

La protección de datos personales ha dejado de ser una cuestión exclusivamente europea. Con la aprobación de su nueva Ley de Protección de Datos Personales, Chile da un paso decisivo hacia un modelo regulatorio inspirado en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, incorporando nuevos derechos para las personas y mayores obligaciones para las organizaciones que tratan datos personales.
En este artículo analizamos las principales similitudes y diferencias entre la nueva normativa chilena y el RGPD europeo, desde los principios del tratamiento de datos y los derechos de los titulares hasta las bases legales, las obligaciones de los responsables del tratamiento, el régimen sancionador y las autoridades de control. Una comparativa práctica para entender qué cambia y cómo prepararse para cumplir con ambos marcos regulatorios.
La nueva ley chilena se inspira claramente en el RGPD. Esto se aprecia tanto en su estructura como en conceptos esenciales, como las definiciones, los principios que regulan el tratamiento de datos personales o el modelo de responsabilidad proactiva, supervisado por una autoridad de control independiente.
A continuación, repasamos las principales similitudes entre ambas normativas y cómo Chile ha adaptado el modelo europeo a su propio marco regulatorio.
Las dos normas usan prácticamente la misma fórmula para definir el concepto de dato personal. Ambas lo definen como una persona identificada o identificable, es decir, cuando su identidad puede determinarse directa o indirectamente mediante uno o varios identificadores.
Ambas normativas coinciden en otorgar una protección reforzada a los datos que revelan el origen étnico o racial, opiniones políticas, convicciones religiosas, datos de salud, genéticos, biométricos y la orientación sexual. Por regla general, su tratamiento está prohibido y solo se exceptúa cuando existe consentimiento expreso o una excepción legal específica que lo permita.
Las dos normativas coinciden con los principios rectores del tratamiento que rigen la normativa de protección de datos.
Ambas normativas coinciden en considerar que el tratamiento es legal si se cumplen estas condiciones:
Tanto el RGPD como la Ley 21.719 garantizan facultades similares para que las personas controlen su información y puedan ejercer los siguientes derechos:
En el caso de las causas de supresión, ambas normativas coinciden:
Ambas normativas establecen que estos derechos son personalísimos, intransferibles e irrenunciables.
Las dos normativas fijan un plazo de un mes, prorrogable a otro mes, para responder a las solicitudes del titular.
También coinciden en que la respuesta debe ser gratuita, excepto solicitudes repetitivas o manifiestamente infundadas o excesivas. Además, la denegación tiene que ser siempre motivada, indicando la vía de reclamación ante la autoridad de control.
Ambas distinguen con precisión al
En las dos normativas se exige que la relación entre responsable y encargado conste en un contrato con un contenido mínimo. Además, ambas legislaciones prohíben la subdelegación sin autorización expresa del responsable original.
Ambas leyes exigen que el responsable no se limite solo a cumplir, sino que tiene el deber de demostrar este cumplimiento.
Por esto, se incluye la protección desde el diseño y por defecto, es decir, establecer medidas técnicas y organizativas aplicadas desde antes de iniciar el tratamiento, considerando el estado de la técnica, el costo de implementación y los riesgos.
También se establece la obligación de realizar una Evaluación de Impacto cuando un tratamiento suponga un alto riesgo para los derechos de los ciudadanos.
Las dos normativas coinciden en los supuestos que generan un alto riesgo:
El RGPD y la Ley 21.719 tienen efectos extraterritoriales, aplicándose a responsables no establecidos en su territorio si ofrecen bienes o servicios a sus residentes o monitorean su comportamiento. Ambas normativas permiten la transferencia de datos a terceros países que cuenten con una decisión de adecuación o mediante el uso de cláusulas contractuales tipo.
Ambas normas contemplan la creación de una autoridad pública, independiente, con potestad fiscalizadora y sancionadora propia, dotada de:
Como hemos visto, la Ley 21.719 de Chile se alinea estrechamente con la normativa europea de protección de datos. Aun así, vamos a desarrollar a continuación las diferencias importantes que existen respecto al RGPD.
En el RGPD el nombramiento de un DPO es obligatorio:
En la Ley 21.719 se establece el carácter potestativo de la designación de un DPO y por lo tanto, esta figura se constituye como un modelo de prevención de infracciones certificado por la Agencia.
El Reglamento de Protección de Datos de la UE establece que el responsable debe notificar la violación de seguridad a la autoridad de control como máximo en un plazo de 72 horas.
Sin embargo, la normativa chilena exige reportar a la Agencia esta violación de seguridad “sin dilaciones indebidas” pero no fija un plazo máximo de notitificación.
