🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Datos personales y sensibles bajo Ley 21.719

juan@preyhq.com
Juan O.
Jun 2, 2026
0 minutos de lectura
Datos personales y sensibles bajo Ley 21.719
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Sobre el autor
juan@preyhq.com
Juan O.

Juan lidera la estrategia de contenido en Prey, trabajando junto a equipos de TI y seguridad en distintos sectores. Su enfoque está en explicar problemas reales como la seguridad de dispositivos y el cumplimiento de forma clara, práctica y aplicable.

TL;DR

Lo que necesitas saber sobre datos personales y sensibles bajo la Ley 21.719

  • Dato personal: cualquier información referida a una persona identificada o identificable — nombre, RUT, email, IP, geolocalización del dispositivo.
  • Dato sensible: subconjunto de alto riesgo. Categorías especialmente protegidas por la Ley 21.719 (salud, biometría, origen racial, orientación sexual, datos socioeconómicos, datos de menores, entre otros).
  • La diferencia no es decorativa: cambia qué controles son exigibles, qué evidencia te van a pedir y qué pasa si hay una brecha.
  • Tratamiento sistemático de datos sensibles dispara EIPD obligatoria (Art. 15 ter) y exige medidas reforzadas como cifrado, control de acceso estricto y trazabilidad.
  • Sanciones bajo Ley 21.719: hasta 5.000 UTM para infracciones graves; hasta 20.000 UTM (~CLP 1.400 millones) por tratamiento ilegal de datos sensibles.

Casi nadie en Chile toma en cuenta que sus laptops procesan datos sensibles todos los días.

Una pediatra que abre la ficha clínica de un paciente desde su MacBook. Un analista de KYC que carga documentos de identidad y declaraciones de origen de fondos en un Windows corporativo. Un docente que revisa información de menores en una tablet de la institución. Todos están tocando categorías especialmente protegidas por la Ley 21.719, y muy pocos equipos de TI lo tienen marcado en su registro.

El problema no es entender qué es un dato sensible. Eso lo cubre cualquier glosario. El problema es darse cuenta de que esa distinción legal redefine los controles operativos que le exiges a tu flota: cifrado obligatorio, evidencia auditable, evaluaciones de impacto previas, restricciones de acceso por rol. Lo que para un dato personal "normal" es buena práctica, para un dato sensible es exigible.

En este artículo vas a encontrar la definición de cada categoría, la lista completa según la Ley 21.719, y, sobre todo, la matriz que ningún otro recurso te entrega: qué cambia operativamente cuando aparece un dato sensible en tu flota, cómo identificarlos en tu inventario actual, y tres escenarios reales de organizaciones chilenas que descubrieron tarde que estaban procesando datos sensibles sin la protección correspondiente.

[TL;DR CARD — reemplazar este párrafo en Designer por HTML Embed del componente prey-tldr is-blue]

¿Qué cuenta como dato personal cuando miras tu flota?

Cuando un equipo de TI mira su inventario, ve dispositivos. La ley ve algo distinto: superficies donde se procesan datos personales. Y la definición es bastante más amplia de lo que la mayoría supone.

El Art. 2 letra f de la Ley 21.719 define dato personal como cualquier información vinculada o referida a una persona natural identificada o identificable. La clave es esa última palabra: identificable. Si un dato, por sí solo o cruzado con otros, permite reconocer a un individuo, es dato personal.

En la práctica de TI, eso es muchísimo más de lo que parece. No estamos hablando solo de RUT y nombre. Son datos personales:

  • Email corporativo y personal
  • Dirección IP de un dispositivo asignado
  • Geolocalización de una laptop o teléfono corporativo
  • Identificador de dispositivo (MAC, IMEI)
  • Hostname si está vinculado al usuario
  • Datos de autenticación (usuarios, hashes, tokens)
  • Historial de navegación si está asociado a un usuario identificable

Lo que NO es dato personal: información correctamente anonimizada (irreversible) y datos puramente técnicos sin vinculación a una persona. Esa frontera es más fina de lo que parece. Una IP es dato personal cuando la puedes cruzar con un directorio de usuarios. Un log de uso de aplicación es dato personal cuando contiene el usuario que la disparó.

Caso típico: un analista de soporte abre un ticket por Slack para destrabar un acceso. El mensaje queda archivado en el servidor corporativo, y ese ticket trae el RUT del cliente que pidió ayuda. Sin que nadie lo decida, ese log se volvió un registro de dato personal — y entra al alcance de la Ley 21.719.

