El viernes 13 de diciembre de 2024 fue publicada en el diario oficial, la ley de protección de datos personales, o ley número 21.719 que regula la protección y el tratamiento de los datos personales en Chile. Este marco legal, que sigue la tradición de la histórica Ley N° 19.628, exige a empresas y profesionales de TI revisar y mejorar sus procesos y sistemas para manejar los datos personales de manera más segura. La aprobación de la Ley 21.719 representa un paso clave hacia la modernización del marco regulatorio en Chile.
Aunque la ley no entrará en plena vigencia hasta diciembre de 2026, es fundamental no pasar por alto esta nueva obligación: es momento de actuar.
La necesidad de esta ley en la región es evidente, dado el crecimiento económico y el déficit de seguridad tecnológica que afrontan varios países en latinoamérica y Chile no es la excepción. En un contexto donde las filtraciones de datos y los ciberataques se han vuelto frecuentes, el cumplimiento de estándares más altos de seguridad no es solo una obligación legal, sino también un factor clave para la competitividad empresarial. Además, la promulgación de esta ley por el presidente de la república subraya la importancia del proceso político en la implementación de normativas de protección de datos. Esta legislación también protege la vida privada y la autonomía de las personas en el entorno digital, reforzando los derechos fundamentales frente a los desafíos de las nuevas tecnologías.
Introducción al proyecto de ley
El proyecto de ley sobre protección de datos personales representa un hito en la regulación del tratamiento de datos en Chile, marcando un antes y un después en la manera en que se resguarda la información de las personas. Esta ley surge como respuesta a la creciente necesidad de fortalecer la protección de datos personales y garantizar el derecho fundamental de la ciudadanía a la privacidad, en un contexto donde la tecnología y el uso masivo de datos exigen estándares más altos de seguridad y transparencia.
La publicación de la ley en el Diario Oficial es el resultado de un proceso de revisión y debate que involucró a diversos actores, desde autoridades estatales hasta representantes de empresas y la sociedad civil. La versión final del proyecto incorpora modificaciones clave respecto a versiones anteriores, reflejando la búsqueda de un equilibrio entre la protección de los derechos de los titulares y la necesidad de permitir el uso legítimo de los datos para fines sociales, económicos y tecnológicos.
Uno de los principales objetivos de la ley es establecer un marco claro de principios, obligaciones y responsabilidades para todos los responsables del tratamiento de los datos, tanto en el ámbito público como privado. Esto implica la implementación de medidas de seguridad, mecanismos de control y acciones concretas para prevenir el uso indebido de la información personal. La transparencia en el tratamiento de los datos y la capacidad de los titulares para ejercer sus derechos son pilares fundamentales de este nuevo régimen.
La autoridad de control, dotada de capacidad sancionadora y de supervisión, jugará un rol esencial en la verificación de la licitud de las prácticas y en la aplicación de sanciones en casos de incumplimiento. La ley establece un régimen de responsabilidades que obliga a las empresas y organizaciones a revisar y adaptar sus políticas y sistemas, asegurando que el tratamiento de los datos personales se realice conforme a los estándares internacionales y a los principios de licitud, proporcionalidad y seguridad.
¿Qué implica la ley de protección de datos?
Esta nueva normativa impacta tanto a organizaciones, que deberán revisar y fortalecer sus procesos de protección de datos, como a la ciudadanía, que dispondrá de derechos más robustos para exigir un uso responsable de su información personal. La ley afecta tanto a personas naturales como jurídicas, estableciendo obligaciones y derechos relacionados con el tratamiento de datos personales.
Al elevar los estándares de confidencialidad y seguridad se redefine cómo las empresas recopilan, procesan y guardan datos en varios ámbitos.
Principios fundamentales
La nueva legislación establece principios clave para el tratamiento y protección de los datos personales: licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia e información, y confidencialidad.
Estos principios aseguran que el tratamiento sea legítimo, necesario, seguro, transparente, y que los datos sean precisos, usados solo para fines específicos, con consentimiento del titular y protegidos con medidas adecuadas.
Además, el proyecto de ley que dio origen a esta normativa es fundamental en la estructura legal y normativa del país, subrayando la importancia de la protección de la privacidad y los derechos de los ciudadanos.
Estos pilares establecen directrices claras para manejar datos con transparencia y seguridad, prohibiendo recolección excesiva y su uso engañoso.
Conoce más sobre los principios fundamentales de la ley
Nueva figura
La agencia de protección de datos personales, que fiscaliza y sanciona, es el ente clave para el cumplimiento. Dentro de cada empresa será el delegado de protección de datos (DPO) quién será el responsable de datos, supervisará los procesos y asesora en la correcta aplicación de la ley, es el enlace entre la organización y la agencia.
Conoce más sobre el Delegado de Protección de Datos (DPO)
Obligaciones claves
Las organizaciones deben documentar sus prácticas, aplicar políticas de protección de datos y asegurarse de que sus equipos comprendan la relevancia de estos controles. Además, deberán notificar a la agencia de inmediato cualquier incidente que ponga en riesgo la información de sus usuarios y demostrar el origen legítimo de los datos recopilados.