La normativa chilena crea específicamente un Registro Nacional de Sanciones y Cumplimiento, de carácter público y gratuito. En él se consignan no solo los responsables sancionados, sino también aquellos que han adoptado modelos de prevención certificados.
En la normativa europea, aunque las autoridades de control pueden publicar sus resoluciones sancionadoras, el reglamento no establece un registro nacional como en el sistema chileno.
En el RGPD se establece que el tratamiento de datos de los menores de edad es lícito a partir de los 16 años, aunque concede a los Estados Miembros un margen de maniobra para poder bajar este límite hasta los 13 años.
Sin embargo, en la normativa chilena nos encontramos con una distinción entre:
El consentimiento para tratar datos de menores de 14 años, y datos sensibles de adolescentes menores de 16 años, debe ser otorgado siempre por sus padres o representantes legales.
La Ley 21.719 introduce el derecho de bloqueo como una facultad del titular para solicitar la suspensión temporal de cualquier operación de tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición.
Sin embargo, el Reglamento Europeo contempla de manera similar el concepto de “limitación del tratamiento”. Pero en Chile el bloqueo se presenta como un paso procedimental específico y obligatorio ante el responsable mientras se tramitan otros derechos.
| RGPD | Chile | |
| DPO | obligatorio | voluntario |
| Notificación brechas de seguridad | máximo 72h | “sin dilaciones indebidas” |
| Publicación de las sanciones | no obligación de publicación | Registro Nacional de Sanciones y Cumplimiento |
| Menores | Tratamiento lícito a partir de los 16 años. EM pueden bajar límite hasta los 13 años. | - “niños y niñas”: menores de 14 años“ - adolescentes”: entre 14 y 18 años Consentimiento para tratamiento datos de menores de 14 años, y datos sensibles de adolescentes menores de 16 años, debe ser otorgado por sus padres o representantes legales. |
| Derecho de bloqueo | Similar a “limitación del tratamiento” | Facultad del titular para solicitar la suspensión temporal de cualquier operación de tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición. |
| Similitudes | Definición de dato personal y el criterio de identificabilidad Prohibición de tratamiento de los datos sensibles Principios de tratamiento: - Licitud, lealtad y transparencia - Finalidad - Minimización o proporcionalidad - Exactitud - Seguridad Base licitud: - Consentimiento - Contrato - Obligación legal - Interés legítimo responsable - Interés público Derechos de los titulares: - acceso - rectificación - supresión - oposición - portabilidad - no ser objeto de decisiones automatizadas Plazo de respuesta: 1 mes + prórroga 1 mes Responsable y encargado → relación contractual Responsabilidad proactiva: - seguridad desde el diseño y por defecto - evaluaciones de impacto Efectos extraterritoriales Previsión de Agencia de Protección de Datos | |
La entrada en vigor de la Ley N.º 21.719 refleja una clara convergencia con los estándares representados por el Reglamento General de Protección de Datos (RGPD). La incorporación de principios como la responsabilidad proactiva, la protección de datos desde el diseño, la ampliación de los derechos de los titulares y el fortalecimiento de las obligaciones de los responsables del tratamiento demuestra la voluntad del legislador chileno de establecer un sistema sólido y alineado con las mejores prácticas internacionales.
Sin embargo, esta aproximación no implica una equivalencia absoluta entre ambas normativas. De hecho, la Ley 21.719 introduce particularidades relevantes: el carácter potestativo del Delegado de Protección de Datos, el derecho de bloqueo, la regulación específica del consentimiento de los menores, la ausencia de un plazo concreto para notificar brechas de seguridad o la creación de un Registro Nacional de Sanciones y Cumplimiento. Todo esto debe ser considerado por parte de tu ecommerce si tienes clientes en ese país y por tanto debes adaptarte a la nueva normativa que va a entrar en vigor en diciembre del 2026.
Los ecommerce que ya cumplen con el RGPD parten con una ventaja significativa, ya que muchas de las políticas, procedimientos y medidas coinciden con el nuevo marco chileno. No obstante, asumir que el cumplimiento del RGPD garantiza automáticamente el cumplimiento de la Ley 21.719 puede generar riesgos legales.
Para que tu ecommerce cumpla con la Ley 21.719, en Lawwwing ofrecemos un software de cumplimiento normativo diseñado específicamente para adaptarse a esta nueva regulación chilena. Nuestra solución genera y mantiene actualizados de forma automática todos los textos legales que tu tienda online necesita, además de implementar un banner de cookies conforme a la nueva normativa.
No esperes más y pásate a Lawwwing para mantener tu web siempre legal.
💡¿Quieres saber más sobre la Ley 21.719? Lee nuestro artículo.
