¿Te enteraste? La nueva Ley de protección de datos en Chile viene con cambios que te pueden impactar

En simple: ¿qué busca la nueva ley?

Que las organizaciones usen datos con reglas claras y, sobre todo, que puedan demostrar que los protegen. Ya no alcanza con “tener políticas”: se espera control, evidencia y respuesta.

4 cosas que te van a exigir “en la práctica”

• Saber qué datos tienes y dónde están (inventario básico).
• Controlar accesos (MFA, mínimos privilegios, cuentas privilegiadas bajo control).
• Gestionar proveedores (si un tercero trata datos por ti, necesitas contratos y exigencias de seguridad).
• Tener plan de incidentes (qué hacer, quién decide, cómo se evalúa el impacto).

Fechas clave de la Ley (para pegar)

• 13 de diciembre de 2024: publicación en el Diario Oficial de la Ley N° 21.719. 
• 13 de junio de 2025 (plazo legal): plazo máximo para dictar los reglamentos de la ley (6 meses desde la publicación). 
• 1 de diciembre de 2026: entrada en vigencia de la Ley 21.719. 

Multas por incumplimiento (Ley 21.719)

• Infracciones leves: amonestación escrita o multa hasta 5.000 UTM. 
• Infracciones graves: multa hasta 10.000 UTM. 
• Infracciones gravísimas: multa hasta 20.000 UTM. 
• Recargo por no implementar medidas exigidas por la Agencia: si no se implementan en 60 días, recargo de 50% a la multa. 
• Reincidencia: la Agencia puede aplicar una multa hasta 3 veces el monto asignado a la infracción.

Ejemplos simples (para entenderlo rápido)

• SERNAC (exposición de datos): cuando se filtra información personal, ya no es solo “problema TI”. Es un evento de privacidad y cumplimiento: qué controles había y qué evidencia existe.
• BancoEstado (ransomware 2020): no solo importa la continuidad; también si hubo impacto en datos personales. La pregunta típica será: ¿había controles proporcionales al riesgo?
• El Casos de accesos no autorizados a bases de datos en Santander : muchas brechas parten por credenciales y permisos excesivos. Lo primero que se revisa es: identidad, privilegios y monitoreo.
• En Salud (datos sensibles) – Clínica Dávila (dic 2025): cuando se comprometen datos de salud, el estándar sube: accesos estrictos, cifrado, monitoreo continuo y una respuesta madura, porque el impacto y la sensibilidad de la información son mucho mayores.

Checklist express para empezar (sin volverse loco)

• Inventario de datos personales: qué datos tienes (clientes/colaboradores), dónde están (CRM, Excel, correo, nube) y quién accede.
  
• Finalidad y base de tratamiento: para qué los usas y bajo qué autorización corresponde (evitar “por si acaso”).
  
• Retención y eliminación: cuánto tiempo se guardan y cómo se eliminan de forma segura cuando ya no se necesitan.
  
• Accesos y permisos: MFA + mínimo privilegio + revisión periódica de usuarios con acceso.
  
• Datos sensibles: identificar dónde existen (salud, etc.) y aplicar controles más estrictos (acceso restringido, cifrado, trazabilidad).
  
• Proveedores y contratos: si un tercero trata datos por ti, deja claro responsabilidades, medidas mínimas y obligaciones.
  
• Derechos de las personas: definir un proceso simple para solicitudes (acceso, rectificación, eliminación, etc.) y tiempos de respuesta.
  
• Registros y evidencia: mantener trazabilidad de tratamientos, accesos relevantes y acciones (para “demostrar” cumplimiento).
  
• Gestión de incidentes de datos: un procedimiento para evaluar impacto y actuar rápido cuando haya exposición o acceso no autorizado.
  

La nueva ley no busca “culpar por ser atacado”, sino exigir que, si tratas datos, puedas demostrar que los gestionas y proteges. Prepararse ahora reduce riesgo, acelera la respuesta y evita que un incidente técnico se convierta en un problema legal y reputacional.