Saltar al contenido principal
PrivacidadWeb
Guía9 min de lectura·

Cómo Saber qué Empresas Tienen tus Datos Personales en Chile

Guía práctica para titulares chilenos que quieren ejercer su derecho de acceso. 15 categorías de empresas que típicamente tienen tus datos, qué información pueden entregarte, plazos de respuesta y modelo de carta. Régimen Ley 19.628 actual y Ley 21.719 desde diciembre 2026.

P

PrivacidadWeb

PrivacidadWeb.cl

Probablemente más empresas tienen tus datos personales de las que crees. Bancos, retail, streaming, redes sociales, apps de delivery, isapres, AFP, gimnasios, programas de fidelización, listas de marketing en las que te suscribiste hace años y olvidaste. La ley te da derecho a pedirles a todas que te informen qué tienen sobre ti, con qué finalidad lo tratan y por cuánto tiempo lo conservarán. Y a hacerlo gratis.

Esta guía es la versión práctica del derecho de acceso (Art. 5° Ley N° 21.719). Si lo que quieres es eliminar tus datos, lee también la guía complementaria sobre cómo eliminar tus datos personales. Si quieres entender la base legal completa de los seis derechos del titular, el post sobre los derechos del titular cubre el régimen general.

Qué te puede entregar una empresa cuando ejerces el derecho de acceso

El Art. 5° de la Ley N° 21.719 establece qué información debe darte una empresa cuando ejerces este derecho. Su respuesta debe contener al menos:

  • Los datos que tiene sobre tu persona (todos, no solo los que recuerda).
  • Las finalidades específicas del tratamiento — no "fines de gestión" como respuesta evasiva, sino el detalle de para qué usa cada tipo de dato.
  • Los plazos de conservación — cuánto tiempo guardarán esos datos antes de eliminarlos.
  • Los terceros a quienes los datos hayan sido o vayan a ser comunicados — bancos cesionarios, empresas de marketing, plataformas de analytics, otros del grupo empresarial.
  • El origen de los datos cuando no fueron obtenidos directamente de ti (por ejemplo, base comprada a un tercero).
  • La existencia de decisiones automatizadas o perfiles que te afecten significativamente (Art. 8° bis).

Si la empresa te responde de forma incompleta o vaga, su respuesta no cumple la ley. Tienes derecho a una respuesta detallada en formato comprensible.

El régimen actual es distinto. Hasta el 30 de noviembre de 2026 rige la Ley N° 19.628 original. La copia de tus datos es gratuita cada 6 meses (no trimestralmente) según el Art. 12 vigente, y la empresa tiene 2 días hábiles para responder (Art. 16) antes de que puedas recurrir al juez de letras civil. Desde el 1 de diciembre de 2026 cambia: acceso gratuito al menos trimestralmente y plazo de respuesta de 30 días corridos (Art. 10 y 11 Ley N° 21.719).

Las 15 categorías que probablemente tienen tus datos en Chile

Esta lista funciona como checklist para tu auditoría personal de privacidad. Vé tachando las empresas con las que has tenido contacto. Si quieres ser exhaustivo, considera empresas de las cuales fuiste cliente alguna vez en los últimos 5 años: muchas siguen conservando datos aunque ya no operes con ellas.

1. Bancos y emisores de tarjetas

Datos típicos: RUT, identificación completa, dirección, comportamiento financiero, historial de transacciones detalladas, score crediticio interno, información declarada de patrimonio, contactos de cobranza si tuviste atrasos.

Cómo solicitar: Política de Privacidad del sitio del banco — generalmente al pie. Buscan email tipo privacidad@, dpo@ o proteccion-datos@[banco].cl. Algunos tienen formulario web específico.

Qué pueden retener legítimamente: la información financiera tiene plazos especiales por la regulación bancaria y antilavado. Operaciones del último año vigente más típicamente 5 años desde el fin de la relación contractual.

2. Retail y casas comerciales con cuenta

Datos típicos: historial completo de compras, devoluciones, métodos de pago utilizados, dirección de despacho, evaluaciones crediticias para cupos, comportamiento de pago si tienes tarjeta del retailer.

Cómo solicitar: las casas grandes (Falabella, París, Ripley, La Polar, Hites) tienen secciones específicas de privacidad. Las medianas suelen responder al contacto@ general — la ley los obliga a redirigir tu solicitud al área de privacidad.

