La protección de datos personales se ha vuelto uno de los pilares fundamentales de la operación empresarial en Chile. A partir de la Ley 21.096, que consagra el derecho a la protección de datos personales en la Constitución, y de la Ley 21.719, que regula el tratamiento de esta información, toda empresa u organización que use datos de personas naturales —empleados, clientes, proveedores, suscriptores— asume obligaciones claras y sanciones mucho más severas en caso de incumplimiento.
Este artículo explica qué son estos marcos legales, qué obligaciones concretas le imponen a las empresas y cómo deben organizarse para cumplirlas de forma proactiva y sostenible.
Marco legal básico: de la Constitución a la Ley 21.719
La protección de los datos personales ya no es solo una norma sectorial; hoy es un derecho fundamental reconocido en la Constitución Política de la República, incorporado por la Ley 21.096. Esta ley modifica el artículo 19 y establece que toda persona tiene derecho a controlar, disponer y decidir sobre sus datos, protegiendo su vida privada y su honra.
Sobre ese piso constitucional se construye la Ley 21.719, publicada en 2024, que regula la forma y condiciones en que se realiza el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales, una autoridad de control independiente. Su entrada en plena vigencia está fijada para el 1 de diciembre de 2026, lo que impone a empresas y organizaciones un plazo para adecuar sus procesos, sistemas y políticas.
¿Qué son datos personales y qué tipos existen?
Para entender las obligaciones, primero es clave saber qué se entiende por “dato personal” y cómo se clasifican según la normativa chilena.
- Datos personales: información que permite identificar a una persona o que, en combinación con otros datos, haga posible esa identificación (por ejemplo, RUT, nombre completo, dirección, número de contacto, correo, datos laborales, historial de compras, registros de acceso, etc.).
- Datos sensibles: categoría de especial protección que incluye datos sobre salud, creencias religiosas o filosóficas, orientación sexual, vida sexual, opiniones políticas, origen étnico, datos biométricos o de geolocalización precisa, entre otros.
El tratamiento de datos sensibles exige requisitos adicionales, especialmente en materia de consentimiento, seguridad y limitación de finalidades, lo que impone un mayor nivel de cuidado para empresas que manejan información médica, financiera o de carácter íntimo.
Principios que rigen el tratamiento de datos en Chile
La Ley 21.719 consolida una serie de principios inspirados en estándares internacionales como el GDPR, que guían cómo las empresas deben diseñar sus procesos de tratamiento. Entre los más relevantes para empresas:
- Licitud y lealtad: los datos deben tratarse de manera justa, con una base jurídica válida (consentimiento, ejecución de un contrato, cumplimiento de obligaciones legales, etc.).
- Finalidad: los datos deben recogerse para fines específicos, conocidos por el titular, y no pueden usarse para otros fines sin nueva base jurídica.
- Minimización: solo deben recogerse los datos que sean estrictamente necesarios para el fin declarado.
- Calidad: los datos deben ser veraces, actualizados y completos, y las empresas tienen el deber de corregirlos ante errores obvios.
- Seguridad: se exige la adopción de medidas técnicas y organizativas adecuadas para evitar accesos no autorizados, pérdida, modificación o destrucción de datos.
- Transparencia: el titular debe ser informado con claridad sobre quién trata sus datos, para qué, por cuánto tiempo y cómo puede ejercer sus derechos.
Estos principios deben plasmarse en políticas internas, manuales de procedimientos, contratos con proveedores y sistemas tecnológicos, no solo en documentos de “cumplimiento fantasma”.
Obligaciones concretas para empresas y organizaciones
La Ley 21.719 impone a las empresas —llamadas legalmente “responsables del tratamiento”— un conjunto de obligaciones proactivas, no solo reactivas. Entre las más relevantes:
- Identificar y documentar las actividades de tratamiento
Realizar un inventario de bases de datos, procesos, sistemas y proveedores que manipulan datos personales, así como la base jurídica, finalidad, plazo de conservación y destinatarios. Esto suele llamarse “registro de actividades de tratamiento” y es clave para demostrar ante la Agencia que la organización cumple con la norma. - Informar al titular y obtener bases jurídicas válidas
Diseñar avisos de privacidad claros, en lenguaje simple, que indiquen qué datos se recogen, para qué se usan, con quién se comparten, los plazos de conservación y los derechos del titular.
