Ley seguridad de los datos
Nueva Ley de Protección de Datos de Chile
Ley N° 21.719 – Un marco moderno para la privacidad digital
Resumen General
Fortalecer la protección de datos personales y derechos de privacidad en la era digital, estableciendo obligaciones claras para las organizaciones que manejan datos personales.
Se crea la Agencia de Protección de Datos Personales (APDP), encargada de hacer cumplir la ley, promover el cumplimiento y sancionar violaciones.
Similar al GDPR, aplica a entidades fuera de Chile si dirigen productos/servicios a personas en Chile o monitorean su comportamiento.
La ley alinea los estándares de Chile con referencias internacionales como el GDPR de la UE y la LGPD de Brasil.
Principios Fundamentales
La Ley 21.719 establece principios de protección de datos que las organizaciones deben seguir:
⚖️ Licitud y Lealtad
Los datos deben procesarse de manera legal y con respeto por el individuo, con una base legal válida.
🎯 Limitación de Finalidad
Los datos solo pueden recopilarse para propósitos específicos, explícitos y legítimos.
📊 Minimización de Datos
Solo se deben procesar los datos adecuados, relevantes y necesarios para el propósito declarado.
✅ Calidad de Datos
La información debe ser precisa, actualizada, completa y pertinente a su propósito.
🔍 Transparencia
Las organizaciones deben informar a los individuos sobre cómo se usarán, compartirán y almacenarán sus datos.
🔒 Seguridad
Se deben implementar medidas de seguridad apropiadas para proteger los datos contra riesgos.
🤝 Confidencialidad
Quienes procesan datos están obligados por un deber de confidencialidad.
📈 Responsabilidad
Los controladores deben cumplir con la ley y poder demostrar ese cumplimiento.
Nuevas Obligaciones para las Empresas
Base Legal para el Procesamiento
Las empresas deben asegurar que cada actividad de procesamiento tenga una justificación legal:
- Consentimiento libre, informado, específico e inequívoco
- Cumplimiento de obligación legal
- Ejecución de contrato
- Intereses legítimos (bajo ciertas condiciones)
Derechos ARCOP de los Titulares
🔍 Acceso
Conocer si una empresa tiene sus datos y obtener copia.
✏️ Rectificación
Corregir datos incorrectos, desactualizados o incompletos.
🗑️ Supresión
Eliminar datos cuando ya no sean necesarios o el procesamiento sea ilegal.
⛔ Oposición
Oponerse a ciertos procesamientos, especialmente marketing directo.
📦 Portabilidad
Recibir datos en formato portable y transferirlos a otro controlador.
🤖 Decisiones Automatizadas
Oponerse a decisiones basadas únicamente en procesamiento automatizado.
Medidas de Seguridad y Notificación de Brechas
Las empresas deben:
- Implementar medidas técnicas y organizativas apropiadas
- Notificar a la Agencia sin demora indebida en caso de brecha
- Informar a los afectados si la brecha involucra datos sensibles
- Documentar internamente todas las brechas e incidentes
Evaluaciones de Impacto (EIPD)
Obligatorias para procesamiento de alto riesgo:
- Perfilado sistemático a gran escala
- Procesamiento de grandes volúmenes de datos
- Monitoreo continuo de áreas públicas
- Procesamiento de datos sensibles a gran escala
Consecuencias del Incumplimiento
Categorías de Infracciones y Multas
Leves
Hasta 5,000 UTM
Faltas menores como no actualizar avisos de privacidad o retrasos en respuestas.
Graves
Hasta 10,000 UTM
Procesar datos sin base legal, ignorar derechos de titulares, no cooperar con el regulador.
Gravísimas
Hasta 20,000 UTM
Uso malicioso de datos, negligencia sistemática en seguridad, violaciones masivas.
Sanciones Adicionales
- Reincidencia: Multas hasta 3 veces el monto original
- Empresas grandes reincidentes: Hasta 2% (graves) o 4% (gravísimas) de ingresos anuales
- Suspensión: Hasta 30 días de actividades de procesamiento en casos extremos
- Registro público: Publicación en registro nacional por hasta 5 años
Guía de Cumplimiento para Empresas
Pasos Recomendados para Empresas Medianas
Auditoría de Datos Integral
Realizar inventario completo de datos personales, mapear flujos y clasificar tipos de datos.
Identificar Bases Legales
Determinar justificación legal para cada procesamiento y cerrar brechas de cumplimiento.
Actualizar Avisos de Privacidad
Reescribir políticas con información completa y obtener consentimientos nuevos si es necesario.
Implementar Procedimientos ARCOP
Establecer procesos claros para manejar solicitudes de derechos de titulares.
Fortalecer Seguridad
Evaluar y mejorar medidas de seguridad, desarrollar plan de respuesta a brechas.
Designar Responsable
Asignar oficial de privacidad o DPO según corresponda.
Desarrollar Políticas y Capacitación
Crear políticas internas y programas de entrenamiento para todo el personal.
Monitorear y Adaptar
Mantener vigilancia sobre desarrollos regulatorios y ajustar continuamente.
Oportunidades para Firmas Consultoras
Servicios de Asesoría
- Evaluaciones de brechas de cumplimiento
- Implementación de programas de privacidad
- DPO como servicio
- Soluciones específicas por sector
Servicios Técnicos
- Implementación de tecnología de privacidad
- Mejoras de ciberseguridad
- Gestión continua de cumplimiento
- Auditorías y certificaciones
Cronograma de Implementación
13 Dic 2024
Promulgación de la Ley 21.719
2025-2026
Período de transición y preparación
1 Dic 2026
Entrada en vigencia completa
Tendencias Futuras a Observar
- Evolución regulatoria y guías de la Agencia
- Trayectoria de cumplimiento y primeros casos
- Mayor conciencia pública y litigios
- Alineación internacional y flujos de datos
- Cambios tecnológicos (IA y más allá)
- Crecimiento de la Agencia de Protección de Datos
- Cambio cultural hacia valorar la privacidad