English site
English site
Login
Departamento TI
Compliance

Ley de protección de datos personales en Chile: guía completa

juanhernandez@preyhq.com
Juan H.
Apr 2, 2025
0 minutos de lectura
Ley de protección de datos personales en Chile: guía completa
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

El viernes 13 de diciembre de 2024 fue publicada en el diario oficial, la ley de protección de datos personales, o ley número 21.719 que regula la protección y el tratamiento de los datos personales en Chile. Este marco legal, que sigue la tradición de la histórica Ley N° 19.628, exige a empresas y profesionales de TI revisar y mejorar sus procesos y sistemas para manejar los datos personales de manera más segura.

 Aunque la ley no entrará en plena vigencia hasta diciembre de 2026, es fundamental no pasar por alto esta nueva obligación: es momento de actuar.

La necesidad de esta ley en la región es evidente, dado el crecimiento económico y el déficit de seguridad tecnológica que afrontan varios países en latinoamérica y Chile no es la excepción. En un contexto donde las filtraciones de datos y los ciberataques se han vuelto frecuentes, el cumplimiento de estándares más altos de seguridad no es solo una obligación legal, sino también un factor clave para la competitividad empresarial. Además, la promulgación de esta ley por el presidente de la república subraya la importancia del proceso político en la implementación de normativas de protección de datos.

¿Qué implica la ley de protección de datos?

Esta nueva normativa impacta tanto a organizaciones, que deberán revisar y fortalecer sus procesos de protección de datos, como a la ciudadanía, que dispondrá de derechos más robustos para exigir un uso responsable de su información personal. La ley afecta tanto a personas naturales como jurídicas, estableciendo obligaciones y derechos relacionados con el tratamiento de datos personales.

 Al elevar los estándares de confidencialidad y seguridad se redefine cómo las empresas recopilan, procesan y guardan datos en varios ámbitos.

Principios fundamentales

  • La nueva legislación establece principios clave para el tratamiento y protección de los datos personales: licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia e información, y confidencialidad. 
  • Estos principios aseguran que el tratamiento sea legítimo, necesario, seguro, transparente, y que los datos sean precisos, usados solo para fines específicos, con consentimiento del titular y protegidos con medidas adecuadas.
  • Además, el proyecto de ley que dio origen a esta normativa es fundamental en la estructura legal y normativa del país, subrayando la importancia de la protección de la privacidad y los derechos de los ciudadanos.
  • Estos pilares establecen directrices claras para manejar datos con transparencia y seguridad, prohibiendo recolección excesiva y su uso engañoso.
Conoce más sobre los principios fundamentales de la ley

Nueva figura

  • La agencia de protección de datos personales, que fiscaliza y sanciona, es el ente clave para el cumplimiento. Dentro de cada empresa será el delegado de protección de datos (DPO) quién será el responsable de datos, supervisará los procesos y asesora en la correcta aplicación de la ley, es el enlace entre la organización y la agencia.
Conoce más sobre el Delegado de Protección de Datos (DPO)

Obligaciones claves

  • Las organizaciones deben documentar sus prácticas, aplicar políticas de protección de datos y asegurarse de que sus equipos comprendan la relevancia de estos controles. Además, deberán notificar a la agencia de inmediato cualquier incidente que ponga en riesgo la información de sus usuarios y demostrar el origen legítimo de los datos recopilados.

Derecho de los usuarios (ARCO)

  • Arco son las siglas de los derechos de los titulares de datos:  Derechos de Acceso, Derechos de Rectificación, Derecho de Cancelación y Derecho de Oposición sobre sus propios datos. Así las personas tendrán más control sobre su información. De esta forma podrán ver cómo se usa, corregir errores, pedir borrados y negarse a tratamientos no autorizados. Al ejercer estos derechos los titulares tendrán la tranquilidad de que sus datos no se usarán mal.
Conoce más sobre los derechos ARCO

Implicaciones de la ley con respecto a los menores de edad

  • Al proteger la información de niños y adolescentes el consentimiento dado por menores de edad no tiene valor, siempre se debe pedir consentimiento válido y verificable de padres o tutores. Se implementan controles adicionales para evitar la recopilación de datos sensibles y cualquier uso de esta información debe ser en beneficio del menor, sin fines comerciales o prácticas abusivas.

Implicaciones de la ley en el sector salud

  • El tratamiento de datos médicos tiene un nivel adicional de cuidado ya que implica información muy sensible. Las instituciones deben implementar medidas más estrictas como cifrado y protocolos de acceso limitado y tener consentimiento expreso de los titulares. Solo en casos de emergencia o interés público se podrá exceptuar este requisito estricto.

