Cuando compras en una tienda online y te piden el RUT, el nombre y el teléfono, esos datos quedan guardados en algún servidor. Cuando te suscribes al newsletter de un restaurante, tu email pasa a una base de datos. Cuando buscas trabajo y subes tu CV a un portal, tu historia laboral circula por sistemas que quizás no conoces.
Todo eso son datos personales. Y en Chile, la ley que los protege tenía 25 años de antigüedad.
El 13 de diciembre de 2024 se publicó la Ley 21.719, que moderniza completamente el marco legal. No es un ajuste menor: es una reforma estructural que crea un organismo regulador nuevo, establece derechos que antes no existían y fija multas que antes tampoco existían.
Si tienes una empresa que maneja datos de personas —aunque sea una lista de clientes en Excel— esto te aplica.
Qué es un dato personal (y por qué importa la definición)
Dato personal es cualquier información que identifique o permita identificar a una persona. Eso incluye lo obvio —nombre, RUT, email, teléfono— pero también cosas que quizás no pensabas:
- La dirección IP de tu computador
- Tu ubicación GPS
- Tu historial de compras
- Una foto tuya
- Tu número de ficha de cliente
Hay una categoría especial que la ley trata con más cuidado: los datos sensibles. Ahí entran el origen racial o étnico, la salud, la biometría, las opiniones políticas, la religión y la orientación sexual. Para estos, las reglas son más estrictas.
Qué cambia con la Ley 21.719
La ley anterior (19.628, de 1999) era básica y rara vez se aplicaba. La nueva cambia tres cosas fundamentales:
1. Nace la Agencia de Protección de Datos Personales
Chile tenía cero regulador específico para datos personales. A partir de ahora existe la Agencia de Protección de Datos Personales (APDP), un organismo autónomo con facultades para fiscalizar, investigar y multar.
Es el equivalente chileno al GDPR europeo en términos de institucionalidad.
2. Los derechos de las personas son concretos y exigibles
Como titular de tus datos, tienes derecho a:
| Derecho | Qué significa en la práctica |
|---|---|
| Acceso | Pedir a cualquier empresa qué datos tuyos tiene guardados |
| Rectificación | Corregir datos incorrectos o desactualizados |
| Cancelación / Supresión | Pedir que eliminen tus datos |
| Oposición | Negarte a que usen tus datos para ciertos fines (como marketing) |
| Portabilidad | Pedir tus datos en un formato que puedas llevar a otra empresa |
Antes estos derechos existían en el papel, pero no había a quién reclamarle si no se respetaban. Ahora hay una agencia que fiscaliza.
3. Las empresas tienen obligaciones claras
Si tu empresa recolecta o procesa datos de personas, ya no basta con tener una política de privacidad genérica. La ley exige:
Tener una base legal para procesar datos. Ya no puedes guardar datos de alguien “porque sí”. Necesitas una razón válida: consentimiento explícito, una relación contractual, una obligación legal, o un interés legítimo bien definido.
Informar antes de recolectar. Debes decirle a la persona qué datos recolectas, para qué los usas, cuánto tiempo los guardas y con quién los compartes, antes de pedírselos.
Notificar las brechas de seguridad. Si sufres un ataque o filtración de datos, tienes 72 horas para notificar a la Agencia y 5 días para avisar a las personas afectadas. Sin excepciones.
Designar un Encargado de Protección de Datos (EPD). Las organizaciones de cierto tamaño o que procesan datos en forma masiva deben tener una persona responsable de cumplimiento. Es el equivalente al Data Protection Officer (DPO) del GDPR europeo.
Las multas
Aquí está lo que cambia el cálculo para las empresas. La ley 19.628 tenía multas tan bajas que no incentivaban el cumplimiento. La nueva ley establece:
- Infracciones leves: hasta 1.000 UTM (~$75 millones CLP)
- Infracciones graves: hasta 5.000 UTM (~$375 millones CLP)
- Infracciones gravísimas: hasta 10.000 UTM (~$750 millones CLP)
Las infracciones gravísimas incluyen tratar datos sensibles sin autorización, vender bases de datos ilegalmente o reutilizar datos para fines distintos a los declarados.
El plazo: diciembre de 2026
La ley fue publicada en diciembre de 2024 y tiene un período de implementación de 24 meses. Eso significa que las empresas tienen plazo hasta diciembre de 2026 para adecuarse.
Parece holgado, pero no lo es si partes desde cero. Levantar un inventario de datos, revisar los contratos con proveedores, actualizar los formularios y políticas de privacidad, y designar un EPD toma varios meses de trabajo real.
¿Y si soy una persona natural, no una empresa?
La ley también te protege mejor. Ahora puedes:
- Pedirle a cualquier empresa que te muestre qué datos tuyos tiene
- Exigir que corrijan información equivocada (por ejemplo, una deuda pagada que sigue en su base)
- Solicitar que eliminen tu información si ya no tienen razón para conservarla
- Negarte a recibir publicidad si entregaste tus datos solo para otra cosa
Los reclamos se harán ante la Agencia de Protección de Datos Personales una vez que esté operativa.
Por dónde empezar si tienes una empresa
No necesitas contratar un equipo de abogados para dar los primeros pasos. Esto es lo más básico:
1. Haz un inventario. Responde estas preguntas: ¿Qué datos recolectas? ¿Dónde los guardas? ¿Quién tiene acceso? ¿Cuánto tiempo los conservas?
2. Revisa tus formularios. Cada formulario donde pides datos debe decirle al usuario para qué los usas. “Para mejorar tu experiencia” no es suficiente.
3. Actualiza tu política de privacidad. Si la última vez que la revisaste fue hace más de dos años, está desactualizada.
4. Revisa los contratos con proveedores. Si usas un CRM, un ERP o cualquier plataforma que procese datos de tus clientes, el proveedor debe comprometerse contractualmente a protegerlos.
5. Define quién responde. Alguien en tu organización tiene que ser el responsable de este tema. No tiene que ser un abogado, pero sí tiene que conocer la ley.
Lo que no cambia
La Ley 21.719 no prohíbe recolectar datos. Las empresas siguen pudiendo hacerlo —de hecho, es necesario para operar. Lo que cambia es el estándar de cuidado que se les exige a esos datos y la rendición de cuentas cuando algo sale mal.
La lógica de fondo es simple: los datos personales no son tuyos como empresa, son de las personas. Tú solo los tienes en depósito, con un propósito específico y por un tiempo determinado.
¿Tu sitio web cumple con los estándares de seguridad que exige la Ley 21.719? FreeScan detecta configuraciones inseguras que pueden exponer datos personales de tus usuarios — gratis y sin registro.
