El 1 de diciembre de 2026 entrará en vigor la nueva Ley de Protección de Datos Personales (21. 719), medida que considera la creación de la Agencia de Protección de Datos Personales e incorpora una serie de cambios en cuanto a cómo se regula la protección y el tratamiento de los datos personales. La norma, promulgada en noviembre de 2024 y publicada en diciembre del mismo año, sustituirá a la Ley sobre Protección de la Vida Privada (19.
628). Se espera que refleje un alineamiento con los estándares internacionales, como el del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), aplicado por la Unión Europea (UE) desde mayo de 2018. El ingeniero naval electrónico y ex vicealmirante de la Armada de Chile, Kenneth Pugh, declaró a La Tercera en octubre de 2025, mientras aún ejercía como senador: “En el mundo hoy en día los datos no solamente son la primera economía, son nuestra vida en el ciberespacio”.
“Todo se hace en base a los datos. Desde las conexiones que tenemos cuando ingresamos con el celular a las plataformas que utilizamos hasta las transacciones en los bancos. Todo genera datos.
Los vehículos que se mueven están entregando datos”. “La cantidad de datos que se está generando es inmensa y muchos de estos permiten determinar qué hacen las personas, cómo son, qué gustos tienen”, enfatizó Pugh. A continuación encontrarás los elementos esenciales que tienes que saber sobre la nueva ley y cómo pueden adaptarse las empresas a este escenario.
El director del área de Tecnología en el estudio Aninat Abogados, Gonzalo Navarro, quien ha trabajado en la implementación de actualizaciones normativas sobre datos personales en distintos países, explica a La Tercera que “un dato personal generalmente siempre lo asociamos al RUT, al nombre, al teléfono, a la dirección o a un correo electrónico, pero la verdad es que va mucho más allá”. “Un dato personal también es una opinión tuya en una red social, son tus hábitos de navegación, tu imagen, tu voz, una grabación. Básicamente, es todo lo que se puede asociar a una persona.
Entendiendo eso, lo que la ley abarca es el tratamiento de datos personales, es decir, cualquier cosa que se pueda hacer con un dato personal”. “Ahí está la importancia de la nueva ley, porque considera lo que hacemos diariamente las personas y cómo interactuamos no solamente entre nosotros, sino que con empresas, y cuáles son las obligaciones que se tienen”, agrega. El abogado afirma que este último punto es fundamental, ya que la normativa “implica para las empresas revisar sus procesos, actualizarlos y analizar dónde están tratando datos personales, tanto de terceros como de sus propios empleados”.
Esto, con el objetivo de cumplir con la regla. Por otro lado, dice Navarro, la ley también busca “empoderar a los titulares, o sea a nosotros, a las personas, con una serie de derechos”. Pugh afirmó que el primer cambio que impone la nueva ley es que los datos personales se consideran propiedad de las personas.
“Y como es propiedad, está regulado el cómo pueden hacer entrega de esos datos a un tercero para un fin específico. Aquello, con un mecanismo que se llama consentimiento”. Comentó que uno de los antecedentes a la norma es la reforma constitucional de 2018, en la que se incluyó la protección de los datos personales en el Artículo 19.
En un conversatorio informativo sobre la nueva norma, el cual fue organizado por la firma de marketing digital iProspect a principios de este año, el socio del estudio de abogados Gazmuri & Cia, Juan Cristóbal Gazmuri, abordó las diferencias entre la ley 19. 628 (la antigua, aún vigente) y la 21. 719 (la nueva, que entrará en vigor el 1 de diciembre).
Con la ley 19. 628, los tribunales civiles son los encargados de responder “de manera reactiva”. Es decir, explicó Gazmuri, “cuando uno se sentía vulnerado en sus derechos por temas de datos personales, tenía que iniciar una demanda, un reclamo jurisdiccional y recurrir a los tribunales”.
En cambio, la nueva Ley de Protección de Datos Personales incluye la creación de la Agencia de Protección de Datos. Si bien la normativa entrará en vigor en diciembre, se espera que la implementación de este organismo empiece antes. Dicha institución será la encargada de velar para que el cumplimiento de la ley sea eficiente.
Por lo tanto, tendrá un rol fiscalizador. Gonzalo Navarro, de Aninat Abogados, precisa: “El proceso que está en la nueva ley le otorga a las personas la posibilidad de reclamar ante la empresa o el responsable que está haciendo el tratamiento de sus datos personales. Y si no le responde, acudir a la agencia”.
“Hay una serie de derechos que están establecidos ahí: que eliminen tus datos personales, que te expliquen la finalidad, por qué los están utilizando, que te expliquen por cuánto tiempo los van a tener y que puedas oponerte a ciertos tratamientos de datos personales, entre otros”. Junto con ello, dice el experto, la Agencia de Protección de Datos Personales cumplirá con “interpretar la ley”, por lo que podrá presentar “regulación secundaria”. Un segundo elemento importante de la ley es el consentimiento, el cual es descrito en el documento oficial como “toda manifestación de voluntad libre, específica, inequívoca e informada, otorgada a través de una declaración o una clara acción afirmativa, mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen”.
Gazmuri afirmó en el conversatorio informativo que, hasta ahora, con la ley 19. 628, se ha permitido que el consentimiento sea “tácito” o “genérico”. Aquello se traduce, en términos sencillos, en que “ante el silencio del dueño del dato, se podía interpretar que estaba permitiendo usarlo”.