Para un equipo de TI esto significa una cosa: prácticamente todo lo que circula por endpoints corporativos cae en la categoría de dato personal. El registro de actividades de tratamiento (RAT) que exige la Ley 21.719 tiene que reflejarlo, y necesita coherencia con lo que realmente pasa en tu flota.

Quick win: haz hoy una lista de las 5 categorías de datos personales más comunes que pasan por tus endpoints (probablemente email, RUT, IP, geolocalización y datos de autenticación). Cruza esa lista contra tu RAT actual. Si alguna falta, ahí tienes el primer gap.

Dato sensible: el subconjunto de alto riesgo

Si todo dato personal te exige cuidado, el dato sensible te exige rigor. La ley los trata distinto porque el daño que producen al filtrarse también es distinto: no es lo mismo exponer un email corporativo que exponer un diagnóstico médico o una huella biométrica.

El Art. 2 letra g de la Ley 21.719 define los datos sensibles como categorías especialmente protegidas, sujetas a restricciones más estrictas. La lista completa según la ley chilena incluye:

  • Datos relativos al origen étnico o racial
  • Afiliación política, sindical o gremial
  • Convicciones religiosas, filosóficas o morales
  • Datos relativos a la salud, perfil biopsicológico o atención médica
  • Vida sexual y orientación sexual
  • Datos biométricos (huella, reconocimiento facial, iris)
  • Datos genéticos
  • Situación socioeconómica
  • Datos personales de niños, niñas y adolescentes (categoría especialmente protegida)

La lista chilena es más amplia que la del GDPR. El Art. 9 del Reglamento Europeo no incluye explícitamente "situación socioeconómica" como categoría sensible, pero la Ley 21.719 sí. Si tu organización opera entre Chile y Europa, esa diferencia importa: lo que en GDPR puedes tratar con base legal estándar, en Chile puede requerir consentimiento expreso o resguardos adicionales.

Donde aparecen problemas en la práctica:

  • Combinaciones que se vuelven sensibles. Un dato financiero solo no es sensible, pero cruzado con biometría (autenticación bancaria con huella) entra en zona de protección reforzada.
  • Datos de salud "incidentales". Una conversación por Slack donde un empleado menciona su diagnóstico, archivada en el servidor corporativo, es dato sensible aunque no exista una "app de salud" instalada.
  • Datos de menores en programas educativos 1:1. Si tu organización entrega dispositivos a estudiantes, estás procesando datos de categoría especialmente protegida desde el primer login.

Quick win: revisa la lista de arriba contra tres procesos críticos de tu organización (RR.HH., clientes, operaciones internas). Marca cuál de ellos toca al menos una categoría. Si la respuesta es "varios", tu plan de cumplimiento necesita un tier de controles más estricto.

¿Por qué cambia tu operación cuando aparece un dato sensible?

Cuando se pierde una laptop con base de contactos comerciales, tu equipo tiene margen para evaluar, documentar y decidir si notificas. Cuando se pierde una laptop con fichas clínicas, el reloj arranca antes de que termines de leer el incidente. La Ley 21.719 no trata igual a un dato personal estándar que a un dato sensible, y la diferencia se traduce en cuatro consecuencias operativas directas.

Primera: la obligación de evaluación de impacto previa. El Art. 15 ter exige una evaluación de impacto en protección de datos (EIPD) antes de iniciar tratamientos sistemáticos de datos sensibles a escala. Antes, no después. Una EIPD que llega cuando el sistema ya está corriendo defiende menos de lo que parece. Si tu organización va a desplegar un sistema de reconocimiento facial para control de acceso, o una plataforma clínica para 200 médicos, la EIPD es paso previo.

Segunda: el estándar de las "medidas razonables" se eleva. El Art. 14 quinquies habla de medidas técnicas y organizativas adecuadas. Para un dato personal estándar, eso puede ser cifrado en tránsito y política de contraseñas. Para un dato sensible, la misma frase exige mucho más: cifrado en reposo, controles de acceso por rol con principio de necesidad, trazabilidad detallada, segregación de redes. Si una brecha ocurre y la autoridad revisa qué controles tenías, la barra es más alta.

Tercera: la notificación de brecha pasa de "evaluación de riesgo" a casi-obligatoria. Cuando se pierde una laptop con datos sensibles, el cálculo de daño potencial casi siempre da por encima del umbral de notificación. Eso significa: cronómetro corriendo, comunicación a titulares afectados, reporte a la autoridad. Para un dato personal estándar tienes más margen analítico; para un dato sensible la respuesta operativa tiene que estar lista.

