Ley de Protección de Datos Personales Bancarios: Clave para la Confianza en el Sistema Financiero
agosto 2, 2025Contexto y necesidad de modernización
La protección de datos personales en Chile se regía desde 1999 por la antigua Ley N° 19.628 sobre Protección de la Vida Privada. Dicha normativa, inspirada en modelos extranjeros de la época, había quedado desfasada frente a la economía digital actual. Durante más de dos décadas, el vertiginoso avance tecnológico y los estándares globales (como el GDPR europeo) evidenciaron la urgencia de actualizar el marco legal chileno. Tras un prolongado proceso legislativo que se extendió por unos siete años, Chile dio un paso decisivo con la promulgación de la nueva Ley N° 21.719 a finales de 2024. Esta ley no solo reemplaza y moderniza a la Ley 19.628, sino que alinea la regulación chilena con los estándares internacionales de privacidad de datos, equiparándola en gran medida al Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Para las empresas de sectores financieros, tecnológicos y legales –que gestionan grandes volúmenes de información personal– esta actualización normativa era un imperativo para garantizar derechos de los titulares y fomentar la confianza en la economía digital.
Publicación de la Ley 21.719 y plazo de implementación
La Ley 21.719 fue publicada el 13 de diciembre de 2024 en el Diario Oficial, marcando oficialmente el inicio de una nueva era en la protección de datos en Chile. Sin embargo, su aplicación no es inmediata: la propia ley establece un período de transición de 24 meses antes de su entrada en vigencia. En consecuencia, la ley comenzará a regir plenamente el 1 de diciembre de 2026, otorgando a las organizaciones un plazo razonable para realizar los ajustes necesarios. Este periodo de vacancia legal tiene por objeto permitir la creación de la nueva Agencia de Protección de Datos Personales y dar tiempo a las instituciones públicas y privadas para adecuar sus políticas, procesos y sistemas a las nuevas exigencias. Es vital que las empresas aprovechen este intervalo para planificar e implementar las medidas de cumplimiento, ya que a partir de la fecha de vigencia todas las disposiciones serán exigibles.
Principales novedades de la Ley 21.719
La nueva ley introduce cambios sustanciales en el régimen de datos personales chileno. A continuación, se resumen sus principales novedades, que afectan directamente la gestión corporativa de datos:
- Nuevos derechos de los titulares: Se reconocen y refuerzan los derechos de las personas sobre sus datos. Además de los derechos ARCO tradicionales (Acceso, Rectificación, Cancelación –ahora denominada Supresión– y Oposición), la ley incorpora expresamente el derecho a la Portabilidad de los datos y el derecho a oponerse a decisiones basadas únicamente en tratamientos automatizados, incluyendo la elaboración de perfiles. En conjunto, los titulares pueden ahora exigir acceso a sus datos, rectificar información inexacta, solicitar la eliminación de datos personales, oponerse a cierto procesamiento, portar sus datos a otro proveedor y bloquear el tratamiento en determinados casos. Estos derechos son irrenunciables, gratuitos y deben poder ejercerse de forma expedita por parte de los ciudadanos, obligando a las organizaciones a establecer mecanismos claros para responder a dichas solicitudes en plazos breves (la ley fija 30 días hábiles, prorrogables por 30 días más, para responder a las solicitudes de los titulares).
- Principios del tratamiento de datos: La ley consagra una serie de principios rectores que deben guiar todo tratamiento de datos personales, alineados con las mejores prácticas internacionales. Entre ellos destacan los principios de licitud, lealtad y transparencia (tratamiento legítimo, leal y transparente frente al titular), limitación de la finalidad (los datos solo pueden usarse con fines específicos y legítimos), proporcionalidad (recolección de los datos mínimos necesarios), calidad o exactitud de los datos, seguridad (protección mediante medidas técnicas y organizativas), confidencialidad (deber de secreto) y responsabilidad proactiva (accountability) por parte del responsable. Estos principios pasan a ser obligaciones legales verificables: las empresas deberán adherir a ellos en sus prácticas diarias, pues su incumplimiento podría derivar en sanciones. En la práctica, esto implica incorporar desde el diseño de proyectos (“privacidad desde el diseño”) el respeto a estos principios, por ejemplo, minimizando la recolección de datos y garantizando su veracidad, seguridad y uso legítimo en todo momento.