Con la nueva Ley de Protección de Datos Personales, se pasa a un consentimiento “explícito” o “específico”. “Esto significa, por ejemplo, que si una empresa quiere tomar un dato de una persona para utilizarlo para una campaña de marketing digital, tiene que pedirle explícitamente que ceda el uso para una acción específica y determinada. Y eso, además, activa una serie de obligaciones que las empresas van a tener que cumplir en términos de seguimiento y auditoría del dato”, dijo el abogado.
En otras palabras, las empresas y organizaciones “no solo tendrán que pedir el dato expresamente, sino que además tendrán que probar que lo pidieron expresamente”. A diferencia de la ley 19. 628 —que, tras probarse un perjuicio, podría llevar a una sanción posterior— , la 21.
719 se centra en la prevención y en la responsabilidad proactiva. “Le endosa a las empresas que manejan datos una obligación, ya sea directa o indirecta, de tener que gestionar los datos y mantener la custodia de estos de manera eficiente. Y, de hecho, el hacerlo de esa forma le puede eximir de futuras responsabilidades si es que hay un problema con los datos”.
Respecto a esto último, detalló: “Si una empresa tiene una estructura robusta puede liberarse de eventual responsabilidad, porque va a poder probar que el problema con respecto al dato no se generó por su desidia o negligencia, sino que fue por un factor externo”. Otro de los elementos esenciales de la ley 21. 719 es que —a diferencia de la ley 19.
628, que tiene un alcance local y limitado— establece herramientas para poder interactuar de manera internacional con los datos. “Las empresas van a poder transar los datos y moverlos, en la medida que cumplan con los requisitos, más allá de las fronteras”, dijo Gazmuri. La nueva normativa, que se hizo en base al GDPR de la UE, también tiene el objetivo de alinear al país con los estándares internacionales sobre la regulación y el tratamiento de datos personales.
El socio de Aninat Abogados, Martín Mois, dice a La Tercera que para las empresas chilenas que quieran salir a ofrecer sus servicios a otros países, especialmente a Europa, “esto va a ser muy bueno, porque los va a obligar a elevar un estándar al punto en que, por ejemplo, cuando tengan que lidiar con un negocio, podrán decir que cumplen con el estándar de la ley chilena, que es a grandes rasgos el mismo que tiene el reglamento europeo”. “Además, una de las novedades que trae la nueva ley es que la Agencia de Protección de Datos Personales va a estar a cargo, adicionalmente, de definir los países que tienen un nivel de protección igualmente adecuado al de Chile. Entonces, será como una especie de certificación de que se puede hacer tráfico de datos con esos países”.
Mois comenta que uno de los elementos que han visto con Navarro es que, hasta cierto punto, “se está anticipando la entrada en vigencia de la normativa, porque la imposición de los estándares de la ley no está llegando a través de la norma misma, sino que a través de obligaciones contractuales”. “Si, por ejemplo, tú eres una empresa chilena que atiende al mercado europeo, la exigencia de aumentar tus estándares ya te llegó, porque la norma europea, como es transfronteriza, obliga al que está fuera de la UE, pero que atiende principalmente a ciudadanos de la UE, a elevar sus estándares al del GDPR”. “Esa norma también está en la ley chilena, así que va a operar de forma inversa.
Esto quiere decir que si un negocio fuera de Chile está dedicado a atender ciudadanos chilenos, va a tener que cumplir con el estándar de la ley chilena”, enfatiza Mois. Navarro afirma que, a su vez, la nueva ley “trae una cadena de responsabilidad por el tratamiento de los datos personales”. Por lo tanto, a modo de ejemplo, si una empresa debe transferir datos personales a un tercero, y este último no cumple con los estándares o tiene algún problema en el tratamiento de esos datos, el receptor de los datos tiene tanta responsabilidad como el tercero.
“Eso crea una cadena de responsabilidad en la cual las empresas, digamos, más grandes, para cubrirse de esto, están exigiendo el mismo estándar a estas empresas terceras. Entonces, se crea una responsabilidad en cadena que se está viendo incluso antes de que entre en vigencia la ley. Es un efecto que ya hemos visto en otros países”.
Las potenciales multas por infringir la nueva Ley de Protección de Datos Personales se dividen en tres principales categorías. Cabe recordar que 1 UTM equivale a aproximadamente $69. 000 pesos chilenos.
Sin embargo, en caso de que exista reincidencia, la multa puede multiplicarse por hasta tres veces el monto asignado a la infracción cometida. En el conversatorio informativo organizado por iProspect, Gazmuri compartió una serie de recomendaciones para que las empresas y organizaciones que trabajan con datos puedan adaptarse a los requerimientos de la nueva ley. Estas son sus principales sugerencias: La gerente general de iProspect, Laura Flores, recalcó en la mencionada instancia que “este no es un tema aislado del mundo legal, sino que también es un cambio en cómo las marcas se relacionan con las personas”.
Esto último, dijo la especialista, trae consigo una serie de desafíos, los cuales incluyen desde cómo las empresas segmentan en sus campañas de marketing hasta cómo desarrollan sus estrategias, manejan datos y coordinan a sus equipos. Sin embargo, el cambio de escenario también puede generar oportunidades, sugirió Flores. “Antes el dato se consideraba simplemente un input que se tenía y operaba.
Hoy es un contrato basado en la voluntad. El objetivo puede seguir siendo segmentar y medir, pero hay que hacerlo con consentimiento, propósito y transparencia. Y, finalmente, ver una oportunidad en estos nuevos estándares para también fortalecer la confianza, la relevancia y la cercanía con los consumidores”.