Agustinas 1022 OF 1004, Santiago

+569 3179 0476

contacto@gaconsultingsolutions.com

3 claves para el cumplimiento de la Ley N° 21.719 Protección de Datos Personales en Chile

Por Mariángela Gatta

18 de febrero de 2026

Chile busca llenar el vacío de su marco regulatorio en materia de seguridad de la información con la entrada en vigor de la Ley N° 21.719 en diciembre de este año. Tras la publicación de la ley durante 2024 las organizaciones disponen de un plazo de 24 meses para adecuar sus procesos y enfrentarse a un cambio de paradigma: del cumplimiento formal a la responsabilidad proactiva. Pero este lapso está por vencerse y queda poco tiempo para que las organizaciones se adecúen a la legislación. A continuación, resumimos las 3 claves para garantizar el cumplimiento:

  1. Principios y obligaciones ineludibles:

La nueva normativa no sólo amplía el catálogo de derechos ARSODBP (acceso, rectificación, supresión, oposición, decisiones individuales automatizadas, bloqueo y portabilidad), sino que impone obligaciones estructurales al responsable de datos, que es la persona o entidad que decidirá qué datos se recopilarán, con qué fin y a través de qué medios; por lo que también debe asegurarse que se implementan medidas técnicas y organizativas adecuadas para proteger dichos datos personales y demostrar el cumplimiento de la normativa. Para ello, las organizaciones deben establecer:

  • ¿Qué datos se recopilarán y para qué?
  • Que solo se recabe la información estrictamente necesaria. 
  • Qué aspectos de la ley atañen a la organización.

Igualmente, si en tu organización tratan datos sensibles (peso, fichas médicas, licencias médicas con diagnósticos, huellas dactilares, orientación sexual, datos biométricos, afiliación política, convicciones ideológicas/ filosóficas, creencias religiosas, entre otros) necesitarán contar con una evaluación de impacto sobre la protección de datos (DPIA). Ese documento será de gran utilidad para identificar y minimizar los riesgos en proyectos que puedan vulnerar la privacidad de las personas. Ayudará a detectar problemas, justificar decisiones y demostrar el cumplimiento con la normativa incluso antes de empezar a tratar la información. Y finalmente, si ocurre lo peor, reporta el incidente sin dilación a la Agencia de Protección de Datos Personales, para que no recibas multas por ese motivo. 

La nueva normativa exige a ciertas organizaciones la asignación de un delegado de protección de datos (DPD), un miembro del equipo de trabajo que  vela por el cumplimiento de las obligaciones del responsable de datos y actuará oficialmente frente a la Agencia de Protección de Datos Personales, razón por la que requiere contar con la educación, formación y experiencia necesarias para llevar a cabo este rol. La existencia del delegado no está sujeta a la asignación legal, sino que es posible designar uno como decisión estratégica.

2. Implementar ISO/IEC 27701 funciona como modelo de prevención

A diferencia de la Ley 19.628, la nueva Ley 21.719 incluye el Modelo de Prevención de Infracciones en su artículo 49. Se trata de un mecanismo voluntario que, de ser certificado por la Agencia, permitirá atenuar responsabilidades. Aquí es donde la norma ISO/IEC 27701, referenciada internacionalmente como el estándar de gestión de privacidad, se vuelve una aliada, puesto que extiende la gestión de seguridad de la información que conocemos gracias a ISO/IEC 27001 para incluir la gestión de la privacidad, así se alinea con los requisitos de la ley chilena, como te mostramos en este cuadro: 

  1. Cultura de privacidad y gestión de brechas

Reportar un incidente a la agencia, tema que mencionamos anteriormente, requerirá que el equipo de trabajo conozca qué es un incidente, para eso te recomendamos:

  • Capacitación continua: instruye a los colaboradores de todos los niveles, desde la recepción hasta la gerencia, sobre cómo identificar un posible incidente de seguridad.
  • Protocolo de respuesta: elabora un plan de acción probado que defina quién reporta, quién evalúa el riesgo y cómo se comunica la brecha a los titulares afectados, si corresponde.
  • Transparencia proactiva: Mantén un registro actualizado de todas las vulneraciones y las medidas adoptadas para mitigarlas, esto servirá como evidencia de responsabilidad proactiva ante una eventual fiscalización.

El momento de actuar es ahora

La Ley 21.719 no es cosa de juego. Su puesta en marcha trae consigo multas de hasta 20.000 UTM por infracciones gravísimas, como el tratamiento fraudulento o la reincidencia. Sin embargo, la ley ofrece un atenuante claro: la adopción diligente de modelos de prevención. Como implementadores de ISO/IEC 27701, sabemos que la norma no solo ordena técnicamente a la organización, sino que constituye la evidencia más robusta de debida diligencia ante la Agencia de Protección de Datos Personales. No es demasiado tarde para hacerlo, pero corre, ¡el tiempo apremia! 

La última década no ha presentado un desafío regulatorio más importante que la Ley N° 21.719. Su cumplimiento va más allá de evitar multas millonarias, implica construir una relación de confianza con clientes, colaboradores y todos los involucrados en el tratamiento de datos. La privacidad se concibe como un derecho fundamental y los consumidores y usuarios preferirán a las organizaciones capaces de garantizarlo. 

Contenido relacionado

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Expertos en Modelos de Gestión
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Asistente GACS
ISO 27001 & Ciberseguridad
¡Hola! ¿En qué puedo ayudarte hoy?