Qué pueden retener: datos vinculados a la tarjeta de retail por plazos similares a los bancarios. Compras simples sin tarjeta deben suprimirse cuando lo solicites si no hay obligación legal de conservación.

3. Telcos

Datos típicos: identificación, plan contratado, historial de llamadas y datos consumidos, ubicación aproximada vía antenas, equipos asociados a la línea, consumo de roaming, navegación si tienes plan de datos.

Cómo solicitar: Entel, Movistar, Claro, WOM y VTR tienen áreas de privacidad. Algunos tienen formulario integrado en la app o portal de cliente.

Qué pueden retener: datos de tráfico tienen plazos especiales por SUBTEL y antilavado.

4. Streaming y servicios de suscripción

Datos típicos: hábitos de consumo (qué viste, cuándo, durante cuánto tiempo), recomendaciones generadas, métodos de pago, dispositivos asociados, listas creadas, calificaciones que diste.

Cómo solicitar: Netflix, Spotify, Amazon, Disney+, Apple y Google ofrecen exportación directa de datos desde su panel de cuenta. Para los que no tienen self-service, escribe al email de privacidad listado en la Política. Estas empresas atienden bien las solicitudes formales por estándares globales (RGPD aplicable a usuarios europeos los obligó a tener procesos maduros).

Qué pueden retener: poco si cancelas la cuenta. La mayoría conserva facturación por obligaciones tributarias. Lo demás suele eliminarse.

5. Redes sociales

Datos típicos: todo lo que publicaste, contactos, mensajes privados, tiempo de uso, ubicaciones registradas, intereses inferidos, perfiles publicitarios construidos sobre ti.

Cómo solicitar: Meta (Facebook, Instagram, WhatsApp), X, TikTok y LinkedIn tienen exportación de datos integrada en configuración de cuenta. La descarga incluye archivo zip con todo lo asociado a tu perfil.

Qué pueden retener: después de eliminar la cuenta, plazos de retención varían (entre 30 días y 2 años para distintos tipos de datos). Las empresas globales aplican estándares uniformes.

6. Apps de delivery y movilidad

Datos típicos: historial completo de viajes/pedidos con direcciones de origen y destino, métodos de pago, propinas, calificaciones, comportamiento horario, reclamos.

Cómo solicitar: Uber, Cabify, Rappi, PedidosYa, Cornershop. La mayoría tiene "Solicitud de mis datos" en configuración de cuenta. Alternativa: email de privacidad oficial.

Qué pueden retener: facturación y datos vinculados a impuestos por plazos tributarios.

7. Isapres y Fonasa

Datos típicos: todos los datos de salud (sensibles bajo Art. 2° letra g Ley 21.719). Diagnósticos, tratamientos, prestaciones, licencias médicas, exámenes.

Cómo solicitar: Isapres tienen áreas de protección de datos específicas. Fonasa atiende vía sucursal o portal.

Qué pueden retener: mucho. El Decreto Supremo N° 41 de 2012 del MINSAL fija un mínimo de 15 años desde la última anotación para fichas clínicas de adultos (más para menores). Esto es obligación legal que prevalece sobre tu solicitud de supresión.

8. Mutuales de seguridad

Datos típicos: accidentes laborales, exámenes ocupacionales, antecedentes de salud relacionados al trabajo, evaluaciones de invalidez.

Cómo solicitar: ACHS, Mutual de Seguridad CChC e IST tienen procedimientos formales. Por ser datos de salud requieren verificación de identidad razonable.

Qué pueden retener: datos relacionados a accidentes con secuelas siguen siendo necesarios para pensiones de invalidez y otras prestaciones.

9. AFP

Datos típicos: historial completo de cotizaciones desde tu primera AFP, ahorro previsional, beneficiarios designados, traspasos entre AFP, evaluación de pensión proyectada.

Cómo solicitar: Provida, Habitat, Cuprum, Capital, Modelo, PlanVital, Uno. Todas tienen áreas de privacidad y portal de cliente con sección de datos personales.

Qué pueden retener: los datos previsionales son históricos y se conservan por décadas — son la base del cálculo de tu pensión futura. Aquí la supresión no aplica salvo que cierres formalmente tu cuenta de capitalización (lo que requiere terminar la relación laboral cotizable).

10. Gimnasios y clubes

Datos típicos: identificación, datos biométricos si usan reconocimiento de huella o cara para el acceso (sensibles bajo la ley), métodos de pago, asistencia, evaluaciones físicas si las hicieron.