Derecho de los usuarios (ARCO)
Arco son las siglas de los derechos de los titulares de datos: Derechos de Acceso, Derechos de Rectificación, Derecho de Cancelación y Derecho de Oposición sobre sus propios datos. Así las personas tendrán más control sobre su información. De esta forma podrán ver cómo se usa, corregir errores, pedir borrados y negarse a tratamientos no autorizados. Al ejercer estos derechos los titulares tendrán la tranquilidad de que sus datos no se usarán mal.
Conoce más sobre los derechos ARCO
Implicaciones de la ley con respecto a los menores de edad
Al proteger la información de niños y adolescentes el consentimiento dado por menores de edad no tiene valor, siempre se debe pedir consentimiento válido y verificable de padres o tutores. Se implementan controles adicionales para evitar la recopilación de datos sensibles y cualquier uso de esta información debe ser en beneficio del menor, sin fines comerciales o prácticas abusivas.
Implicaciones de la ley en el sector salud
El tratamiento de datos médicos tiene un nivel adicional de cuidado ya que implica información muy sensible. Las instituciones deben implementar medidas más estrictas como cifrado y protocolos de acceso limitado y tener consentimiento expreso de los titulares. Solo en casos de emergencia o interés público se podrá exceptuar este requisito estricto.
Ley 19.628 vs. ley 21.719
La evolución de las leyes de protección de datos en Chile es notable. La Ley Nº 19.628, que actualmente regula la materia, fue revisada y se espera que esta nueva ley 21.719 entre en vigencia el 1 de diciembre del 2026. Esta nueva normativa busca fortalecer la protección de datos personales, adaptándose a los avances tecnológicos y alineándose con normativas internacionales como el RGPD.
Sanciones y riesgos para las empresas
La nueva normativa no solo contempla multas considerables, sino que también puede poner en jaque la reputación de quienes manejen datos personales de forma descuidada. Cumplir con este marco legal no es solo un tema de dinero: una brecha de seguridad puede generar desconfianza y afectar la credibilidad de una organización. Un incidente, aunque parezca menor, puede transformarse en multas onerosas y en un daño de imagen difícil de revertir. Los resultados derivados del cumplimiento o incumplimiento de la ley pueden reflejarse en informes de impacto, evaluaciones de riesgos y análisis sobre la efectividad de las medidas de protección implementadas.
Además, es importante destacar que el Tribunal Constitucional evaluará la Ley Orgánica de Protección de Datos Personales de Chile antes de su promulgación por el Presidente de la República, subrayando la relevancia de esta normativa en la protección de la privacidad y los derechos relacionados con el tratamiento de datos personales en el país.
Riesgos: Como ya mencionamos, las consecuencias van más allá de las multas, abarcando pérdida de clientes, cuestionamientos en redes sociales y posibles demandas. Mantener una buena reputación se convierte en un desafío si no se implementan medidas sólidas para proteger la información.
Niveles de infracción: Ahora, si vamos al marco legal, dentro de la nueva ley hay infracciones leves, graves y gravísimas con sanciones máximas de 5.000, 10.000 y 20.000 UTM respectivamente. Además si la infracción grave o gravísima se repite y la entidad no clasifica como pequeña, la multa podría llegar al 2% o 4% de sus ingresos anuales por ventas y servicios en Chile.
Ejemplos de infracciones leves, graves y gravísimas
- Infracciones leves: Corresponden a errores que no cumplen totalmente las normas de gestión y protección de la información. Un ejemplo sería no informar a tiempo sobre cambios relevantes en el uso de datos o incumplir requisitos mínimos de transparencia. Aunque no necesariamente generan un daño masivo, sí evidencian descuidos que pueden afectar la confianza del titular.
- Infracciones graves: Implica un perjuicio relevante para la privacidad de las personas, pone en riesgo la confidencialidad y la legitimidad del uso de datos. Entre ellas están la recolección o tratamiento de información sin consentimiento, divulgación no autorizada de datos sensibles y negar a los titulares el ejercicio de sus derechos de acceso, rectificación o eliminación de datos.
- Infracciones gravísimas: Son transgresiones con un propósito malicioso o conciencia plena de su gravedad. Esto incluye usar datos personales de manera fraudulenta, divulgar información distorsionada sobre un titular, violar deliberadamente el secreto de datos sensibles o llevar a cabo transferencias internacionales con pleno conocimiento de su ilegalidad. Además, la omisión intencional de reportar brechas de seguridad y la desobediencia a resoluciones de la Agencia también se contemplan en este grupo.
Estrategias de cumplimiento: nuevo estándar de seguridad
Para alinearse con la nueva normativa, las organizaciones necesitan ir más allá de las medidas básicas de resguardo y exige un nivel adecuado de protección y seguridad de la información. Esta normativa se basa en gran medida en el Reglamento General de Protección de Datos de la Unión Europea, elevando los estándares de protección de datos en el país. Además, los modelos de negocio y tecnológicos basados en la recopilación masiva de datos personales, como los desarrollados por grandes empresas tecnológicas, presentan nuevos retos para la protección de datos y requieren una regulación adaptada a estos enfoques.
