


Plaza habilitada para comparar un seguro
Actualmente, Chile se prepara para un cambio regulatorio fundamental en materia de privacidad digital. Y es que la Ley N° 21.719, que regula la protección y el tratamiento de los datos personales, publicada en diciembre de 2024, comenzará a regir oficialmente a partir del 1 de diciembre de 2026, junto a un periodo de adaptación para que las organizaciones se adecuen a las nuevas exigencias.
Esta legislación tiene por objetivo regular las condiciones en que se realiza el tratamiento de los datos personales y elevar ampliamente los estándares de protección para las personas, dueñas de la información.
Con esta reforma, la legislación chilena se homologa al Reglamento General de Protección de Datos (GDPR) de la Unión Europea, permitiendo que Chile sea reconocido internacionalmente como un país con un nivel adecuado de protección de datos personales, lo que propone promover el comercio y las transferencias internacionales de información.
La nueva normativa regula a todas las organizaciones públicas y privadas que traten datos personales de personas naturales. En detalle, se aplica a:
Quienes realicen el tratamiento de datos personales dentro del territorio nacional.
Quienes realicen el tratamiento a nombre de un mandatario que se encuentre en Chile.
Aquellos casos en que el tratamiento esté destinado a ofrecer bienes o servicios a personas que estén en el país, incluso si el responsable de gestionar los datos no se encuentre presente en el territorio nacional.
Para entender la ley, es fundamental conocer sus conceptos básicos. Según la Guía Esencial para Pequeñas y Medianas Empresas sobre Protección de Datos, generada por la Cámara de Comercio de Santiago, lo primero es qué datos trata la organización, con qué fines, dónde se almacenan, quiénes tienen acceso y con quiénes se comparte la información:
Tratamiento de datos: Cualquier operación realizada sobre datos personales, como recolectar, almacenar, organizar, comunicar, consultar o eliminar información, ya sea por medios automatizados o físicos.
Datos personales: Cualquier información vinculada o referida a una persona natural identificada o identificable, como nombres, RUT, dirección, correo electrónico, cargo, remuneración, datos bancarios, registros de navegación o dirección IP, entre otros.
Datos sensibles: Son aquellos datos que pueden afectar de forma de manera significativa la privacidad o generar riesgos de discriminación.
Entre ellos se encuentran el origen racial o étnico, convicciones religiosas, opiniones políticas, datos de salud, datos biométricos -el refuerzo de su protección es uno de los cambios más relevantes de la Ley N° 21.719- y situación socioeconómica, entre otros. Además, su tratamiento requiere consentimiento explícito y reforzado.
Bajo la Ley N° 21.719, ningún dato personal puede ser tratado libremente. Toda organización debe justificar su tratamiento de datos en alguna de las bases de licitud autorizadas por la normativa, las cuales son:
Consentimiento del titular: Consiste en la manifestación de voluntad libre, específica, informada e inequívoca de la persona. Para ello, el titular debe conocer quién tratará sus datos, cuáles serán tratados, con qué finalidad y cómo puede revocar su autorización.
Ejecución de un contrato: Cuando el tratamiento de datos sea indispensable por parte de una empresa para cumplir una relación contractual con el titular (ej. gestión de pagos o emisión de facturas, entre otros).
Cumplimiento de una obligación legal: Cuando la ley obliga o autoriza expresamente a la empresa a recopilar o conservar ciertos datos (ej. registros tributarios o previsionales).
Interés legítimo: Cuando exista un interés justificado de la organización o un tercero, siempre que no prevalezca sobre los derechos y libertades de las personas (ej. sistemas de videovigilancia).
Con la nueva normativa, se determinan ciertos derechos -Acceso (A), Rectificación (R), Supresión (S), Oposición (O) y Portabilidad (P)-, conocidos con la sigla ARSOP-B, con el fin de garantizar el control y el poder de intervención sobre sus datos personales, constituyendo uno de los pilares fundamentales de la nueva forma de gestionar datos.
En ese sentido, las empresas deben habilitar canales y procedimientos formales para recibir y responder a solicitudes ARSOP-B oportunamente, abordando requerimientos sobre los siguientes derechos reconocidos por ley:
Acceso (A): Derecho a conocer si se tratan datos, categorías, finalidad, base de licitud, destinatarios, plazo de conservación y transferencias internacionales.
Rectificación (R): Derecho a corregir o actualizar datos inexactos, incompletos, erróneos o desactualizados.
Supresión (S): Derecho a eliminar datos cuando no sean necesarios para la finalidad declarada, se retire el consentimiento o el tratamiento sea ilícito.
Oposición (O): Derecho a solicitar que la organización deje de tratar datos (ej.: publicidad, perfiles comerciales, tratamientos basados en interés legítimo).
Portabilidad (P): Derecho a obtener una copia de los datos en formato estructurado e interoperable, o solicitar su transmisión a otro responsable.
Bloqueo (B): Derecho a suspender temporalmente el tratamiento mientras se discute la exactitud de los datos o existe una reclamación pendiente.
Para fiscalizar el cumplimiento de estas obligaciones, la ley crea la Agencia de Protección de Datos Personales, un organismo creado para investigar, fiscalizar y sancionar administrativamente a los infractores.
En esa misma línea, la norma contempla distintas sanciones según la gravedad de la infracción:
Infracciones leves: Multas de hasta 5.000 UTM
Infracciones graves: Multas de hasta 10.000 UTM
Infracciones gravísimas: Multas de hasta 20.000 UTM
Además de las multas, la Agencia puede recurrir a medidas correctivas, como ordenar el cese de ciertas operaciones de tratamiento, exigir la adopción de medidas de seguridad obligatorias, la adecuación de procesos, etc.
En Vida Cámara asumimos esta transformación digital y normativa con total responsabilidad. La entrada en vigencia de la Ley N° 21.719 es el 1 de diciembre de 2026 y, para nosotros, la rigurosidad en el cumplimiento y la adecuación de los procesos internos no es solo una obligación legal: es una oportunidad para construir relaciones basadas en la transparencia y la confianza con nuestros asegurados, colaboradores y proveedores.
Cuidar tus datos es, en esencia, otra forma de cuidar de ti y de tu bienestar. Y otorgar un mejor acceso a la salud en Chile es nuestro compromiso.
La ley fue publicada en diciembre de 2024 y comenzará a regir el 1 de diciembre de 2026. Este plazo busca que las organizaciones logren adaptarse antes del inicio de las fiscalizaciones.
No, el consentimiento es solo una de las bases legales que autorizan el tratamiento de datos. También es lícito por ejecución de un contrato, obligación legal o interés legítimo de la empresa.
Son aquellos que pueden afectar de manera significativa la intimidad de una persona o generar discriminación. Su tratamiento está prohibido por regla general, a menos que exista un consentimiento explícito y reforzado del titular.
La Agencia puede fiscalizar, ordenar el cese de tratamientos de datos y aplicar multas administrativas. Las sanciones económicas son de carácter gradual y pueden alcanzar un límite máximo de 20.000 UTM. Además, la Agencia puede dictar medidas correctivas, como ordenar el cese temporal o definitivo de los tratamientos de datos que infrinjan la ley.
Es el fundamento legal que autoriza a la organización a tratar datos personales. Antes de recopilar o utilizar esta información, la empresa debe ser capaz de justificar por qué está autorizada para tratar cada conjunto de datos.