- Obligaciones de las organizaciones: La Ley 21.719 impone deberes más estrictos tanto a responsables como a encargados del tratamiento de datos. En primer lugar, se exige obtener un consentimiento informado, libre e inequívoco del titular para tratar sus datos en la mayoría de los casos, salvo excepciones legales (por ejemplo, cumplimiento de obligaciones contractuales, interés legítimo debidamente ponderado, entre otras). Asimismo, todas las organizaciones deberán adoptar un enfoque proactivo de cumplimiento: la ley obliga a implementar medidas técnicas y organizativas apropiadas para proteger los datos y prevenir infracciones. Esto se traduce en la implementación de modelos de cumplimiento interno (programas de privacidad) que incluyan, por ejemplo, la designación de un Delegado de Protección de Datos (DPO) al interior de la institución, la definición de protocolos internos claros para tratamiento de datos (p.ej., procedimientos para atender solicitudes de derechos o manejar incidentes de seguridad) y la capacitación continua del personal involucrado en el tratamiento. Las empresas deberán adoptar políticas de seguridad de la información robustas, controles de acceso, cifrado y otras salvaguardas para garantizar la confidencialidad e integridad de los datos de clientes, usuarios y empleados. Adicionalmente, se instaura el principio de responsabilidad documentada: no basta con cumplir la ley, sino que la organización debe poder demostrar ese cumplimiento, llevando registros de las actividades de tratamiento, contratos de procesamiento de datos con terceros, evaluaciones de riesgo, etc. En suma, la nueva normativa exige un cambio cultural hacia una protección de datos “por defecto”, donde el respeto a la privacidad esté integrado en todos los procesos de negocio.
- Transferencias internacionales de datos: Por primera vez en Chile se establece un marco específico para las transferencias de datos personales fuera del país. Se busca garantizar que cuando los datos de chilenos sean enviados al extranjero, mantengan un nivel de protección adecuado. La regla general es que solo se podrán transferir datos fuera de Chile hacia jurisdicciones que ofrezcan niveles equivalentes de protección. La ley prevé varios mecanismos habilitantes, similares a los del GDPR: (i) transferencias a países declarados adecuados por la autoridad (es decir, cuya legislación de privacidad se considere equivalente); (ii) uso de cláusulas contractuales tipo, normas corporativas vinculantes u otros instrumentos jurídicos aprobados que obliguen al receptor extranjero a proteger los datos; o (iii) certificaciones y códigos de conducta reconocidos que garanticen salvaguardias apropiadas. Además, se contempla la publicación de una lista oficial de países adecuados y de modelos de cláusulas contractuales aprobadas, para orientar a las organizaciones chilenas. En la práctica, las empresas deberán revisar sus flujos transfronterizos de datos (por ejemplo, servicios en la nube, proveedores internacionales) y asegurarse de contar con alguno de estos mecanismos antes de enviar datos personales fuera de Chile.
- Evaluaciones de Impacto en la Protección de Datos (EIPD): Siguiendo la tendencia internacional, la ley introduce la obligación de realizar Evaluaciones de Impacto (similares a las DPIA del GDPR) cuando un tratamiento de datos personales pueda implicar riesgos elevados para los derechos de los titulares. En aquellas actividades de procesamiento que, por su naturaleza, alcance o fines, sean susceptibles de afectar significativamente la privacidad (por ejemplo, tratamientos masivos de datos sensibles, perfilamientos intensivos, monitoreo sistemático de zonas públicas o decisiones automatizadas de alto impacto), el responsable deberá llevar a cabo un análisis previo de riesgos y mitigaciones. La evaluación de impacto debe describir las operaciones de tratamiento y su finalidad, ponderar la necesidad y proporcionalidad del tratamiento, identificar los posibles riesgos para las personas y detallar las medidas de seguridad o garantías que se implementarán para atenuar esos riesgos. Esta herramienta preventiva obligará a muchas empresas a examinar cuidadosamente proyectos nuevos (p. ej. iniciativas de Big Data, inteligencia artificial aplicada a datos personales, etc.) antes de su despliegue, documentando el cumplimiento de la ley y los criterios de privacidad. De ser necesario, la Agencia de Protección de Datos podría opinar sobre dichas evaluaciones o incluso prohibir tratamientos especialmente riesgosos que no garanticen la protección adecuada.
