Constitucional AIIngresar
ComplianceChile#Chile#Datos Personales#Compliance

Protección de datos personales en Chile: nueva ley y obligaciones para los estudios jurídicos

Reforma a la Ley 19.628 sobre protección de datos personales en Chile: principios, derechos de los titulares, sanciones y cómo deben adaptarse los estudios jurídicos y las áreas legales corporativas.

Equipo Constitucional AI9 min de lectura

El cambio regulatorio que más afecta a estudios jurídicos en Chile

Durante más de 20 años, el régimen chileno de protección de datos personales operó bajo la Ley 19.628 (1999), considerablemente más laxo que los estándares internacionales contemporáneos. La reforma cambia eso radicalmente y obliga a empresas, organismos públicos y —muy relevante— a los propios estudios jurídicos, a adaptarse.

Esta nota repasa qué cambia, qué obligaciones nacen y cómo deben prepararse las áreas legales internas y los estudios.

Principios rectores de la nueva ley

La reforma incorpora los principios típicos del derecho moderno de protección de datos:

Licitud

Todo tratamiento requiere base legal: consentimiento del titular, ejecución de un contrato, cumplimiento legal, interés legítimo o protección de la vida del titular.

Finalidad

Los datos se recogen para finalidades específicas, explícitas y lícitas, y no pueden tratarse después para fines incompatibles.

Proporcionalidad

Solo los datos necesarios para la finalidad: no más.

Calidad

Los datos deben ser exactos y mantenerse actualizados. El responsable debe corregir o eliminar datos inexactos.

Responsabilidad

El responsable del tratamiento debe poder demostrar el cumplimiento (principio de accountability).

Transparencia y seguridad

Información clara al titular y medidas de seguridad técnica y organizativa.

Derechos del titular: el listado ampliado

La nueva ley reconoce expresamente los derechos ARCO+:

  • Acceso: saber qué datos se tienen y cómo se tratan
  • Rectificación: corregir datos inexactos
  • Cancelación: solicitar la eliminación cuando ya no son necesarios
  • Oposición: oponerse al tratamiento por motivos legítimos
  • Portabilidad: recibir los datos en formato estructurado para transferirlos a otro responsable
  • Bloqueo: suspender el tratamiento mientras se resuelve una disputa

El responsable tiene plazos para responder (típicamente 30 días corridos), gratuitos para el titular.

Datos sensibles: categoría especial

La nueva ley define con precisión los datos sensibles e impone un régimen reforzado para ellos:

  • Origen racial o étnico
  • Afiliación política, sindical o religiosa
  • Datos sobre salud, vida sexual u orientación sexual
  • Datos biométricos
  • Datos genéticos
  • Datos de la niñez

Para tratarlos se exige consentimiento explícito, finalidad estricta y, en algunos casos, evaluación de impacto previa.

Agencia de Protección de Datos Personales

La ley crea una autoridad de control independiente, con facultades de:

  • Fiscalización
  • Sanción
  • Resolución de reclamos de titulares
  • Dictar reglamentos y normas técnicas
  • Cooperación internacional

Esto cambia el equilibrio de fuerzas: antes la víctima debía reclamar judicialmente; ahora hay una autoridad administrativa que recibe denuncias y aplica multas.

Régimen sancionatorio: las cifras importan

| Tipo de infracción | Multa máxima | |---|---| | Leve | 100 UTM | | Grave | 5.000 UTM | | Gravísima | 20.000 UTM o 4% de ingresos anuales |

Conductas típicamente gravísimas:

  • Tratamiento de datos sensibles sin consentimiento
  • Transferencia internacional sin garantías
  • No notificar violación de seguridad
  • Obstaculizar la fiscalización

Qué deben hacer las empresas y estudios jurídicos en Chile

1. Mapear los tratamientos

Documentar qué datos se recogen, de quién, para qué finalidad, con qué base legal, dónde se almacenan y cuánto tiempo se conservan. Es el primer paso y el más postergado.

2. Actualizar las políticas de privacidad

Toda empresa con web, app o atención presencial debe tener política de privacidad clara, accesible y específica. No basta con copiar una plantilla genérica.

3. Implementar mecanismos para derechos ARCO+

Canal específico para que un titular pueda ejercer sus derechos. Plazos de respuesta. Registro de solicitudes.

4. Adoptar medidas de seguridad

Cifrado, control de acceso, registros de auditoría, backups. Las medidas deben ser proporcionales al riesgo.

5. Capacitar al personal

Especialmente quienes acceden a datos personales en su trabajo diario: RRHH, ventas, atención al cliente, áreas legales.

6. Designar Delegado de Protección de Datos cuando corresponda

Si la empresa trata datos a gran escala, datos sensibles o realiza seguimiento sistemático, debe nombrar un DPO.

7. Realizar Evaluación de Impacto

Antes de iniciar tratamientos de alto riesgo (datos sensibles a gran escala, decisiones automatizadas, seguimiento sistemático).

