logo Lawwwing

Chile vs. RGPD: similitudes y diferencias. La comparativa más completa. 

La protección de datos personales ha dejado de ser una cuestión exclusivamente europea. Con la aprobación de su nueva Ley de Protección de Datos Personales, Chile da un paso decisivo hacia un modelo regulatorio inspirado en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, incorporando nuevos derechos para las personas y […]
Legal Lawwwing
16 de julio de 2026

La protección de datos personales ha dejado de ser una cuestión exclusivamente europea. Con la aprobación de su nueva Ley de Protección de Datos Personales, Chile da un paso decisivo hacia un modelo regulatorio inspirado en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, incorporando nuevos derechos para las personas y mayores obligaciones para las organizaciones que tratan datos personales.

En este artículo analizamos las principales similitudes y diferencias entre la nueva normativa chilena y el RGPD europeo, desde los principios del tratamiento de datos y los derechos de los titulares hasta las bases legales, las obligaciones de los responsables del tratamiento, el régimen sancionador y las autoridades de control. Una comparativa práctica para entender qué cambia y cómo prepararse para cumplir con ambos marcos regulatorios.

Similitudes. ¿En qué se parecen el RGPD y la Ley 21.719?

La nueva ley chilena se inspira claramente en el RGPD. Esto se aprecia tanto en su estructura como en conceptos esenciales, como las definiciones, los principios que regulan el tratamiento de datos personales o el modelo de responsabilidad proactiva, supervisado por una autoridad de control independiente.

A continuación, repasamos las principales similitudes entre ambas normativas y cómo Chile ha adaptado el modelo europeo a su propio marco regulatorio.

1. Definición de dato personal y el criterio de identificabilidad

Las dos normas usan prácticamente la misma fórmula para definir el concepto de dato personal. Ambas lo definen como una persona identificada o identificable, es decir, cuando su identidad puede determinarse directa o indirectamente mediante uno o varios identificadores. 

2. Categorías especiales: datos sensibles

Ambas normativas coinciden en otorgar una protección reforzada a los datos que revelan el origen étnico o racial, opiniones políticas, convicciones religiosas, datos de salud, genéticos, biométricos y la orientación sexual. Por regla general, su tratamiento está prohibido y solo se exceptúa cuando existe consentimiento expreso o una excepción legal específica que lo permita.

3. Principios rectores del tratamiento

Las dos normativas coinciden con los principios rectores del tratamiento que rigen la normativa de protección de datos. 

  • Licitud, lealtad y transparencia: el tratamiento debe ser conforme a la ley y el titular debe ser informado de forma clara. 
  • Finalidad: los datos deben recogerse con fines específicos, explícitos y lícitos. 
  • Minimización o proporcionalidad: solo deben tratarse los datos que sean estrictamente necesarios para conseguir el fin perseguido. 
  • Exactitud: los datos deben ser exactos y estar actualizados.
  • Seguridad: se deben aplicar medidas técnicas y organizativas para proteger los datos contra accesos no autorizados o pérdida accidental. 
4. Base de licitud para el tratamiento

Ambas normativas coinciden en considerar que el tratamiento es legal si se cumplen estas condiciones: 

  • Consentimiento. Siempre que sea libre, específico, informado e inequívoco. 
  • Ejecución de un contrato
  • Cumplimiento de una obligación legal
  • Interés legítimo del responsable, excepto que prevalezcan los derechos del titular
  • Interés público
5. Derechos de los titulares

Tanto el RGPD como la Ley 21.719 garantizan facultades similares para que las personas controlen su información y puedan ejercer los siguientes derechos: 

  • acceso
  • rectificación 
  • supresión 
  • oposición 
  • portabilidad
  • derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado

En el caso de las causas de supresión, ambas normativas coinciden:

  • datos que ya no sean necesarios para el fin original
  • revocación del consentimiento
  • tratamiento ilícito 
  • cumplimiento de la obligación legal

Ambas normativas establecen que estos derechos son personalísimos, intransferibles e irrenunciables. 

6. Plazos de respuestas

Las dos normativas fijan un plazo de un mes, prorrogable a otro mes, para responder a las solicitudes del titular. 

