policytracker.lat
Catálogo
ChileProtección de Datos PersonalesVigencia diferidaanotada

Ley N° 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales

También conocida como: Nueva Ley de Datos Personales Chile · Reforma PDP Chile

Ley N° 21.719, D.O. 13.12.2024 (Chile)

Resumen

Reforma estructural del régimen chileno de protección de datos personales que sustituye en lo medular a la Ley 19.628, alinea el marco con estándares OCDE e incorpora elementos inspirados en el RGPD europeo. Crea una autoridad de control autónoma y un régimen sancionatorio escalonado.

Disposiciones clave

  • Crea la Agencia de Protección de Datos Personales como organismo autónomo con potestad fiscalizadora y sancionatoria.
  • Define categorías especiales de datos sensibles, datos de niños, niñas y adolescentes y datos relativos a infracciones.
  • Establece bases de licitud expresas (consentimiento, contrato, interés legítimo, obligación legal, vital, interés público).
  • Reconoce derechos ARCO+P (acceso, rectificación, cancelación, oposición, portabilidad y derecho a no ser objeto de decisiones automatizadas).
  • Régimen sancionatorio en infracciones leves, graves y gravísimas, con multas de hasta 20.000 UTM.
  • Obliga a designar delegado de protección de datos en ciertos casos y a realizar evaluaciones de impacto.

Régimen sancionatorio

Multas escalonadas hasta 20.000 UTM (gravísimas), accesoriamente suspensión de operaciones de tratamiento y registro público de infractores.

Contexto y motivación

La Ley 21.719 culmina más de una década de discusión sobre la modernización del régimen chileno de protección de datos personales, vigente desde 1999 con la Ley 19.628. El proyecto se ingresó en marzo de 2017 (Boletín 11.144-07) y combinó dos iniciativas paralelas en el Senado y la Cámara, con tramitación intensificada a partir de 2022 en el contexto del proceso de adecuación de Chile a los estándares OCDE y al adequacy assessment de la Unión Europea.

Estructura de la norma

La ley se estructura en ocho títulos:

  1. Disposiciones generales: ámbito, definiciones, principios.
  2. Derechos de las personas titulares.
  3. Bases de licitud y obligaciones de los responsables.
  4. Tratamientos especiales (datos sensibles, niñez, salud, biométricos, geolocalización, fines de investigación).
  5. Transferencias internacionales.
  6. Agencia de Protección de Datos Personales.
  7. Procedimientos e infracciones.
  8. Disposiciones transitorias (incluida la vacancia de 24 meses).

Disposiciones clave

La reforma introduce una arquitectura institucional inexistente bajo la 19.628: una agencia autónoma con personalidad jurídica, presupuesto propio y atribuciones para emitir instrucciones, certificar mecanismos de cumplimiento y aplicar sanciones por sí misma. Esta agencia reemplaza el modelo previo de tutela judicial dispersa.

En el plano sustantivo, destaca la incorporación expresa del interés legítimo como base de licitud, sujeta a test de ponderación documentado, y la regulación específica de decisiones individuales automatizadas, con derecho a obtener intervención humana significativa en decisiones con efectos jurídicos relevantes.

El régimen de transferencias internacionales combina el modelo del nivel adecuado (con lista emitida por la Agencia) con cláusulas tipo, normas corporativas vinculantes y mecanismos de certificación.

Autoridad de aplicación

La Agencia de Protección de Datos Personales es un órgano autónomo, descentralizado, dirigido por un Consejo Directivo de tres miembros designados por el Presidente de la República con acuerdo del Senado por mayoría calificada. Su modelo orgánico es similar al CPLT pero con un marco de competencias más amplio.

Régimen sancionatorio

Se distinguen tres categorías de infracciones:

  • Leves: hasta 5.000 UTM.
  • Graves: hasta 10.000 UTM.
  • Gravísimas: hasta 20.000 UTM, además de medidas accesorias.

Las infracciones reiteradas duplican el monto máximo. Se contempla un Registro Nacional de Sanciones de carácter público.

Comentario editorial

Esta ley representa el cambio más significativo en privacidad informacional en Chile desde 1999. Es una transposición pragmática, no literal, del RGPD: mantiene una arquitectura propia y adapta institutos europeos al lenguaje administrativo chileno. Tres aspectos merecen atención:

Vacatio legis de 24 meses. Otorga al sector privado y público un plazo razonable para adecuación, pero requiere de la Agencia una intensa labor de soft law (instrucciones, guías, plantillas) durante 2025 y 2026 para evitar que la entrada en vigor encuentre al ecosistema sin orientación operativa.

Interés legítimo y test de ponderación. Su aplicación práctica dependerá centralmente de cómo se construyan los criterios de ponderación. La experiencia europea muestra que es la base más controvertida y que su uso indebido en publicidad comportamental es una fuente persistente de litigación.

Modelo de financiamiento de la Agencia. El presupuesto inicial proyectado puede resultar insuficiente frente al volumen de denuncias previsible. Comparado con las dotaciones de la AEPD española o la ANPD brasileña en sus primeros años, la chilena parte con un equipo significativamente menor.

Estado actual

La ley fue publicada el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026. Durante 2025 y 2026 la Agencia inició la dictación de instrucciones generales sobre evaluaciones de impacto, designación de delegados de protección de datos y mecanismos de transferencia internacional. La adecuación europea continúa en evaluación por la Comisión Europea.

Tags

#datos-personales#agencia#sanciones#transferencia-internacional#decisiones-automatizadas#rgpd

Citar esta ficha

Cita sugerida: Policy Tracker LATAM (2024). Ley N° 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales [Chile]. Policy Tracker LATAM. Recuperado el 15-05-2026 de https://policytracker.lat/regulaciones/cl/ley-21719-proteccion-datos-personales