Ley 19.628 vs. ley 21.719

La evolución de las leyes de protección de datos en Chile es notable. La Ley Nº 19.628, que actualmente regula la materia, está siendo revisada y se espera que una nueva ley sea implementada entre 2023 y 2024. Esta nueva normativa busca fortalecer la protección de datos personales, adaptándose a los avances tecnológicos y alineándose con normativas internacionales como el RGPD.

Sanciones y riesgos para las empresas

La nueva normativa no solo contempla multas considerables, sino que también puede poner en jaque la reputación de quienes manejen datos personales de forma descuidada. Cumplir con este marco legal no es solo un tema de dinero: una brecha de seguridad puede generar desconfianza y afectar la credibilidad de una organización. Un incidente, aunque parezca menor, puede transformarse en multas onerosas y en un daño de imagen difícil de revertir.

Además, es importante destacar que el Tribunal Constitucional evaluará la Ley Orgánica de Protección de Datos Personales de Chile antes de su promulgación por el Presidente de la República, subrayando la relevancia de esta normativa en la protección de la privacidad y los derechos relacionados con el tratamiento de datos personales en el país.

  • Riesgos: Como ya mencionamos, las consecuencias van más allá de las multas, abarcando pérdida de clientes, cuestionamientos en redes sociales y posibles demandas. Mantener una buena reputación se convierte en un desafío si no se implementan medidas sólidas para proteger la información.
  • Niveles de infracción: Ahora, si vamos al marco legal, dentro de la nueva ley hay infracciones leves, graves y gravísimas con sanciones máximas de 5.000, 10.000 y 20.000 UTM respectivamente. Además si la infracción grave o gravísima se repite y la entidad no clasifica como pequeña, la multa podría llegar al 2% o 4% de sus ingresos anuales por ventas y servicios en Chile.
  • Ejemplos de infracciones leves, graves y gravísimas
    • Infracciones leves: Corresponden a errores que no cumplen totalmente las normas de gestión y protección de la información. Un ejemplo sería no informar a tiempo sobre cambios relevantes en el uso de datos o incumplir requisitos mínimos de transparencia. Aunque no necesariamente generan un daño masivo, sí evidencian descuidos que pueden afectar la confianza del titular.
    • Infracciones graves: Implica un perjuicio relevante para la privacidad de las personas, pone en riesgo la confidencialidad y la legitimidad del uso de datos. Entre ellas están la recolección o tratamiento de información sin consentimiento, divulgación no autorizada de datos sensibles y negar a los titulares el ejercicio de sus derechos de acceso, rectificación o eliminación de datos.
    • Infracciones gravísimas: Son transgresiones con un propósito malicioso o conciencia plena de su gravedad. Esto incluye usar datos personales de manera fraudulenta, divulgar información distorsionada sobre un titular, violar deliberadamente el secreto de datos sensibles o llevar a cabo transferencias internacionales con pleno conocimiento de su ilegalidad. Además, la omisión intencional de reportar brechas de seguridad y la desobediencia a resoluciones de la Agencia también se contemplan en este grupo.

Estrategias de cumplimiento: nuevo estándar de seguridad

Para alinearse con la nueva normativa, las organizaciones necesitan ir más allá de las medidas básicas de resguardo y exige un nivel adecuado de protección y seguridad de la información. Esta normativa se basa en gran medida en el Reglamento General de Protección de Datos de la Unión Europea, elevando los estándares de protección de datos en el país. 

La clave es un enfoque preventivo que permita anticiparse a brechas, proteger la infraestructura y reaccionar de forma coordinada si sucede algo imprevisto. De esta manera, se fortalece la confianza de los usuarios y se evitan daños financieros y de reputación.

Banco de datos inventariado

Identificar qué tipo de datos de carácter personal se recopila y almacena la empresa. Saber exactamente qué información se maneja y dónde se encuentra permite definir una evaluación de impacto acertada, establecer mejores controles y políticas de protección.

Controles técnicos de medidas de seguridad (encriptación, wipe, restauración, back up)

Incluir cifrado soluciona problemas de privacidad al codificar la información, mientras que el borrado remoto (wipe) es útil en caso de equipos extraviados o robados. Contar con planes de restauración garantiza la disponibilidad de los datos, y las copias de seguridad regulares permiten recuperar información ante incidentes como ataques informáticos o fallas de hardware.

Políticas de seguridad de la info

Las empresas deben delinear normas internas que guíen la gestión de datos y orienten a los equipos sobre las mejores prácticas de protección. Estas directrices deben abarcar desde el acceso restringido a la información hasta la clasificación de datos por nivel de criticidad, ajustándose a los requisitos regulatorios y a las características específicas de cada organización.

Respuesta ante incidente

Un procedimiento claro de reacción incluye asignar roles, definir comunicaciones internas y externas, y establecer planes de mitigación (conozca más sobre como definir un plan de respuesta ante incidentes). Esto facilita la toma de decisiones rápidas para minimizar el impacto y restaurar la operación con la menor interrupción posible. Ensayar estos planes permite que el equipo actúe con confianza y prontitud cuando ocurre un incidente real.