Cuarta: las sanciones escalan. Bajo Ley 21.719, las infracciones graves alcanzan hasta 5.000 UTM (~CLP 350 millones). El tratamiento ilegal de datos sensibles entra en la categoría gravísima, con sanciones de hasta 20.000 UTM (~CLP 1.400 millones), además de inhabilidades temporales para responsables jurídicos. Construir el modelo de cumplimiento operativo antes de que diciembre 2026 te tome desprevenido deja de ser opcional.

Quick win: identifica si tu organización tiene tratamiento sistemático de al menos una categoría sensible (más de 100 titulares, frecuencia continua, finalidad operativa). Si la respuesta es sí, agenda una EIPD antes de tu próxima planificación trimestral. No después.

¿Qué controles te exige tu auditor cuando hay datos sensibles en juego?

Hasta aquí la teoría legal. Esta es la traducción a controles concretos: la matriz que decide qué cambia en tu operación cuando aparece un dato sensible en juego.

[TABLE EMBED — reemplazar este párrafo en Designer por HTML Embed con la tabla prey table_component de matriz Dato personal vs Dato sensible]

Esta matriz es la que llevas a la próxima reunión con el comité de privacidad. Cada fila es una decisión operativa que tu equipo tiene que poder ejecutar y demostrar con evidencia: un export del RAT, un log de cifrado, un reporte de accesos por usuario, un audit log de borrado remoto.

Donde aparece la conexión con el endpoint: la mayoría de estos controles se materializan en los dispositivos donde el dato vive. Si un médico procesa fichas clínicas desde su laptop, la "medida razonable" no es solo una política en papel: es BitLocker activo, control de zona geográfica para uso permitido, capacidad de borrado remoto en minutos, y trazabilidad de qué pasó cuándo. Una plataforma de gestión de endpoints que entregue inventario, estado de cifrado, log de acciones remotas y audit trail por usuario es lo que cierra el gap entre el papel y la práctica.

Quick win: copia esta matriz a un documento compartido con tu DPO y tu comité de privacidad. Marca una columna extra de "estado actual" (verde/amarillo/rojo) para cada control. Lo que quede en rojo es tu backlog de cumplimiento de los próximos 90 días.

Cómo saber si tu flota procesa datos sensibles

Acá viene el ejercicio que casi nadie hace. Antes de definir controles, necesitas saber dónde están los datos sensibles realmente. Un audit en cinco pasos:

Paso 1. Lista las aplicaciones críticas instaladas en tu flota. Sistemas de gestión clínica (EHR), ERPs financieros, plataformas de RR.HH., LMS educativos, herramientas de KYC, sistemas de control biométrico. Tu inventario de software ya te muestra qué corre dónde; lo que falta es marcar cuáles tocan categorías sensibles.

Paso 2. Mapea quién accede y desde qué dispositivos. Una app clínica instalada en 30 laptops del personal médico significa 30 endpoints procesando datos de salud. Una plataforma de KYC con acceso desde la VPN corporativa significa que cualquier dispositivo autorizado puede traer datos sensibles a la máquina local.

Pensalo así: la app clínica que la pediatra usa para abrir fichas no es solo un ícono en el dock. Es un canal por donde datos de salud entran, se cachean, y eventualmente quedan en su disco. Si nadie marcó esa laptop como "procesa datos sensibles", el control no existe — aunque la app esté en el inventario.

Paso 3. Traza el flujo completo: dato → aplicación → dispositivo → usuario. El dato de salud no vive solo en la app clínica. Vive también en cachés, archivos descargados, correos con adjuntos, screenshots. Cada uno de esos puntos es superficie de exposición.

Paso 4. Clasifica los dispositivos por nivel de riesgo. No todas las laptops procesan datos sensibles. Pero las que sí, necesitan controles diferenciados: política de cifrado verificada, zona geográfica de uso permitido, borrado remoto pre-configurado, audit log activo, restricciones de transferencia.

Paso 5. Documenta la matriz resultante. Esto alimenta tu RAT y tu EIPD. Cuando la autoridad pregunta "qué dispositivos procesan datos sensibles en su organización", la respuesta no puede ser "déjenos buscar". La respuesta es un export.