- Notificación de brechas de seguridad: La nueva normativa impone a los responsables del tratamiento el deber de reportar incidentes de seguridad que comprometan datos personales. En caso de brechas de datos –es decir, accesos no autorizados, filtraciones, pérdida, destrucción o alteración de datos personales de forma accidental o ilícita– el responsable deberá notificar a la brevedad posible a la Agencia de Protección de Datos Personales. La comunicación debe hacerse sin demoras indebidas por el medio más expedito, una vez que se constate que la violación de seguridad podría implicar un riesgo razonable para los derechos de las personas afectadas. Si bien la ley no fija un plazo específico (a diferencia del GDPR que establece 72 horas para notificar a la autoridad), sí exige prontitud y deja a la Agencia la facultad de dictar lineamientos al respecto. Además de informar a la autoridad, cuando la brecha involucre datos sensibles, datos de niños, o información financiera, bancaria o comercial de las personas, se deberá notificar también a los titulares afectados en un lenguaje claro y sencillo. En caso de que la notificación individual no sea factible (por ejemplo, no se cuenta con contacto de los afectados), se deberá emitir un comunicado público a través de medios de amplia difusión. Igualmente, la empresa deberá documentar internamente cada incidente, registrando su naturaleza, el número de afectados, las categorías de datos comprometidos, las consecuencias (reales o potenciales) y las medidas correctivas adoptadas. Esta obligación de notificación obligará a las organizaciones a reforzar sus protocolos de ciberseguridad y respuesta a incidentes, ya que las brechas ya no podrán ocultarse y su mala gestión podría derivar en sanciones adicionales.
- Agencia de Protección de Datos Personales y régimen sancionatorio: Una de las piedras angulares de la reforma es la creación de la Agencia de Protección de Datos Personales (APDP), la primera autoridad nacional dedicada exclusivamente a velar por este derecho en Chile. La Agencia será un órgano autónomo con facultades amplias de fiscalización, instrucción y sanción, encargado de supervisar que las organizaciones –públicas y privadas– cumplan efectivamente la ley. Entre sus funciones estará dictar normas y directrices técnicas, certificar y registrar programas de cumplimiento en protección de datos, atender y resolver los reclamos de titulares, y llevar un Registro Público de Sanciones aplicadas. En cuanto al régimen sancionatorio, la ley tipifica infracciones leves, graves y gravísimas, con multas proporcionales a la gravedad. Las multas pueden alcanzar hasta 20.000 UTM (Unidades Tributarias Mensuales) para las infracciones más gravísimas, lo que equivale a más de US$1,4 millones. Las infracciones graves conllevan hasta 10.000 UTM de multa, y las leves hasta 5.000 UTM. Adicionalmente, la Agencia podrá sancionar con amonestaciones, órdenes de corrección e incluso la suspensión temporal de las operaciones de tratamiento del infractor en casos extremos. La ley prevé además agravantes: si el infractor no adopta medidas oportunas para mitigar el daño una vez detectada la infracción, la multa inicial podría incrementarse en un 50%, y en caso de reincidencia, las multas pueden triplicarse respecto del monto original. Este endurecido régimen de sanciones sitúa a la protección de datos a la altura de otras regulaciones críticas (como libre competencia o protección del consumidor) en cuanto a consecuencias financieras. Para las empresas, ello supone que el incumplimiento de la ley de datos conlleva riesgos económicos y reputacionales muy altos, por lo que invertir en cumplimiento y seguridad será mucho menos costoso que enfrentar multas millonarias y la pérdida de confianza de clientes.