Notificación de incidentes

Informar a la Agencia y a los titulares involucrados con la suficiente rapidez es esencial para mantener la transparencia y brindar soporte adecuado a quienes pueden verse afectados. Esta práctica también envía una señal de responsabilidad y compromiso con la protección de datos, lo que contribuye a conservar la credibilidad y la buena relación con los clientes.

Checklist de cumplimiento para empresas en Chile (2025)

¿Estás preparado para cumplir con la nueva normativa de protección de datos en Chile? Utiliza este checklist práctico para evaluar y fortalecer el cumplimiento de tu organización paso a paso.

Beneficios de la implementación temprana

Adelantarse a las exigencias de la nueva normativa brinda un margen valioso para afinar procesos y capacitar equipos, sin esperar al último momento. Adoptar buenas prácticas de forma temprana evita contratiempos legales y posibles crisis de imagen.

Además, contar con sistemas robustos de protección no solo previene incidentes, sino que también facilita la adaptación progresiva a los requisitos de la ley cuando entren en vigencia.

Protección contra sanciones

Cumplir desde el inicio reduce la probabilidad de incurrir en pérdidas monetarias y en multas tempranas cuando la ley entre en vigencia. Al implementar políticas de seguridad y control, la empresa demuestra proactividad y responsabilidad ante la ley, asegurando que los procedimientos internos cumplan los estándares exigidos.

Aumento de la confianza del cliente

Mostrar un compromiso real con la protección de datos refuerza la cercanía con el usuario y genera una percepción positiva de la marca. Esta transparencia se vuelve un punto clave a la hora de retener y fidelizar clientes.

Reducción de brechas

Adoptar protocolos de seguridad y planes de contingencia de manera anticipada minimiza el riesgo de fugas de información. Además, facilita la identificación y resolución de posibles vulnerabilidades, evitando pérdidas financieras y daños de reputación.

Alineación con estándares globales (GDPR, ISO)

Ajustarse a criterios reconocidos internacionalmente no solo garantiza el cumplimiento local, sino que abre oportunidades de colaboración y negocios con mercados más exigentes. También muestra una imagen sólida de gobernanza y refuerza la competitividad de la empresa en el entorno digital. Por ejemplo, algunas empresas estadounidenses no hacen negocios con empresas que no tengan un certificado de seguridad SOC II.

Como Prey puede ayudar con el cumplimiento

Prey ofrece una solución integral para gestionar y proteger dispositivos de todo tipo, ayudando a las organizaciones a cumplir con la nueva normativa de datos sin complicaciones. Con un enfoque multiplataforma y herramientas que van desde el rastreo hasta la encriptación remota, se facilita la implementación de protocolos de seguridad sólidos. De esta forma, se reducen los riesgos de incidentes y se fortalece el control de la información.

Características de Prey que ayudan a cumplir con la nueva Ley

  • Protección y seguimiento de dispositivos: Permite localizar, bloquear y recuperar equipos en caso de pérdida o robo, asegurando la continuidad operativa y la protección de datos.
  • Remote Wipe y Factory Reset: Borra o restaura de forma remota la información sensible, evitando su acceso por personas no autorizadas.
  • Gestión de préstamos y automatizaciones: Controla asignaciones temporales de equipos con alertas y bloqueos si no se devuelven a tiempo, manteniendo la visibilidad total sobre su estado.
  • Cifrado de discos y Kill Switch (Windows): Eleva el nivel de protección con BitLocker y la capacidad de inutilizar equipos, previniendo accesos malintencionados a la información almacenada.

Protege tus datos y cumple con la normativa de forma sencilla y efectiva. Agenda una demo con nosotros para conocer más!

Sobre el mismo tema

La importancia del compliance en ciberseguridad para startups
La importancia del compliance en ciberseguridad para startups

Descubre estrategias efectivas de compliance en ciberseguridad para proteger tu empresa y cumplir con las normativas. ¡Lee más para asegurar tu negocio!

Apr 3, 2025
Continuar leyendo
Ley de protección de datos personales en Chile: guía completa
Ley de protección de datos personales en Chile: guía completa

Descubre los aspectos esenciales de la nueva ley de protección de datos en Chile y cómo tu organización puede adaptarse eficazmente.

Apr 2, 2025
Continuar leyendo
Ley de ciberseguridad en Chile: qué dice y cómo prepararte
Ley de ciberseguridad en Chile: qué dice y cómo prepararte

Descubre los aspectos esenciales de la nueva ley de ciberseguridad en Chile y cómo tu organización puede adaptarse eficazmente.

Apr 1, 2025
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar