La ley de protección de datos en Chile está cambiando. Y más allá de cumplir con una nueva normativa, adaptarse es una señal de que tu empresa valora la privacidad de sus usuarios. Nombres, direcciones, hábitos de consumo, datos financieros: todo debe ser tratado bajo estándares que reduzcan el riesgo de uso indebido o filtraciones.
Esta nueva legislación busca alinear al país con estándares internacionales, exigiendo mayor transparencia, responsabilidad y control a las empresas que recopilan y procesan datos.
¿Qué implica para tu empresa? ¿Qué debes hacer para cumplir? Acá te lo explicamos.
¿Qué es la protección de datos en Chile?
En Chile, la protección de datos personales se refiere al marco normativo y operativo que regula cómo las organizaciones recopilan, usan, almacenan y resguardan información que identifica a una persona. Su objetivo es garantizar el derecho de cada individuo a controlar sus propios datos y a decidir cómo se gestionan.
Para las empresas, esto implica aplicar medidas de seguridad, informar de manera clara sobre el uso de los datos, obtener consentimiento y actuar con responsabilidad frente a cualquier posible incidente de seguridad.
El país ha avanzado significativamente con la promulgación de la Ley 21.719. Esta nueva legislación establece condiciones más rigurosas para el tratamiento de datos y refuerza los derechos de los titulares.
Nueva ley de protección de datos en Chile
La nueva ley de protección de datos personales en Chile -Ley 21.719- regula el tratamiento de datos personales y las condiciones bajo las cuales se efectúa. También busca mejorar la protección de los derechos de los titulares. Esta normativa eleva el estándar chileno, homologándolo al Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
La ley amplía los tipos de datos sensibles, incluyendo ahora la información biométrica y genética. Consagra el “derecho al olvido”, permitiendo a las personas solicitar la eliminación de datos no útiles de las bases de datos.
Un cambio fundamental es la creación de la Agencia de Protección de Datos Personales. Este órgano autónomo fiscaliza el cumplimiento de la ley de protección de datos chilena, recibe reclamos y supervisa las prácticas.
Lo que establece para las empresas
- Consentimiento: obligatorio, informado y explícito para procesar datos personales.
- Notificación de vulneraciones: informar a la Agencia de Protección de Datos y a los afectados sobre brechas de seguridad.
- Enfoque de responsabilidad: las organizaciones deben manejar la protección de datos de forma proactiva y diligente.
- Gestión basada en el riesgo: evaluar las amenazas asociadas a la operación con datos e implementar protocolos de ciberseguridad.
La regulación aplica a organizaciones que traten datos personales en Chile, a nombre de un mandatario en Chile, o que ofrezcan bienes o servicios a personas en el país, incluso si no tienen sede aquí.
Además, establece infracciones y sanciones elevadas: leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM), pudiendo incluir la suspensión de operaciones.
Vínculo entre nueva Ley con ISO 27701
Frente a este nuevo escenario, muchas empresas están recurriendo a normas de protección de datos para estructurar su cumplimiento. La ISO 27701, por ejemplo, es una extensión de la ISO 27001 que incorpora controles y requisitos específicos para gestionar la privacidad de la información personal.
Esta norma establece un estándar internacional para la gestión de la privacidad que puede ayudar a las organizaciones a cumplir con los requisitos legales del país, y a implementar mejores prácticas en la gestión de la información personal.
Integrar la ISO 27701 con un SGSI ya operativo permite escalar de forma ordenada. Esto es especialmente útil para sectores como fintech, salud, educación o retail, donde el volumen de datos sensibles es alto y el riesgo reputacional considerable.
De hecho, normativas como la Ley Fintech en Chile también elevan los estándares de cumplimiento para las empresas que gestionan información financiera a través de tecnología.
Por qué las empresas deben actuar ahora
Contar con prácticas previas en seguridad de la información puede marcar una diferencia, pero no basta. La nueva Ley de protección de datos exige adaptar procesos, actualizar sistemas y documentar decisiones. Postergar esta revisión solo aumenta el riesgo de sanciones y pérdida de confianza.
En Hackmetrix te acompañamos en cada etapa: desde la evaluación inicial hasta la automatización de políticas y controles. La protección de datos personales no tiene que ser un obstáculo. Es una oportunidad para demostrar que tu empresa actúa con responsabilidad y está preparada para crecer.