Ley de Protección de Datos Personales en Chile: guía para empresas

En un mundo donde los datos personales son uno de los activos más valiosos, Chile cuenta con la Ley 19.628 sobre Protección de la Vida Privada, que regula el tratamiento de datos personales. Esta normativa ha sido modernizada y tiene implicaciones concretas para toda empresa que recopile, almacene o procese información de personas naturales, ya sean clientes, empleados o proveedores.

Estado de la legislación en 2026

Chile avanzó en el proceso de modernización de su ley de datos personales, alineándola con estándares internacionales como el GDPR europeo. El Congreso aprobó modificaciones sustantivas que amplían los derechos de los titulares y las obligaciones de las organizaciones. Consulta con un especialista legal para conocer el estado vigente en la fecha de lectura de este artículo.

¿Qué son los datos personales?

La ley define datos personales como toda información referida a personas naturales, identificadas o identificables. Esto incluye:

Datos básicos de identificación: nombre, RUT, fecha de nacimiento, dirección, correo electrónico, teléfono.
Datos sensibles: origen étnico, salud, vida sexual, opiniones políticas, creencias religiosas, datos biométricos. Estos reciben protección especial.
Datos de comportamiento digital: direcciones IP, cookies, historial de navegación, localización.
Datos laborales: información sobre empleados, evaluaciones de desempeño, remuneraciones.

¿Quiénes están obligados?

Toda persona natural o jurídica, pública o privada, que realice tratamiento de datos personales de personas naturales domiciliadas en Chile está sujeta a esta ley. En términos prácticos, esto incluye prácticamente a cualquier empresa que:

Mantenga una base de datos de clientes o prospectos.
Registre información de sus trabajadores.
Opere un sitio web con formularios de contacto o cookies.
Use un CRM, ERP o cualquier sistema que almacene información de personas.
Procese pagos electrónicos con datos de tarjetahabientes.

Principios fundamentales del tratamiento de datos

La ley establece principios que deben respetarse en todo tratamiento de datos personales:

Licitud y finalidad

Los datos solo pueden recopilarse para fines específicos, explícitos y legítimos. No pueden usarse para propósitos distintos al declarado al momento de la recolección.

Consentimiento

El tratamiento de datos personales requiere el consentimiento libre, informado, específico e inequívoco del titular, salvo que la ley establezca una base legal alternativa (contrato, interés legítimo, obligación legal).

Minimización de datos

Solo se deben recopilar los datos estrictamente necesarios para el fin declarado. Recopilar más datos de los necesarios es una infracción.

Exactitud y actualización

Los datos deben ser exactos, completos y actualizados. El responsable del tratamiento debe corregir o eliminar datos inexactos.

Seguridad

Deben implementarse medidas técnicas y organizacionales para proteger los datos contra pérdida, acceso no autorizado, alteración o divulgación.

Responsabilidad (accountability)

El responsable del tratamiento debe ser capaz de demostrar el cumplimiento de todos los principios anteriores mediante documentación, políticas y registros.

Derechos de los titulares de datos

Los titulares de datos (clientes, empleados, etc.) tienen derechos reconocidos que tu empresa debe estar en condiciones de ejercer:

Derecho	¿Qué significa?	Plazo de respuesta
Acceso	El titular puede saber qué datos tuyos procesa la empresa	15 días hábiles
Rectificación	Puede solicitar corregir datos incorrectos o desactualizados	15 días hábiles
Cancelación / Supresión	Puede pedir que se eliminen sus datos cuando ya no sean necesarios	15 días hábiles
Oposición	Puede oponerse al tratamiento para fines específicos (ej: marketing)	15 días hábiles
Portabilidad	Puede solicitar sus datos en formato estructurado y legible por máquina	30 días hábiles
Revocación del consentimiento	Puede retirar su consentimiento en cualquier momento	Inmediato

Obligaciones prácticas para las empresas

Más allá de los principios, la ley impone obligaciones concretas que requieren acción:

Política de privacidad: Publicar en tu sitio web una política clara que informe qué datos recopilas, con qué finalidad, por cuánto tiempo y a quiénes los compartes.
Registro de actividades de tratamiento: Mantener un registro interno de todas las operaciones de tratamiento de datos (qué datos, para qué, quién tiene acceso, dónde se almacenan).
Contratos con proveedores (encargados de datos): Si usas proveedores cloud, CRM o cualquier servicio que procese datos de tus clientes, debes firmar contratos de encargo de tratamiento que garanticen el mismo nivel de protección.
Notificación de brechas de seguridad: En caso de una filtración o violación de datos, debes notificar a la autoridad competente y a los afectados dentro de los plazos establecidos.
Cookies y tracking web: Si tu sitio usa cookies de seguimiento o análisis, debes implementar un banner de consentimiento y una política de cookies.

Sanciones

Las infracciones a la ley de datos personales pueden resultar en multas significativas. La ley modernizada en Chile incorpora un régimen sancionatorio más robusto, con multas que pueden alcanzar miles de UTM para infracciones graves. Además, las empresas pueden enfrentar demandas civiles por parte de los titulares afectados.

Pasos concretos para cumplir hoy

Inventario de datos: Identifica todos los datos personales que tu empresa recopila, dónde están almacenados y quién tiene acceso.
Revisa tus bases legales: Para cada tipo de tratamiento, identifica la base legal que lo sustenta (consentimiento, contrato, interés legítimo, etc.).
Actualiza tu política de privacidad: Asegúrate de que sea completa, clara y esté actualizada en tu sitio web.
Implementa mecanismos de consentimiento: Para marketing y cookies, implementa mecanismos de opt-in o opt-out claros.
Capacita a tu equipo: Todos los colaboradores que manejen datos personales deben conocer sus obligaciones.
Revisa contratos con proveedores: Asegúrate de que tus proveedores cloud y de software cumplan con la normativa.
Prepara un protocolo de brechas: Define qué hacer en caso de una filtración de datos: a quién avisar, en cuánto tiempo y cómo documentarlo.

                 Tecnología al servicio del cumplimiento
                Microsoft 365 y Google Workspace incluyen herramientas de DLP (prevención de pérdida de datos) que ayudan a proteger datos sensibles.
Las soluciones de gestión de acceso e identidades (IAM) reducen el riesgo de acceso no autorizado a datos personales.
Los sistemas de backup cifrado protegen los datos en caso de incidente.
Un sistema de tickets como NexusDesk permite gestionar y registrar las solicitudes de titulares (acceso, rectificación, etc.).

            

Conclusión

El cumplimiento de la normativa de protección de datos personales no es solo una obligación legal: es una señal de respeto hacia tus clientes y colaboradores, y un factor de confianza para tu negocio. Las empresas que gestionan bien los datos personales construyen relaciones más sólidas con sus clientes y reducen el riesgo de incidentes costosos.

En Adecua te ayudamos a implementar las medidas técnicas necesarias para proteger los datos personales que tu empresa maneja: desde configuración de permisos y accesos, hasta implementación de plataformas cloud con las garantías de seguridad adecuadas.

¿Necesitas apoyo técnico para cumplir con la normativa de datos?

Implementamos controles técnicos de protección de datos, configuración de accesos y herramientas de seguridad para tu empresa.

Contactar a Adecua

Ley 19.628 Datos personales Privacidad Chile PDPA Legislación TI Compliance

Equipo Adecua

Especialistas en Tecnología e Información

Adecua asesora a empresas chilenas en el cumplimiento técnico de la normativa de ciberseguridad y protección de datos personales.