Una plataforma de gestión de endpoints con inventario detallado, tagging por grupos y custom fields hace este audit en horas en lugar de semanas. Lo que importa no es la herramienta sino el resultado: una lista clasificada, actualizada y auditable de qué dispositivos procesan qué categorías. Si tu flota está dispersa entre Windows, macOS, Android e iOS, la consolidación en una sola vista es lo que hace viable el ejercicio sostenido en el tiempo.

Quick win: empieza hoy con tu inventario de software actual. Marca las 3 aplicaciones más críticas que toquen categorías sensibles. Identifica los grupos de usuarios que las usan. Ese subset es tu zona de mayor riesgo y donde primero tienes que aplicar la matriz de la sección anterior.

Escenarios reales donde aparecen datos sensibles

Tres situaciones que se repiten en organizaciones chilenas, todas con el mismo patrón: TI descubrió tarde que estaba procesando datos sensibles sin la clasificación correspondiente.

Escenario uno: centro médico privado en Santiago. Una pediatra trabaja remoto y atiende consultas desde su laptop. La aplicación clínica que usa permite ver fichas con diagnóstico, antecedentes y datos de menores (la mayoría de sus pacientes). El equipo de TI tenía la aplicación inventariada como "software clínico", pero no había marcado que el endpoint procesaba al menos dos categorías sensibles (salud + datos de menores). Cuando llegó la auditoría preparatoria para la Ley 21.719, el gap fue cifrado parcial, ausencia de EIPD y log de acceso insuficiente. La remediación tomó tres meses y obligó a desplegar cifrado verificable, controles de zona geográfica y borrado remoto pre-configurado en toda la flota médica.

Escenario dos: fintech mediana en Las Condes. El equipo de KYC carga documentos de identidad, declaraciones de origen de fondos y, en algunos procesos, valida biometría facial. La discusión interna era si los datos manejados calificaban como "sensibles" o eran "solo personales". La conclusión legal: el cruce de información financiera con biometría los convierte en datos sensibles bajo Ley 21.719. Resultado operativo: restricción de acceso por rol, logging detallado por usuario, cifrado obligatorio en reposo y tránsito, y EIPD documentada antes de la siguiente revisión de procesos.

Escenario tres: universidad regional con programa 1:1. La institución entrega tablets a estudiantes (la mayoría menores de 18) para uso académico. El equipo de TI gestionaba el fleet como "dispositivos educativos estándar". El problema: datos de niños, niñas y adolescentes son categoría especialmente protegida por Ley 21.719. La política de uso aceptable no incluía consentimiento parental específico, no había geofencing por zona educativa, y la capacidad de borrado al final del año académico era manual. La remediación incluyó política parental formal, control de zonas, borrado remoto centralizado y evidencia documentada de tratamiento responsable de datos de menores.

El patrón común: en los tres casos, la organización tenía dispositivos inventariados, pero no había clasificado los flujos de datos por categoría. Cuando aparece la auditoría de Ley 21.719, esa clasificación es el primer dato que te van a pedir.

Quick win: identifica cuál de los tres escenarios se parece más a tu organización y marca en un doc compartido las dos primeras acciones de remediación que aplicarías esta semana. Empieza por el grupo de mayor riesgo de tu flota.

Conclusión

La diferencia entre dato personal y dato sensible no es una sutileza legal. Es la clasificación que decide qué controles le exiges a tu flota, qué evidencia vas a tener que mostrar, y qué pasa el día que algo sale mal.

Casi nadie en Chile toma en cuenta que sus laptops procesan datos sensibles todos los días. Lo descubren cuando llega la auditoría, cuando ocurre una brecha, o cuando un consultor externo abre el inventario y empieza a marcar categorías. Para ese momento, el costo operativo de remediación es alto y los plazos de la Ley 21.719 ya están corriendo.

Lo que cambia esto es visibilidad, control y evidencia. Visibilidad sobre qué dispositivos procesan qué categorías. Control diferenciado según el nivel de riesgo de los datos. Evidencia auditable de que las medidas exigibles efectivamente se aplicaron. Las tres son operativas, no documentales: viven en logs, en inventarios actualizados, en controles activos sobre los endpoints donde el dato pasa.

Para arrancar el lunes: aplica el audit en cinco pasos sobre la categoría sensible más probable en tu organización. Si eres centro de salud, datos de salud. Si eres fintech, financiero y biometría. Si eres institución educativa, datos de menores. Empieza por ahí. La distinción legal recién importa cuando aterriza en tu flota. Mientras viva solo en un PDF de cumplimiento, es decoración.

