Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos. 

Cada 28 de enero se conmemora el Día Internacional de la Protección de Datos Personales, y para Chile esta fecha es especial. A partir del 1º de diciembre de 2026, entra en vigor la Ley N.º 21.719 que modifica la actual normativa, Ley N.º 19.628 sobre protección de datos personales, y sin duda, será un cambio de paradigma en cómo las organizaciones manejan los datos personales, tanto de colaboradores como de sus propios clientes e inclusive, terceros o proveedores.

Si bien, se ha mencionado bastante sobre los elementos comunes que tiene la normativa chilena con algunos aspectos de la regulación europea, por ejemplo, lo asociado con la consagración de principios y los deberes para los responsables del tratamiento de datos personales y obligaciones para los encargados del tratamiento, también existen algunos elementos que no fueron abordados de manera idéntica a la normativa europea. 

Un ejemplo de esto sería la obligación de contar con un registro de actividades de tratamiento, siendo únicamente mencionado de manera indirecta a propósito de los Modelos de Prevención de Infracciones en cuanto a la “identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos, y la caracterización de los titulares de datos”, además, de “la identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de infracciones” y la figura del delegado de protección de datos personales, que en la normativa europea es obligatorio cuando el procesamiento es realizado por una autoridad pública, se realicen actividades de observación habitual a gran escala o se realizan actividades de datos sensibles a gran escala (art. 37.1 GDPR).

ADVERTISEMENT

Radarfirst- Looking for clarity and confidence in every decision? You found it.

No obstante, y ante la inminente entrada en vigor de la normativa en Chile, la Comisión Asesora Ministerial, mediante sus recomendaciones, propuso avanzar en materias críticas de la implementación, como las transferencias internacionales de datos personales. De esta manera, en diciembre del 2025, mediante Resolución Exenta de la Subsecretaría de Economía y Empresas de Menor Tamaño, aprobó las cláusulas contractuales modelo para transferencias internacionales, basándose en el modelo aprobado por la Red Iberoamericana de Datos, que deberán ser ratificadas cuando la Agencia de Protección de Datos Personales se instale. 

Además, recientemente en enero 2026, a través del Proyecto de reajuste al sector público (Mensaje 275-373), se aprobaron algunas normas asociadas con esta materia, tales como: 

  • El Consejo Directivo de la Agencia será designado antes del 1º de junio de 2026; por ende, la propuesta presidencial debe ser entre los meses de marzo y abril. En caso de que el Senado no se pronuncie antes del 1º de junio, se entenderá aceptada la propuesta de los consejeros. Sin perjuicio, de mantener la entrada en vigor de la normativa para el 1º de diciembre del 2026 y, por ende, solo serán obligatorias las instrucciones que dicte la Agencia desde esta fecha.
  • Finalmente, por iniciativa del Senado, se prohibió que los actuales integrantes de la Comisión Asesora Ministerial pudieran integrar la propuesta presidencial para ser consejeros.

Sin perjuicio de ello, se presentó un Proyecto de Ley por moción parlamentaria que viene a “perfeccionar algunos aspectos de la Ley N.º 21.719” (Boletín Nº 18.060-07) y que actualmente se encuentra en primer trámite constitucional. Entre las modificaciones propuestas, se pueden señalar: 

  • Limitación del ámbito de aplicación de la Ley, especialmente en lo relativo a la regla extraterritorial (del actual art. 1 bis de la Ley N.º 21.719).
  • Modificación al concepto de datos personal sensible, reduciendo aquellas categorías que pueden ser consideradas como genéricas y ambiguas, a propósito de la expresión “características físicas o morales de las personas o hechos o circunstancias de su vida privada o intimidad”; además, de categorías como “situación socioeconómica” y “afiliación política y gremial”.
  • Eliminación de la exigencia de que las empresas designen ante la Agencia un contacto de representante legal para efectos del ejercicio de los derechos de los titulares.
  • Reabre la discusión sobre las fuentes de acceso al público, estableciéndolas como una base de licitud, permitiendo que se funde el tratamiento de los datos contenidos en ellas cuando esté relacionado con los fines para los cuales fueron colocadas a disposición o entregadas. 
  • Eliminación del derecho al bloqueo que se otorga al titular, entendiéndolo como una medida cautelar y provisoria que debiese presentarse por otras vías.
  • Incorporación de una hipótesis de excepción para aquellas transferencias internacionales —específicas y no habituales— entre sociedades o entidades que pertenezcan a un mismo grupo empresarial, empresas relacionadas o sujetas a un mismo controlador en los términos indicados en la Ley de Mercado de Valores (art. 27, inciso 2º, de la Ley N.º 21.719).
  • Modificación de las sanciones, reduciéndolas, por ejemplo, en el caso de aquellas leves en un rango entre 1 y 100 unidades tributarias mensuales, manteniendo la amonestación escrita; graves en un rango entre 101 y 1.000 UTM; y aquellas gravísimas en un rango entre 1.001 y 5.000 UTM. Además, de establecer tope en las hipótesis de reincidencias para aquellas empresas diversas a las definidas como de menor tamaño (art. 35 letras a), b) y c) de la Ley N.º 21.719).
  • Además, realiza modificaciones en los Modelos de Prevención de Infracciones, entendiendo que se dará por cumplido con la designación de un encargado de prevención o delegado de protección de datos personales o mediante la adopción de un programa de cumplimiento o de prevención de infracciones, entre otras.

Para concluir, como se visualiza, Chile está viviendo un momento dinámico en cuanto a la pronta entrada en vigencia de la reforma a la normativa de datos personales, que sin duda, nos permite afirmar que este 2026, será un año con tremendos desafíos para la Agencia de Protección de Datos Personales cuando se instale y su articulación con otras materias relacionadas para lograr un enfoque que habilite el reconocimiento efectivo de este derecho fundamental en las operaciones de datos personales que se realizan en nuestro país, donde el componente cultural será clave para su éxito.

Juan Pablo González Gutiérrez es abogado, director de HD Group en materia de protección de datos personales y ciberseguridad; y académico.