Esa enfermedad que tuviste y de la que no te gusta hablar, el partido político en el que militas, tu religión, tu orientación sexual, tu nombre completo, tu número de carnet, etc. esto y más forman parte de tu identidad, son un cúmulo de datos personales (sensibles, en algunos casos) que requieren ser conocidos únicamente por ciertas partes y que, inclusive, fuera de contexto podrían convertirte en blanco de discriminación. La Ley 21.719 Protección y Tratamiento de Datos Personales busca garantizar que tus datos estén seguros y que se respeten tus derechos. 

Publicada el 13 de diciembre de este año, la normativa chilena establece reglas destinadas a quienes manejen datos personales (responsables), inspiradas en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea . Las organizaciones contarán con 2 años para adecuarse a la ley y cumplirla, permaneciendo en periodo de transición hasta el último mes de 2026. Ese lapso permitirá a las instituciones, empresas y ciudadanos familiarizarse con el contenido de la ley, adaptarse a sus disposiciones y hacer los ajustes necesarios para cumplirla. 

Aspecto	RGPD (UE)	Ley 21.719 (Chile)
Ámbito de aplicación	Aplicable en la Unión Europea, pero también a organizaciones fuera de la UE que procesen datos de ciudadanos de la UE.	Aplica a datos personales procesados en Chile y a responsables fuera del país que ofrezcan bienes/servicios o monitoreen titulares en Chile.
Definiciones clave	Define datos personales, datos sensibles, consentimiento, y categorías especiales.	Amplía las definiciones e incluye términos específicos como seudonimización y registro nacional de sanciones.
Principios de tratamiento	Licitud, transparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo, integridad y confidencialidad.	Incluye principios similares, con énfasis adicional en confidencialidad, proporcionalidad y transparencia.
Derechos de los titulares	Acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.	Similares derechos, con la inclusión explícita de bloqueo y medidas más detalladas para decisiones automatizadas.
Consentimiento	Debe ser libre, específico, informado y explícito, especialmente para datos sensibles.	Requiere consentimiento libre, informado e inequívoco; detallado en términos de revocación y excepciones legales.
Obligación de seguridad	Medidas técnicas y organizativas, como cifrado y capacidad de restauración de datos ante incidentes.	Obligaciones equivalentes con énfasis en estándares proporcionales a la naturaleza del tratamiento y los riesgos.
Delegado de protección de datos (DPO)	Obligatorio para tratamientos a gran escala de datos sensibles, monitoreo sistemático o cuando sea autoridad.	Requiere DPO en casos similares, como tratamientos de datos sensibles a gran escala o de niños.
Sanciones	Multas de hasta 20 millones de euros o el 4% de la facturación anual global.	Multas proporcionalmente más bajas, pero significativas en relación con el contexto local.
Transferencia internacional	Solo permitida a países con nivel adecuado de protección o mediante cláusulas contractuales estándar.	Permite transferencias bajo garantías adecuadas y con aprobación de la Agencia de Protección de Datos.
Supervisión y control	Autoridades independientes en cada país de la UE con poderes para sancionar.	Creación de la Agencia de Protección de Datos Personales para supervisar y sancionar.
Foco en datos sensibles	Regulación exhaustiva de datos sensibles, incluidos biométricos y de salud.	Define y regula ampliamente los datos sensibles, con un enfoque similar al RGPD.

Principios que rigen la ley

La Ley 21.719 se basa en principios como:

• Licitud y lealtad: debe existir una base legal o un consentimiento válido que justifique el tratamiento de los datos. Además, no se pueden utilizar métodos engañosos para obtener información ni usarla de manera diferente a lo acordado. 
• Finalidad: Los datos deben ser tratados para fines específicos, explícitos y legítimos.
• Minimización de datos: Solo se deben recolectar los datos necesarios para cumplir con la finalidad del tratamiento.
• Exactitud: Los datos deben ser exactos y, si es necesario, actualizados.
• Limitación del plazo de conservación: Los datos no deben conservarse más tiempo del necesario.
• Integridad y confidencialidad: Los datos deben ser tratados de manera que se garantice su seguridad y confidencialidad.

Tres tipos de sanciones

De acuerdo con el artículo 30 de la Ley 21.719 se crea la Agencia de Protección de Datos Personales, que tiene por objeto velar por los derechos que garantizan la vida privada de las personas y sus datos personales y fiscalizar el cumplimiento de la ley. 

Incumplir la legislación acarrea infracciones leves, graves y gravísimas que se traducen en sanciones:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de hasta 5.000 unidades tributarias mensuales. 

b) Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales. 

c) Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales.

Para no incurrir en las faltas antes descritas, los responsables del tratamiento de datos tienen diversas obligaciones, entre ellas obtener el consentimiento libre, específico e informado del titular (dueño de los datos), adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, atender las solicitudes de los titulares que deseen acceder, rectificar, suprimir y oponerse al tratamiento de sus datos y registrar detalladamente las operaciones de tratamiento que hacen.

Derechos de los titulares

Los titulares de los datos tienen los siguientes derechos:

• Acceso: Conocer qué datos se tienen sobre ellos y cómo se utilizan.
• Rectificación: Corregir datos inexactos o incompletos.
• Supresión: Solicitar la eliminación de sus datos.
• Oposición: Oponerse al tratamiento de sus datos en determinadas circunstancias.
• Portabilidad: Solicitar que sus datos sean transferidos a otro responsable.

¿A qué organizaciones afecta la ley?

La Ley 21.719 aplica a cualquier persona o entidad que trate datos personales de titulares ubicados en Chile, independientemente de donde se encuentren físicamente los servidores o las oficinas de la organización. Esto incluye a las plataformas de redes sociales, tiendas y comercios en línea, bancos, clínicas, hospitales, entre otros. 

Es recomendable que en las organizaciones se designe a una persona responsable de supervisar el cumplimiento de la ley y que todos los colaboradores conozcan de qué va la legislación, cómo pueden contribuir a su cumplimiento y las consecuencias de vulnerarla. Este momento es el indicado para identificar qué datos personales se manejan y qué uso se les da. 

La Ley 21.719 llega a Chile en un momento crucial. Los titulares permanecieron sin el amparo legal mientras se exponían a un entorno cada vez más tecnológico y menos regulado en el que los datos han resultado expuestos de maneras indeseables. Si bien es cierto que las organizaciones tienen mucho que aprender, la protección de datos entraña desafíos no solo para los responsables sino para los titulares, que requieren estar cada vez más informados y conscientes y necesitarán hacer mucho más que hacer clic en los botones “he leído y estoy de acuerdo” cada vez que usen algún servicio o aplicación en línea. 

Los datos son la materia prima de todos los negocios. Cuentan con valor económico potencial y al ser analizados y procesados son muy relevantes. Si son protegidos, serán más útiles y valiosos y estaremos avanzando en la dirección del respeto a derechos y libertades fundamentales.