En el caso de consentimiento, este debe ser informato, expreso, gratuito, específico y revocable, especialmente para datos sensibles o usos especialmente sensibles. - Implementar un sistema para el ejercicio de derechos de los titulares
Las empresas deben disponer de canales fáciles (web, email, WhatsApp, oficinas, etc.) para que las personas puedan:- Acceder a sus datos.
- Rectificar o actualizar información.
- Suprimir datos cuando no exista una base jurídica válida.
- Oponerse a ciertos tratamientos.
- Solicitar portabilidad de datos.
- Solicitar bloqueo temporal de tratamiento durante reclamaciones.
- Asegurar la seguridad y gestionar incidentes de datos
Implementar medidas de seguridad (encriptación, controles de acceso, auditorías, backups, etc.) y contar con un protocolo de gestión de incidentes, incluyendo la obligación de informar a la Agencia de Protección de Datos y, en ciertos casos, a los titulares cuando una brecha pueda afectar graves sus derechos. - Llevar la documentación lista para la fiscalización
La empresa debe poder demostrar en cualquier momento el cumplimiento de la ley, lo que implica mantener registros de auditoría, políticas, capacitaciones, decisiones de diseño (por ejemplo, Evaluaciones de Impacto en la Protección de Datos, DPIA) y contratos con proveedores. - Nombrar a un Delegado de Protección de Datos en ciertos casos
En situaciones de alto riesgo o gran volumen de tratamiento, la ley permite o exige la designación de un Delegado de Protección de Datos que coordine el cumplimiento y actúe como punto de contacto con titulares y con la Agencia.
Régimen sancionatorio: qué se juega una empresa
Uno de los cambios más impactantes de la Ley 21.719 es el régimen de sanciones, que eleva significativamente las consecuencias de no cumplir.
- Agencia de Protección de Datos Personales como órgano fiscalizador, que puede investigar, requerir documentación y aplicar sanciones a empresas que incumplan la norma.
- Multas escalonadas: las sanciones pueden alcanzar miles de UTM, con un tope anual relacionado con los ingresos de la empresa, emulando ciertos estándares del GDPR.
- Daño reputacional: una notificación pública de infracción, la obligación de notificar a los titulares afectados por una brecha y la posibilidad de demandas individuales o colectivas generan un impacto reputacional duradero.
- Limitación de operaciones: en casos graves, se pueden imponer medidas provisionales de suspensión o limitación de ciertos tratamientos de datos, lo que afecta directamente la operación comercial.
En este contexto, dejar la protección de datos como un tema “técnico de IT” sin supervisión de gerencia o directorio aumenta el riesgo de sanciones y de pérdida de confianza de clientes.
Buenas prácticas para empresas chilenas
Para que el cumplimiento sea efectivo y no solo formal, las empresas deben integrar la protección de datos en su cultura y en su gobernanza.
- Crear un programa de privacidad integral: que incluya política de privacidad, aviso de tratamiento, manual de procedimientos, matriz de bases de datos, EIPD, protocolos de respuesta a derechos y gestión de incidentes.
- Capacitar a todos los colaboradores: desde RR.HH. hasta ventas, marketing y soporte, deben entender qué datos recolectan, por qué lo hacen y qué no pueden hacer con ellos.
- Automatizar procesos críticos: usar herramientas de consentimiento, canales de ejercicio de derechos, registros de auditoría y paneles de gestión de riesgos para reducir errores y agilizar procesos.
- Revisar constamente la cadena de proveedores: contratos con encargados de tratamiento (plataformas, outsourcing, proveedores de nube) deben reflejar claramente las obligaciones de seguridad y cumplimiento, y estar actualizados.
Conclusión: la protección de datos como herramienta de confianza y competitividad
En 2026, la protección de datos personales en Chile ya no es un “cumplimiento más” para la empresa; es una condición para operar, vender y contratar. La Ley 21.719, apoyada en la Ley 21.096, exige que las organizaciones diseñen sistemas sólidos, transparentes y responsables para manejar la información de personas naturales.
Para muchas empresas, este nuevo marco legal será una oportunidad para reforzar la confianza con clientes, colaboradores y autoridades, diferenciándose de aquellas que tratan la privacidad como un tema marginal. La protección de datos, entonces, deja de ser solo un riesgo de sanción y se convierte en un activo estratégico de reputación y de continuidad de negocio.