Ley 21.719 sobre Protección y Tratamiento de Datos Personales
Contexto
El aumento de la digitalización y del uso de datos personales ha impulsado la creación de una nueva ley que protege los derechos de las personas sobre su información.
La Ley 21.719 sobre “Protección y Tratamiento de Datos Personales”, publicada el 13 de diciembre de 2024, moderniza y amplia la antigua Ley 19.628 sobre “Protección de la Vida Privada”. Esta nueva legislación se alinea con estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
La nueva Ley obliga a las empresas a adoptar buenas prácticas en el uso de los datos que manejan y entrará en vigencia el 1 de diciembre de 2026, otorgando un período de adaptación de 24 meses para que las empresas ajusten sus políticas y prácticas al nuevo marco legal.
¿Cómo impacta en concreto esta Ley en las empresas?
La Ley 21.719 implica un cambio importante en la manera en que las empresas deben tratar los datos personales en Chile. En términos prácticos, toda organización que recolecte, almacene o procese datos personales deberá implementar medidas concretas para asegurar el cumplimiento legal.
1. Respetar los principios de tratamiento de datos. Por ejemplo: los datos sólo se pueden usar para fines legítimos y específicos, se debe recolectar solo los datos mínimos necesarios, entre otras.
2. Transparentar como se hace el tratamiento de datos. Por ejemplo: qué datos se recopilan, para qué los usan, con quién los comparten, por cuánto tiempo los conservan, etc.
3. Gestionar y responder solicitudes de las personas respecto al tratamiento de sus datos. Por ejemplo: establecer canales de contacto, responder en plazos establecidos por la Ley, llevar registro de las solicitudes y acciones tomadas, entre otras.
4. Demostrar consentimiento o justificación legal para el tratamiento de datos. Por ejemplo: Determinar si el titular entregó su consentimiento libre e informado o bien existe una base legal válida. Esto implica revisar contratos, formularios de contacto, avisos legales y cualquier punto de recolección de datos.
5. Establecer controles organizacionales y tecnológicos para proteger los datos personales que trata la empresa. Por ejemplo: establecer políticas y procedimientos internos, control de accesos, cifrado, respaldo, monitoreo, capacitación del personal, etc.
Esta Ley establece responsabilidad proactiva, es decir, las empresas deben ser capaces de demostrar ante la autoridad que cumplen con la Ley, manteniendo registros y documentación que respalden su actuar.
Son muchos aspectos los que hay que abordar, esto es lo que justifica el plazo de 24 meses establecidos como período de adaptación. Es importante empezar a trabajar con tiempo pues no es algo que se pueda resolver de un día para otro.
¿Qué pasa si la empresa no cumple con esta ley?
Esta Ley crea la “Agencia de Protección de Datos Personales”, que corresponde a una autoridad independiente encargada de fiscalizar y garantizar el cumplimiento de la Ley, para lo cual aplicará multas por incumplimiento, que en su grado menor pueden llegar hasta las 5.000 UTM (aproximadamente 335 millones de pesos) y además triplicarse por reincidencia.
Adicionalmente, las empresas que incumplan y sean sancionadas serán publicadas en el “Registro Nacional de Sanciones y Cumplimiento”, el que será de acceso público y gratuito, lo que puede afectar seriamente la reputación de las empresas y dificultar la realización de negocios con actuales y potenciales clientes.
Por eso, anticiparse no solo permite evitar sanciones, sino también posicionar a la empresa como confiable frente a clientes y socios que valoran la protección de datos personales.