Pymes chilenas

Ley De Protección De Datos Personales En Chile: Impacto Y Obligaciones Para Las Empresas

La publicación de la Ley N° 21.719 en diciembre de 2024 marca un antes y un después en la gestión de datos personales en Chile. Esta ley no solo otorga nuevos derechos a los titulares de datos, sino que también impone obligaciones significativas para las empresas, afectando sus operaciones y requiriendo adaptaciones importantes en sus políticas y prácticas. Este artículo busca guiar a las empresas a entender los principales cambios y cómo prepararse para cumplir con la nueva normativa.

¿A quiénes afecta esta ley?

La ley se aplica a toda persona natural o jurídica, incluyendo órganos públicos, que realice tratamiento de datos personales en Chile. Esto significa que si su empresa recolecta, almacena, utiliza o comparte datos personales de individuos que se encuentran en el país, esta ley le concierne, sin importar dónde esté establecida su empresa. Incluso si su empresa no está establecida en Chile, pero sus operaciones de tratamiento de datos están destinadas a ofrecer bienes o servicios a personas en Chile, o monitorear su comportamiento, la ley aplica.

Principios fundamentales que debe conocer

La ley se basa en una serie de principios que deben guiar el tratamiento de datos personales en su empresa:

• Licitud: El tratamiento de datos debe tener una base legal, como el consentimiento del titular o una obligación legal.
• Finalidad: Los datos deben ser recolectados para fines específicos, explícitos y legítimos, no para fines genéricos o indeterminados.
• Proporcionalidad: Solo se deben tratar los datos estrictamente necesarios para la finalidad declarada.
• Calidad: Los datos deben ser exactos, completos, actuales y pertinentes.
• Seguridad: Deben implementarse medidas de seguridad para proteger los datos de accesos no autorizados, alteraciones, pérdidas o destrucciones.
• Transparencia: Se debe informar claramente a los titulares sobre cómo se tratan sus datos.
• Confidencialidad: Se debe garantizar el secreto de los datos, incluso después de finalizar la relación con el titular.
• Responsabilidad: Quienes traten datos son responsables del cumplimiento de los principios y obligaciones de la ley.

Derechos clave de los titulares de datos

Sus clientes, empleados y cualquier persona cuyos datos trate su empresa tienen los siguientes derechos que debe respetar:

• Acceso: A solicitar y obtener confirmación sobre si su empresa está tratando sus datos personales y acceder a ellos.
• Rectificación: A solicitar la corrección de datos inexactos, incompletos o desactualizados.
• Supresión: A solicitar la eliminación de datos en ciertos casos.
• Oposición: A oponerse al tratamiento de datos en ciertas situaciones.
• Portabilidad: A recibir una copia de sus datos en un formato electrónico común para entregárselos a otro responsable.
• Bloqueo: A solicitar la suspensión temporal del tratamiento de datos mientras se resuelve una solicitud de rectificación, supresión u oposición.

El rol del consentimiento y otras bases para el tratamiento de datos

El consentimiento del titular es una de las principales bases para el tratamiento de datos personales. Este debe ser libre, informado, específico, previo e inequívoco. Sin embargo, existen otras bases legales que permiten tratar datos sin consentimiento, como el cumplimiento de una obligación legal, la ejecución de un contrato o el interés legítimo del responsable, siempre que no afecten los derechos y libertades del titular. Su empresa debe evaluar cuidadosamente la base legal para cada tratamiento de datos que realice.

Obligaciones y deberes específicos para su empresa

La ley impone una serie de obligaciones que su empresa debe cumplir:

• Informar a los titulares: Sobre la existencia del tratamiento, sus finalidades, los destinatarios de los datos, sus derechos y cómo ejercerlos. Debe mantener esta información accesible al público, por ejemplo en su sitio web.
• Obtener el consentimiento: Cuando sea necesario, y asegurarse de que éste sea válido.
• Garantizar la seguridad: Implementando medidas técnicas y organizativas para proteger los datos de riesgos como accesos no autorizados.
• Mantener el deber de secreto: Asegurándose que sus empleados y terceros que traten datos bajo su responsabilidad mantengan la confidencialidad.
• Designar un delegado de protección de datos: Aunque no es obligatorio, puede ser recomendable, especialmente para empresas que tratan grandes volúmenes de datos.
• Realizar evaluaciones de impacto: En ciertos casos, especialmente si realiza tratamientos de datos que impliquen un alto riesgo para los derechos de los titulares, como la elaboración de perfiles o el tratamiento masivo de datos.
• Reportar las vulneraciones de seguridad: A la Agencia y a los titulares afectados, especialmente si se trata de datos personales sensibles.
• Adaptar sus contratos con terceros: Asegurándose de que los terceros que traten datos bajo su responsabilidad también cumplan con la ley.
• Facilitar el ejercicio de derechos: Estableciendo procedimientos claros y accesibles para que los titulares puedan ejercer sus derechos.

Transferencias internacionales de datos

Si su empresa transfiere datos a otros países, debe asegurarse de que el país receptor tenga un nivel adecuado de protección de datos o de que existan garantías adecuadas para la transferencia, como cláusulas contractuales estándar aprobadas por la Agencia.

La Agencia de Protección de Datos Personales y sus facultades

La ley crea la Agencia de Protección de Datos Personales, un organismo autónomo con amplias facultades para fiscalizar el cumplimiento de la ley, dictar instrucciones, recibir reclamos y sancionar a quienes la infrinjan. La Agencia podrá requerir información a su empresa, investigar infracciones y aplicar multas. También administrará un Registro Nacional de Sanciones y Cumplimiento, donde se publicarán las sanciones impuestas.

Sanciones por incumplimiento

El incumplimiento de la ley puede acarrear sanciones importantes para su empresa, que incluyen:

• Multas que pueden llegar hasta un 4% de los ingresos anuales por ventas y servicios.
• La suspensión de las operaciones de tratamiento de datos.
• La obligación de indemnizar los daños causados a los titulares de datos.
• Sanciones accesorias.

Recomendaciones

Para cumplir con la nueva ley, los directores de empresa deben tomar las siguientes acciones:

• Designar un responsable interno: Para liderar el proceso de cumplimiento de la ley y coordinar las acciones necesarias.
• Realizar un diagnóstico: De las prácticas actuales de tratamiento de datos para identificar las brechas con la nueva ley.
• Adaptar las políticas de privacidad: A los requisitos de la nueva ley, incluyendo la información que se debe proporcionar a los titulares y los procedimientos para responder a sus solicitudes.
• Capacitar a los empleados: Sobre sus responsabilidades en el tratamiento de datos personales y las obligaciones que impone la nueva ley.
• Implementar medidas de seguridad: Técnicas y organizativas adecuadas al riesgo, incluyendo el control de acceso, la encriptación de datos y la formación del personal.
• Adaptar los contratos con terceros: A los requisitos de la ley, incluyendo cláusulas de confidencialidad y protección de datos.
• Establecer un protocolo: Para responder a las solicitudes de los titulares y gestionar las vulneraciones de seguridad.

Vigencia de la ley

Es crucial recordar que la ley entrará en vigencia en diciembre de 2026. Por lo tanto, su empresa debe comenzar a prepararse desde ahora para cumplir con la nueva normativa.

Última modificación: 07/01/2026