También coinciden en que la respuesta debe ser gratuita, excepto solicitudes repetitivas o manifiestamente infundadas o excesivas. Además, la denegación tiene que ser siempre motivada, indicando la vía de reclamación ante la autoridad de control. 

7. Responsables y encargados del tratamineto

Ambas distinguen con precisión al 

  • responsable: quien decide fines y medios
  • encargado/mandatario: quien trata datos por cuenta de otro

En las dos normativas se exige que la relación entre responsable y encargado conste en un contrato con un contenido mínimo. Además, ambas legislaciones prohíben la subdelegación sin autorización expresa del responsable original.

8. Responsabilidad proactiva

Ambas leyes exigen que el responsable no se limite solo a cumplir, sino que tiene el deber de demostrar este cumplimiento. 

Por esto, se incluye la protección desde el diseño y por defecto, es decir, establecer medidas técnicas y organizativas aplicadas desde antes de iniciar el tratamiento, considerando el estado de la técnica, el costo de implementación y los riesgos. 

También se establece la obligación de realizar una Evaluación de Impacto cuando un tratamiento suponga un alto riesgo para los derechos de los ciudadanos. 

Las dos normativas coinciden en los supuestos que generan un alto riesgo: 

  • Evaluación sistemática de aspectos personales / elaboración de perfiles con efectos jurídicos significativos.
  • Tratamiento a gran escala de categorías especiales de datos.
  • Observación/monitoreo sistemático de zonas de acceso público.
9. Ámbito territorial y transferencias internacionales

El RGPD y la Ley 21.719 tienen efectos extraterritoriales, aplicándose a responsables no establecidos en su territorio si ofrecen bienes o servicios a sus residentes o monitorean su comportamiento. Ambas normativas permiten la transferencia de datos a terceros países que cuenten con una decisión de adecuación o mediante el uso de cláusulas contractuales tipo.

10. Agencia de Protección de Datos

Ambas normas contemplan la creación de una autoridad pública, independiente, con potestad fiscalizadora y sancionadora propia, dotada de:

  • Poderes consultivos
  • Poderes de investigación 
  • Poderes sancionadores

Diferencias. ¿En qué divergen el RGPD y la Ley 21.719?

Como hemos visto, la Ley 21.719 de Chile se alinea estrechamente con la normativa europea de protección de datos. Aun así, vamos a desarrollar a continuación las diferencias importantes que existen respecto al RGPD. 

1. Delegado de Protección de Datos

En el RGPD el nombramiento de un DPO es obligatorio:

  • para todas las autoridades públicas 
  • cuando las actividades principales consisten en el seguimiento regular y sistemático de interesados a gran escala
  • cuando se tratan masivamente datos sensibles o de condenas penales

En la Ley 21.719 se establece el carácter potestativo de la designación de un DPO y por lo tanto, esta figura se constituye como un modelo de prevención de infracciones certificado por la Agencia.

2. Plazos para la notificación de brechas de seguridad

El Reglamento de Protección de Datos de la UE establece que el responsable debe notificar la violación de seguridad a la autoridad de control como máximo en un plazo de 72 horas. 

Sin embargo, la normativa chilena exige reportar a la Agencia esta violación de seguridad “sin dilaciones indebidas” pero no fija un plazo máximo de notitificación. 

3. Publicación de las sanciones

La normativa chilena crea específicamente un Registro Nacional de Sanciones y Cumplimiento, de carácter público y gratuito. En él se consignan no solo los responsables sancionados, sino también aquellos que han adoptado modelos de prevención certificados.

En la normativa europea, aunque las autoridades de control pueden publicar sus resoluciones sancionadoras, el reglamento no establece un registro nacional como en el sistema chileno. 

4. Edad del consentimiento en los menores

En el RGPD se establece que el tratamiento de datos de los menores de edad es lícito a partir de los 16 años, aunque concede a los Estados Miembros un margen de maniobra para poder bajar este límite hasta los 13 años. 

Sin embargo, en la normativa chilena nos encontramos con una distinción entre:

  • “niños y niñas”: menores de 14 años
  • “adolescentes”: entre 14 y 18 años

El consentimiento para tratar datos de menores de 14 años, y datos sensibles de adolescentes menores de 16 años, debe ser otorgado siempre por sus padres o representantes legales.

