El 13 de diciembre de 2024 fue publicada la Ley N° 21.719, que regula la protección y tratamiento de los datos personales en Chile y crea la Agencia de Protección de Datos Personales. Esta nueva legislación representa un cambio estructural en la forma en que las organizaciones deben recolectar, almacenar, tratar y resguardar la información personal de sus usuarios, clientes y trabajadores.
Desde el punto de vista de la informática y la ciberseguridad, esta ley no solo actualiza los marcos legales, sino que exige un cambio cultural y tecnológico en la gestión de datos. Se espera un enfoque proactivo de cumplimiento, donde las medidas de seguridad de la información ya no son solo una buena práctica, sino una obligación legal, con sanciones severas en caso de incumplimiento.
En este artículo te resumimos los 10 aspectos más relevantes que debes conocer si eres parte de un equipo TI, lideras procesos de transformación digital o estás a cargo de la seguridad de los datos en tu organización.
🔐 1. Seguridad como obligación legal
La ley obliga explícitamente a implementar medidas técnicas y organizativas para proteger los datos personales. No es opcional: cualquier tratamiento de datos debe contar con protocolos de seguridad que aseguren su confidencialidad, integridad y disponibilidad.
🧱 2. Principio de responsabilidad proactiva
Las organizaciones deben demostrar que cumplen con la ley, no basta con declarar buenas intenciones. Esto implica mantener registros de tratamiento, auditorías internas, formación del personal y pruebas documentadas de que se aplican buenas prácticas.
⚠️ 3. Evaluaciones de Impacto en Privacidad (EIPD)
Para cualquier tratamiento de datos con alto riesgo (por ejemplo, biometría, geolocalización o perfilamiento), se debe realizar una evaluación de impacto que identifique vulnerabilidades técnicas y proponga medidas de mitigación.
🕵️♂️ 4. Delegado de Protección de Datos (DPO)
Las organizaciones deben nombrar un Delegado de Protección de Datos, quien supervisa el cumplimiento legal, gestiona incidentes de seguridad y es el punto de contacto con la Agencia. Este rol se alinea con funciones de CISO o Compliance Officer en áreas TI.
🌐 5. Restricciones a transferencias internacionales
Se debe verificar que el país receptor tenga niveles adecuados de protección de datos personales. Las transferencias fuera de Chile solo se pueden hacer con garantías adicionales, como cláusulas contractuales tipo o decisiones de adecuación.
🧑💻 6. Trazabilidad y registros
La ley exige mantener registros actualizados de actividades de tratamiento, lo que implica contar con soluciones de logging, monitoreo y control de acceso a datos personales.
🔎 7. Derecho a la portabilidad de datos
Las empresas deben garantizar la capacidad técnica de exportar los datos del titular en formato estructurado, común y legible por máquina. Esto requiere procesos estandarizados y seguros para la entrega de esa información.
🚨 8. Notificación de incidentes de seguridad
En caso de violaciones de seguridad (brechas de datos, hackeos, fugas de información), se debe notificar a la Agencia y a los afectados sin dilación indebida, algo similar a lo que exige el RGPD europeo.
🔐 9. Criptografía y seudonimización
Aunque no lo menciona como obligación directa, la ley promueve el uso de técnicas de seudonimización, anonimización y cifrado para proteger los datos, lo que se alinea con prácticas de ciberseguridad modernas.
⚖️ 10. Multas e implicancias legales para TI
Las sanciones por incumplimiento pueden alcanzar las 20.000 UTM (~USD 1.400.000). Esto eleva la seguridad de la información al nivel de riesgo legal crítico, afectando directamente la planificación y presupuestos de TI y CISO.
Si quieres profundizar acerca de esta normativa que esta cerca de entrar en vigencia te dejamos este link.
Y si necesitas asesoría para apoyarte con la tecnología necesaria para implementar adecuadamente y cumplir con la norma, contáctanos aquí.