La clave es un enfoque preventivo que permita anticiparse a brechas, proteger la infraestructura y reaccionar de forma coordinada si sucede algo imprevisto. Frente a la implementación de la ley, las organizaciones deben superar desafíos significativos para cumplir con los requisitos y garantizar la protección efectiva de los datos personales.
Finalmente, es fundamental que la aplicación de la normativa se realice dentro del territorio chileno, asegurando que la protección de los datos personales de los usuarios esté garantizada frente a las actividades de empresas transnacionales.
Banco de datos inventariado
Identificar qué tipo de datos de carácter personal se recopila y almacena la empresa. Saber exactamente qué información se maneja y dónde se encuentra permite definir una evaluación de impacto acertada, establecer mejores controles y políticas de protección.
Controles técnicos de medidas de seguridad (encriptación, wipe, restauración, back up)
Incluir cifrado soluciona problemas de privacidad al codificar la información, mientras que el borrado remoto (wipe) es útil en caso de equipos extraviados o robados. Contar con planes de restauración garantiza la disponibilidad de los datos, y las copias de seguridad regulares permiten recuperar información ante incidentes como ataques informáticos o fallas de hardware.
Políticas de seguridad de la info
Las empresas deben delinear normas internas que guíen la gestión de datos y orienten a los equipos sobre las mejores prácticas de protección. Estas directrices deben abarcar desde el acceso restringido a la información hasta la clasificación de datos por nivel de criticidad, ajustándose a los requisitos regulatorios y a las características específicas de cada organización.
Respuesta ante incidente
Un procedimiento claro de reacción incluye asignar roles, definir comunicaciones internas y externas, y establecer planes de mitigación (conozca más sobre como definir un plan de respuesta ante incidentes). Esto facilita la toma de decisiones rápidas para minimizar el impacto y restaurar la operación con la menor interrupción posible. Ensayar estos planes permite que el equipo actúe con confianza y prontitud cuando ocurre un incidente real.
Notificación de incidentes
Informar a la Agencia y a los titulares involucrados con la suficiente rapidez es esencial para mantener la transparencia y brindar soporte adecuado a quienes pueden verse afectados. Esta práctica también envía una señal de responsabilidad y compromiso con la protección de datos, lo que contribuye a conservar la credibilidad y la buena relación con los clientes.
Checklist de cumplimiento
¿Estás preparado para cumplir con la nueva normativa de protección de datos en Chile? Utiliza este checklist práctico para evaluar y fortalecer el cumplimiento de tu organización paso a paso.
Beneficios de la implementación temprana
Adelantarse a las exigencias de la nueva normativa brinda un margen valioso para afinar procesos y capacitar equipos, sin esperar al último momento. Adoptar buenas prácticas de forma temprana evita contratiempos legales y posibles crisis de imagen.
Además, contar con sistemas robustos de protección no solo previene incidentes, sino que también facilita la adaptación progresiva a los requisitos de la ley cuando entren en vigencia.
Protección contra sanciones
Cumplir desde el inicio reduce la probabilidad de incurrir en pérdidas monetarias y en multas tempranas cuando la ley entre en vigencia. Al implementar políticas de seguridad y control, la empresa demuestra proactividad y responsabilidad ante la ley, asegurando que los procedimientos internos cumplan los estándares exigidos.
Aumento de la confianza del cliente
Mostrar un compromiso real con la protección de datos refuerza la cercanía con el usuario y genera una percepción positiva de la marca. Esta transparencia se vuelve un punto clave a la hora de retener y fidelizar clientes.
Reducción de brechas
Adoptar protocolos de seguridad y planes de contingencia de manera anticipada minimiza el riesgo de fugas de información. Además, facilita la identificación y resolución de posibles vulnerabilidades, evitando pérdidas financieras y daños de reputación.
Como Prey puede ayudar con el cumplimiento
Prey ofrece una solución integral para gestionar y proteger dispositivos de todo tipo, ayudando a las organizaciones a cumplir con la nueva normativa de datos sin complicaciones. Con un enfoque multiplataforma y herramientas que van desde el rastreo hasta la encriptación remota, se facilita la implementación de protocolos de seguridad sólidos. De esta forma, se reducen los riesgos de incidentes y se fortalece el control de la información.
Características de Prey que ayudan a cumplir con la nueva Ley
- Protección y seguimiento de dispositivos: Permite localizar, bloquear y recuperar equipos en caso de pérdida o robo, asegurando la continuidad operativa y la protección de datos.
- Remote Wipe y Factory Reset: Borra o restaura de forma remota la información sensible, evitando su acceso por personas no autorizadas.
- Gestión de préstamos y automatizaciones: Controla asignaciones temporales de equipos con alertas y bloqueos si no se devuelven a tiempo, manteniendo la visibilidad total sobre su estado.
- Cifrado de discos y Kill Switch (Windows): Eleva el nivel de protección con BitLocker y la capacidad de inutilizar equipos, previniendo accesos malintencionados a la información almacenada.
Protege tus datos y cumple con la normativa de forma sencilla y efectiva. Agenda una demo con nosotros para conocer más!