5. Derecho de bloqueo 

La Ley 21.719 introduce el derecho de bloqueo como una facultad del titular para solicitar la suspensión temporal de cualquier operación de tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición. 

Sin embargo, el Reglamento Europeo contempla de manera similar el concepto de “limitación del tratamiento”. Pero en Chile el bloqueo se presenta como un paso procedimental específico y obligatorio ante el responsable mientras se tramitan otros derechos. 

RGPDChile
DPOobligatoriovoluntario
Notificación brechas de seguridadmáximo 72h “sin dilaciones indebidas”
Publicación de las sancionesno obligación de publicaciónRegistro Nacional de Sanciones y Cumplimiento
Menores Tratamiento lícito a partir de los 16 años. EM pueden bajar límite hasta los 13 años.- “niños y niñas”: menores de 14 años“
- adolescentes”: entre 14 y 18 años

Consentimiento para tratamiento datos de menores de 14 años, y datos sensibles de adolescentes menores de 16 años, debe ser otorgado por sus padres o representantes legales.
Derecho de bloqueoSimilar a “limitación del tratamiento”Facultad del titular para solicitar la suspensión temporal de cualquier operación de tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición. 
SimilitudesDefinición de dato personal y el criterio de identificabilidad

Prohibición de tratamiento de los datos sensibles 

Principios de tratamiento: 
- Licitud, lealtad y transparencia
- Finalidad
- Minimización o proporcionalidad
- Exactitud
- Seguridad

Base licitud: 
- Consentimiento
- Contrato
- Obligación legal
- Interés legítimo responsable
- Interés público 

Derechos de los titulares: 
- acceso
- rectificación 
- supresión 
- oposición 
- portabilidad
- no ser objeto de decisiones automatizadas 

Plazo de respuesta: 1 mes + prórroga 1 mes

Responsable y encargado → relación contractual

Responsabilidad proactiva: 
- seguridad desde el diseño y por defecto
- evaluaciones de impacto 

Efectos extraterritoriales

Previsión de Agencia de Protección de Datos

La entrada en vigor de la Ley N.º 21.719 refleja una clara convergencia con los estándares representados por el Reglamento General de Protección de Datos (RGPD). La incorporación de principios como la responsabilidad proactiva, la protección de datos desde el diseño, la ampliación de los derechos de los titulares y el fortalecimiento de las obligaciones de los responsables del tratamiento demuestra la voluntad del legislador chileno de establecer un sistema sólido y alineado con las mejores prácticas internacionales.

Sin embargo, esta aproximación no implica una equivalencia absoluta entre ambas normativas. De hecho, la Ley 21.719 introduce particularidades relevantes: el carácter potestativo del Delegado de Protección de Datos, el derecho de bloqueo, la regulación específica del consentimiento de los menores, la ausencia de un plazo concreto para notificar brechas de seguridad o la creación de un Registro Nacional de Sanciones y Cumplimiento. Todo esto debe ser considerado por parte de tu ecommerce si tienes clientes en ese país y por tanto debes adaptarte a la nueva normativa que va a entrar en vigor en diciembre del 2026. 

Los ecommerce que ya cumplen con el RGPD parten con una ventaja significativa, ya que muchas de las políticas, procedimientos y medidas coinciden con el nuevo marco chileno. No obstante, asumir que el cumplimiento del RGPD garantiza automáticamente el cumplimiento de la Ley 21.719 puede generar riesgos legales.

¿Cómo puedes cumplir?

Para que tu ecommerce cumpla con la Ley 21.719, en Lawwwing ofrecemos un software de cumplimiento normativo diseñado específicamente para adaptarse a esta nueva regulación chilena. Nuestra solución genera y mantiene actualizados de forma automática todos los textos legales que tu tienda online necesita, además de implementar un banner de cookies conforme a la nueva normativa. 

No esperes más y pásate a Lawwwing para mantener tu web siempre legal. 

💡¿Quieres saber más sobre la Ley 21.719? Lee nuestro artículo.

Blog

Consulta artículos relacionados

Las empresas confían en Lawwwing para asegurar su cumplimiento legal, manteniendo sus documentos actualizados y evitando sanciones.
cross