Comparativa rápida con GDPR

| Elemento | GDPR | Ley Chile (reforma) | |---|---|---| | Principios | Sí | Sí | | Autoridad de control | Sí (varias por país UE) | Sí (Agencia única) | | Sanciones máximas | €20M o 4% ingresos | 20.000 UTM o 4% ingresos | | Datos sensibles | Categoría especial | Categoría especial | | DPO obligatorio | Casos definidos | Casos definidos | | Notificación brechas | 72 horas | Sin precisión (reglamento) | | Transferencias internacionales | Régimen detallado | En desarrollo |

Una empresa que ya cumple GDPR está en buena posición para adaptarse a la ley chilena. Y viceversa.

Implicaciones específicas para estudios jurídicos chilenos

Los estudios jurídicos están en una posición particular: tratan datos personales de clientes (a menudo sensibles), procesan información de contraparte y testigos, conservan archivos por años.

Recomendaciones específicas:

  • Carta acuerdo con cláusula de tratamiento: especificar finalidad y plazos
  • Política interna de manejo de archivos: físicos y digitales
  • Plazos de conservación: documentar y respetar
  • Acceso restringido: no todo el equipo necesita acceso a todo
  • Capacitación obligatoria: especialmente a paralegales y secretariado

Cómo apoyar el cumplimiento con IA

Constitucional AI ayuda en tres áreas:

Auditoría de políticas existentes

Sube su política de privacidad actual y la IA marca las brechas con respecto a la nueva ley: falta de base legal, ausencia de derechos ARCO+, finalidades imprecisas, etc.

Generación de templates adaptados

Genera políticas de privacidad, cartas acuerdo, cláusulas contractuales de tratamiento, formularios de consentimiento adaptados al rubro.

Investigación normativa

Búsqueda semántica sobre la propia Ley 19.628 reformada, reglamentos y futura jurisprudencia.

Conclusión

La nueva ley de protección de datos personales en Chile no es una formalidad más. Cambia el marco operativo de cualquier empresa que trate datos —que en la práctica son todas— y especialmente de los estudios jurídicos, que manejan información sensible de terceros.

Los 24 meses de vacancia parecen tiempo suficiente, pero la experiencia internacional (GDPR, Brasil con la LGPD) muestra que la mayoría de los responsables empiezan tarde y improvisan a última hora.

Quien empiece a adaptarse hoy llega tranquilo al día de la entrada en vigencia. Quien postergue, llegará bajo presión y exposición regulatoria.

¿Necesita auditar su política actual o generar templates de cumplimiento? Constitucional AI puede ayudarle en horas, no en semanas.

Preguntas frecuentes

¿Cuándo entra en vigencia la nueva ley de protección de datos en Chile?

La reforma a la Ley 19.628 fue publicada en el Diario Oficial y contempla un plazo de vacancia de 24 meses para que empresas y organismos públicos se adapten. Durante ese período se crea la Agencia de Protección de Datos Personales y se dictan los reglamentos complementarios.

¿Qué cambia respecto del régimen anterior?

La nueva ley introduce principios robustos (licitud, finalidad, proporcionalidad, calidad), derechos ampliados (acceso, rectificación, cancelación, oposición, portabilidad y bloqueo), categorías especiales de datos sensibles, obligación de delegado de protección de datos en ciertos casos, evaluación de impacto y un régimen sancionatorio efectivo.

¿Cuáles son las sanciones por incumplimiento?

Las multas van desde 1 hasta 20.000 UTM según la gravedad. Infracciones leves: hasta 100 UTM. Graves: hasta 5.000 UTM. Gravísimas: hasta 20.000 UTM o el 4% de los ingresos anuales del infractor, lo que sea mayor.

¿Un estudio jurídico debe tener delegado de protección de datos?

No siempre. La obligación aplica cuando el responsable trata datos a gran escala, datos sensibles o realiza actividades de seguimiento sistemático. Un estudio jurídico mediano que maneja datos de clientes de forma normal generalmente no califica, pero conviene revisar caso a caso. Lo que sí es obligatorio es contar con políticas claras de tratamiento.

¿La ley chilena se parece a la GDPR europea?

Sí, comparten arquitectura: principios, derechos del titular, obligaciones del responsable, autoridad de control independiente y sanciones efectivas. La ley chilena es más simple pero está claramente inspirada en GDPR. Esto facilita la adaptación a empresas que ya cumplen con normativa europea.

Notas relacionadas

Volver al blog
ComplianceLatinoamérica

Due diligence legal con IA en bufetes de LATAM

Cómo los bufetes de Chile, México y Colombia están usando IA para reducir el tiempo de due diligence en operaciones M&A. Patrón de revisión, riesgos a detectar y métricas reales de productividad.

12 de abril de 20268 min lectura
Leer
ComplianceChile

Ley Karin (21.643) en Chile: cómo cumplirla en su empresa o estudio

Qué exige la Ley 21.643 (Ley Karin) en Chile, qué obligaciones tiene el empleador, qué protocolo debe implementar y cómo automatizar la revisión de denuncias con apoyo de IA.

28 de abril de 20269 min lectura
Leer
ComplianceChile

Subcontratación en Chile: responsabilidad solidaria y cumplimiento con IA

Cómo opera la responsabilidad solidaria y subsidiaria en el régimen de subcontratación chileno (Ley 20.123). Documentos de respaldo, riesgos típicos y cumplimiento auditado con IA legal.

14 de mayo de 20268 min lectura
Leer