Cómo solicitar: Sportlife, Energy, Pacific Fitness y clubes deportivos. Los datos biométricos requieren consentimiento explícito y deben eliminarse al solicitarlo, salvo que sigas siendo miembro activo.

11. Inmobiliarias y corredoras de propiedades

Datos típicos: evaluaciones crediticias hechas para tu perfil, cotizaciones recibidas, documentos entregados (liquidaciones, declaraciones de renta), contratos firmados o desistidos.

Cómo solicitar: las grandes inmobiliarias tienen Política de Privacidad. Las corredoras pequeñas a menudo no, pero la ley igual las obliga.

Qué pueden retener: datos vinculados a contratos vigentes. Cotizaciones desistidas hace más de un año generalmente no tienen base legal para conservarse.

12. Sitios de empleo

Datos típicos: CV completo, historial laboral, postulaciones, calificaciones recibidas, mensajes con reclutadores, datos confidenciales declarados (pretensiones de renta, situación familiar).

Cómo solicitar: Trabajando.com, Laborum, LinkedIn, Indeed. La mayoría tiene exportación integrada. LinkedIn ofrece archivo completo desde configuración.

13. Newsletters y listas de marketing

Datos típicos: email, nombre, comportamiento de apertura y clic en correos, intereses inferidos, métodos de pago si pagaste algo asociado.

Cómo solicitar: suele ser tan simple como responder a un correo o hacer clic en "darse de baja". Si quieres más detalle, el remitente debería tener Política de Privacidad con email de contacto.

Qué pueden retener: muy poco después de la baja. La supresión debería ser inmediata salvo registro de la baja misma.

14. Programas de fidelización

Datos típicos: historial cruzado entre múltiples comercios del mismo programa. Cencosud (Discoclub), Falabella CMR Puntos, Unimarc, líneas aéreas (LATAM Pass, JetSmart), hoteles. Estos perfiles tienen alta granularidad porque cruzan información de muchos puntos de contacto.

Cómo solicitar: los programas grandes tienen secciones de privacidad. Si participas en varios, hay que solicitar a cada uno por separado.

15. Bases de datos públicas y registros oficiales

Datos típicos: SII (situación tributaria, inicio de actividades), Conservador de Bienes Raíces (propiedades), Boletín Concursal (deudas en proceso concursal), Diario Oficial (publicaciones), SERVEL (datos electorales), Registro Civil.

Cómo solicitar: son organismos públicos sujetos a la Ley 20.285 sobre Acceso a la Información Pública además de la Ley 21.719 cuando entre en vigencia. La mayoría tiene portales de Transparencia Activa.

Sobre fuentes públicas chilenas. El Art. 2° letra i) de la Ley 21.719 deja explícito que "el tratamiento de datos personales provenientes de fuentes de acceso público se someterá a las disposiciones de esta ley". Si una empresa privada obtuvo tus datos de fuentes públicas y los usa para perfilamiento o marketing sin consentimiento, también puedes ejercer el derecho de acceso sobre ese tratamiento — no solo sobre el organismo público que mantiene la fuente original.

Cómo redactar la solicitud de acceso (paso a paso)

Tu solicitud debe contener al menos:

  • Tu identificación: nombre completo, RUT, email de contacto.
  • El derecho que ejerces: acceso (Art. 5° Ley N° 21.719).
  • El alcance: ¿quieres saber TODO lo que tienen sobre ti o solo aspectos específicos (por ejemplo, solo el historial de transacciones del último año, solo datos compartidos con terceros)? Ambas son válidas.
  • Formato de respuesta deseado: si prefieres respuesta por email, en formato CSV/PDF, o impreso enviado a tu dirección.

Para no escribir desde cero, la herramienta gratuita en /herramientas/protocolo-arcop genera la carta lista en menos de un minuto. Selecciona el derecho de acceso, completa tus datos, y obtienes el documento listo para imprimir como PDF o copiar al portapapeles para pegar en email. Cita los artículos correctos y deja claras las obligaciones del responsable.