FAQ

¿Qué tipos de datos son sensibles según la Ley 21.719?

La Ley 21.719 define como datos sensibles las categorías especialmente protegidas: origen racial o étnico, afiliación política, sindical o gremial, convicciones religiosas o filosóficas, datos de salud y perfil biopsicológico, vida y orientación sexual, datos biométricos, datos genéticos, situación socioeconómica, y datos de niños, niñas y adolescentes. Esta lista es más amplia que la del GDPR europeo, que no incluye explícitamente situación socioeconómica.

¿Es obligatorio hacer una EIPD si proceso datos sensibles?

Sí, cuando hay tratamiento sistemático a escala. El Art. 15 ter de la Ley 21.719 exige una Evaluación de Impacto en Protección de Datos (EIPD) previa al inicio del tratamiento cuando se procesan datos sensibles de forma sistemática. La EIPD documenta los riesgos identificados, las medidas mitigatorias y la justificación operativa, y debe estar disponible si la autoridad la requiere.

¿Cuál es la diferencia entre dato personal, dato sensible y dato anonimizado?

Un dato personal es cualquier información que permite identificar a una persona (nombre, email, IP, RUT). Un dato sensible es un subconjunto de alto riesgo definido por categorías especialmente protegidas (salud, biometría, datos de menores, entre otros). Un dato anonimizado correctamente es información de la que se removió toda vinculación identificatoria de forma irreversible: ya no es dato personal y queda fuera del alcance de la Ley 21.719.

¿Los datos de niños son datos sensibles?

Sí. Bajo la Ley 21.719, los datos personales de niños, niñas y adolescentes son una categoría especialmente protegida, equiparada a dato sensible para efectos de los controles exigibles. Esto incluye datos en programas educativos, plataformas de aprendizaje, sistemas de salud pediátrica y cualquier proceso donde se traten datos de menores. Se requiere consentimiento parental específico, controles reforzados y trazabilidad documentada.

¿Qué sanciones aplica la Ley 21.719 al tratamiento incorrecto de datos sensibles?

Las infracciones graves pueden alcanzar hasta 5.000 UTM (~CLP 350 millones). El tratamiento ilegal de datos sensibles entra en la categoría gravísima, con sanciones de hasta 20.000 UTM (~CLP 1.400 millones), además de inhabilidades temporales para los responsables jurídicos. Las sanciones se aplican por infracción, no por organización, por lo que múltiples incumplimientos pueden acumularse.

¿Cómo proteger los datos sensibles en laptops de empleados remotos?

Los controles exigibles son cifrado en reposo (BitLocker, FileVault), control de acceso estricto por rol con log por usuario, capacidad de borrado remoto en minutos, restricciones de zona geográfica de uso cuando aplique, y audit trail granular de acciones realizadas en el dispositivo. Una plataforma de gestión de endpoints que consolide inventario, estado de cifrado, geolocalización y log de acciones remotas en una sola vista es lo que hace operativo el cumplimiento en flotas distribuidas.

Convierte la teoría de la Ley 21.719 en evidencia operativa

Si tu organización procesa datos sensibles, las "medidas razonables" exigibles no son una política en papel: son cifrado verificable, audit trail granular, borrado remoto en minutos y trazabilidad por dispositivo. Mira cómo Prey ayuda a equipos de TI chilenos a clasificar, controlar y documentar el tratamiento en su flota de endpoints.

Agenda una demo →

Sobre el mismo tema

Datos personales y sensibles bajo Ley 21.719
Datos personales y sensibles bajo Ley 21.719

Diferencia entre datos personales y sensibles bajo la Ley 21.719 de Chile. Qué controles operativos activa cada categoría en tu flota de dispositivos.

Jun 2, 2026
Continuar leyendo
Ley Marco de Ciberseguridad Chile (21.663): guía 2026 para TI
Ley Marco de Ciberseguridad Chile (21.663): guía 2026 para TI

Ley 21.663 ya está vigente desde marzo 2025. Artículos en vigor, evidencia mínima exigible y plan 30/60/90 para demostrar cumplimiento ante ANCI.

May 26, 2026
Continuar leyendo
Privacidad por diseño y por defecto: guía Ley 21.719 para IT
Privacidad por diseño y por defecto: guía Ley 21.719 para IT

Qué exige la Ley 21.719 sobre privacidad por diseño y por defecto, dónde se rompe en la práctica y cómo demostrar cumplimiento operativo en endpoints chilenos.

May 25, 2026
Continuar leyendo