identificando vulnerabilidades y rutas de ataque.

• Desarrollo de sistemas de gestión de consentimiento: Construimos herramientas a medida para gestionar consentimientos, solicitudes de titulares y registros de tratamiento.

• Automatización con IA para compliance: Implementamos soluciones de IA para clasificación automática de datos personales, detección de anomalías en acceso a datos y gestión de solicitudes de titulares.

• Consultoría en modelo de prevención: Te acompañamos en el diseño del programa de cumplimiento que exige el Artículo 49.

La Ley 21.719 entra en vigencia en diciembre de 2026. El momento de prepararse es ahora. Contacta a nuestro equipo para una evaluación inicial sin costo.