Aplicación territorial y efecto extraterritorial
Un aspecto clave de la Ley 21.719 es su amplio ámbito de aplicación territorial, que asegura la protección de datos de las personas en Chile sin importar dónde se traten. Al igual que el GDPR europeo, la norma chilena tiene efecto extraterritorial: se aplicará no solo a los responsables (o sus representantes) establecidos en Chile, sino también a aquellos ubicados en el extranjero cuando sus actividades de tratamiento estén dirigidas a Chile. En concreto, la ley regirá en tres supuestos principales: (1) si los datos personales se tratan dentro del territorio nacional (por entidades chilenas o sucursales locales); (2) si un encargado o prestador de servicios, independientemente de donde esté establecido, trata datos por cuenta de un responsable con domicilio en Chile; y (3) si un responsable de datos extranjero trata datos de personas que se encuentran en Chile con el propósito de ofrecer bienes o servicios a aquellos individuos (sea que el servicio se pague o no), o para monitorear su comportamiento (por ejemplo, mediante seguimiento en línea, elaboración de perfiles o análisis de hábitos de navegación). En otras palabras, empresas sin presencia física en Chile pero que targetean al mercado chileno (por ejemplo, a través de plataformas web, ecommerce, apps) deberán también cumplir con esta ley. Incluso se prevé la aplicación de la ley si un controlador foráneo se somete voluntariamente a la jurisdicción chilena por contrato o por disposiciones de derecho internacional. Este alcance extraterritorial busca evitar vacíos legales y asegurar que los datos de los chilenos estén protegidos aunque sean procesados fuera del país, nivelando la cancha entre actores locales y globales. Las compañías multinacionales del sector tecnológico y financiero, en particular, deberán mapear cuidadosamente dónde y cómo procesan datos de ciudadanos chilenos para determinar si caen bajo la jurisdicción de esta normativa.
Recomendaciones para la adaptación institucional
Dada la magnitud de los cambios introducidos, las organizaciones –especialmente en industrias financieras, tecnológicas y legales que manejan gran cantidad de datos personales– deben prepararse con antelación para cumplir con la Ley 21.719. A continuación, se sugieren algunas acciones concretas para lograr una adecuada adaptación corporativa:
- Revisión y adecuación de contratos: Analice y actualice todos los contratos con terceros que involucren tratamiento de datos (por ejemplo, proveedores de servicios, socios comerciales, encargados del tratamiento). Es fundamental incorporar cláusulas de protección de datos alineadas a la nueva ley, definiendo claramente las responsabilidades de cada parte en materia de seguridad, confidencialidad y atención de derechos de titulares. Asimismo, revise los términos y condiciones de uso de datos en acuerdos con clientes y usuarios, asegurándose de que reflejen las bases de tratamiento permitidas por la ley (consentimientos obtenidos, finalidades legítimas, etc.). Estos ajustes contractuales mitigan riesgos legales y crean una cultura de cumplimiento extendida a la cadena de valor de la empresa.
- Nombramiento de Delegado de Protección de Datos (DPD/DPO): Designe a un Delegado de Protección de Datos Personales dentro de su organización, tal como lo exige la ley como parte del modelo de cumplimiento. Este profesional actuará como responsable interno de supervisar la implementación de la normativa, responder consultas de titulares y servir de enlace con la Agencia de Protección de Datos. Idealmente, el delegado debe poseer conocimientos especializados en privacidad y gozar de autonomía y recursos suficientes para ejercer sus funciones con independencia. En empresas de gran tamaño o que tratan datos sensibles/riesgosos, contar con un DPO preparado no solo cumple la exigencia legal sino que añadirá valor promoviendo mejores prácticas y evitando incidentes.
- Implementación de protocolos internos y medidas de privacidad: Desarrolle o actualice políticas y procedimientos internos para el manejo de datos personales, abarcando todo el ciclo de vida de la información (recolección, uso, almacenamiento, eliminación). Esto incluye establecer protocolos formales para atender solicitudes de derechos de los titulares en tiempo y forma, procedimientos de gestión de incidentes de seguridad (qué hacer ante una brecha de datos), esquemas de clasificación de datos sensibles, y reglas claras sobre quién accede a qué información dentro de la organización. También se recomienda adoptar el enfoque de “privacidad desde el diseño” y “privacidad por defecto” en proyectos tecnológicos: por ejemplo, minimizando la recolección de datos personales a lo necesario, pseudonimizando o cifrando datos, y realizando evaluaciones de impacto previas en iniciativas de alto riesgo. Adicionalmente, fortalezca las medidas de ciberseguridad: implemente controles de acceso robustos, doble autenticación, monitorización de posibles filtraciones y mantenga respaldos seguros, todo lo cual contribuye a cumplir con las exigencias de confidencialidad e integridad de la ley. Contar con estos protocolos y medidas no solo será clave para el cumplimiento, sino que reducirá la probabilidad de sanciones al demostrar ante la Agencia una actitud diligente y preventiva.
- Capacitación y cultura de protección de datos: Invierta en capacitación periódica de sus equipos sobre la nueva Ley 21.719, sus principios y procedimientos. Todo el personal que maneja datos personales (desde ejecutivos que definen estrategias comerciales hasta analistas de datos, desarrolladores de TI y personal de atención al cliente) debe comprender las obligaciones legales y las políticas internas de la empresa en esta materia. Organice talleres, cursos o charlas de sensibilización para explicar los nuevos derechos de los clientes/usuarios, las medidas de seguridad esperadas y las consecuencias de incumplimiento. Fomentar una cultura organizacional de respeto a la privacidad es crucial: cada empleado debe internalizar que la protección de datos es parte integral del servicio al cliente y del manejo ético de la información. Asimismo, establezca canales de comunicación para que los trabajadores puedan reportar eventuales vulneraciones o consultar dudas relativas al tratamiento de datos sin temor. Una fuerza laboral bien informada y consciente de la importancia de la privacidad será la mejor aliada para lograr y mantener el cumplimiento sostenido en el tiempo.
Importancia y alineamiento con estándares internacionales
La entrada en vigencia de la Ley 21.719 de Protección de Datos Personales representa un hito trascendental para Chile, equiparando nuestro país con las legislaciones más avanzadas del mundo en materia de privacidad. Para las instituciones del sector financiero, tecnológico, legal y otros rubros intensivos en datos, esta ley supondrá inicialmente un desafío de adecuación normativa; sin embargo, a largo plazo, brindará certeza jurídica, mayor confianza de los consumidores y la posibilidad de participar en la economía digital global en igualdad de condiciones. Al alinearse con estándares internacionales como el GDPR europeo y la LGPD brasileña, Chile facilita la interoperabilidad y flujo de datos con otras jurisdicciones, lo cual es fundamental para empresas multinacionales y para la competitividad del país en inversiones y servicios digitales. En suma, la Ley 21.719 no solo refuerza los derechos fundamentales de las personas sobre su información, sino que obliga a las organizaciones a elevar sus prácticas a un nivel de clase mundial. Su cumplimiento exigirá compromiso desde los más altos niveles ejecutivos hasta cada colaborador, implicando cambios tecnológicos, operativos y culturales profundos. No obstante, aquellas empresas que integren la protección de datos como parte de su gobernanza corporativa descubrirán que el cumplimiento puede ser un diferenciador positivo: fortalecerá la confianza de sus clientes, reducirá riesgos de incidentes y sanciones, y les permitirá destacarse en un mercado cada vez más consciente de la privacidad. En definitiva, la nueva normativa de datos personales, más que una carga regulatoria, debe verse como una oportunidad para modernizar procesos, asegurar la información y demostrar un compromiso real con la ética y la protección de la privacidad, consolidando a Chile en el camino hacia los más altos estándares internacionales en la era de la información.
Sources: La información anterior se basa en la Ley N°21.719 publicada en el Diario Oficial, así como en análisis especializados de dicha normativa, incluyendo referencias al texto de la ley disponible en el sitio de la Biblioteca del Congreso Nacional de Chile y guías de cumplimiento recientes para empresa. Estas fuentes respaldan la descripción de los nuevos derechos, obligaciones, principios y alcances de la ley, y ofrecen orientación sobre las mejores prácticas para la adaptación corporativa a este renovado marco legal de protección de datos.