Qué hacer con la información que recibes

Cuando la empresa te responde, revisa:

  1. ¿Está completa? Si la respuesta es genérica ("tenemos sus datos para gestión comercial") sin especificar finalidades, plazos y terceros, está incompleta. Puedes pedir que la completen.
  2. ¿Hay datos que no recordabas haber entregado? Si aparece información que tú nunca diste, posiblemente la obtuvieron de un tercero. Tienes derecho a saber el origen (Art. 5°).
  3. ¿Hay terceros que no esperabas? Si tu información fue cedida a empresas que no autorizaste expresamente, podría ser una cesión no consentida — base para reclamo o solicitud de supresión.
  4. ¿Hay decisiones automatizadas? Si tu empresa fue clasificada en un score interno, recibió un tratamiento automatizado o fue perfilada con fines comerciales, tienes derecho a oponerte (Art. 8°) y a solicitar revisión humana (Art. 8° bis).

Si la información revela algo problemático, puedes ejercer otros derechos en cadena: rectificación si hay datos inexactos, supresión si los datos ya no son necesarios, oposición si te trataron para finalidades a las que te opones.

Frecuencia y costo

Hasta el 30 de noviembre de 2026 (régimen Ley 19.628): copia gratuita cada 6 meses según el Art. 12 vigente. Si pides una segunda copia dentro del semestre, la empresa puede cobrar costos directos razonables.

Desde el 1 de diciembre de 2026 (régimen Ley 21.719): acceso gratuito al menos trimestralmente según el Art. 10. La rectificación, supresión y oposición son siempre gratuitas. Los costos directos por accesos adicionales (más de uno en el mismo trimestre) deben ser razonables y demostrables.

En ambos regímenes, ningún cobro está justificado para la primera solicitud que hagas. Si una empresa intenta cobrarte por la primera respuesta, está actuando contra la ley.

Plazos de respuesta y qué hacer si no responden

| Régimen | Plazo del responsable | Vía si no responden | |---|---|---| | Ley 19.628 actual (hasta 30-NOV-2026) | 2 días hábiles | Juez de letras civil del domicilio del responsable o reclamo SERNAC en relación de consumo | | Ley 21.719 nueva (desde 1-DIC-2026) | 30 días corridos (prorrogable 30 más) | APDP, plazo 30 días hábiles para reclamar |

Si la empresa no responde dentro del plazo, tu evidencia documental (capturas, comprobantes de envío, fechas) se vuelve crítica para escalar. Importante: SERNAC pierde competencia sobre datos personales en relación de consumo el 1 de diciembre de 2026, cuando la Ley 21.719 deroga el Art. 15 bis de la Ley 19.496. Si tu reclamo entra antes de esa fecha y se traspasa a la APDP en transición, puede haber demora administrativa.

Próximos pasos

  1. Haz tu lista personal de empresas usando las 15 categorías como checklist.
  2. Empieza por las que ya no usas — son las solicitudes más rápidas y suelen abrir camino al ejercicio de otros derechos.
  3. Genera la carta gratis en /herramientas/protocolo-arcop.
  4. Documenta cada envío para escalar si no responden.
  5. Si quieres seguir con supresión después del acceso, lee cómo eliminar tus datos personales.

Preguntas frecuentes

¿Puedo solicitar acceso a empresas con las que ya no trabajo?

Sí. Mientras la empresa siga tratando datos personales sobre ti —incluso si terminó la relación contractual hace años—, mantienes el derecho de acceso. De hecho, las empresas con las que cortaste relación son las primeras candidatas a auditar: si conservan datos sin base legal vigente (sin obligación legal de retención y sin contrato activo), su tratamiento puede ser ilegítimo y abre la puerta a solicitar supresión inmediata.

¿Cuántas veces al año puedo solicitar acceso gratuitamente?

Depende del régimen. Hasta el 30 de noviembre de 2026 rige la Ley N° 19.628 original: copia gratuita cada 6 meses (Art. 12). Desde el 1 de diciembre de 2026 entra en vigencia plena la Ley N° 21.719: acceso gratuito al menos trimestralmente (Art. 10), es decir 4 veces por año por defecto. Solo accesos adicionales en el mismo trimestre permiten cobrar costos directos razonables. La rectificación, supresión y oposición son siempre gratuitas en ambos regímenes.

¿Qué hago si una empresa me responde con información incompleta o vaga?

La respuesta debe contener todo lo que exige el Art. 5° de la Ley N° 21.719: datos tratados, finalidades específicas, plazos de conservación, terceros a quienes se cedieron, origen de los datos cuando no fueron entregados directamente por ti, y existencia de decisiones automatizadas. Si la respuesta es genérica ("tratamos sus datos para gestión comercial" sin más detalle), está incompleta. Responde por escrito pidiendo que completen la información citando el Art. 5° específicamente. Si insisten en respuesta vaga, escala según el régimen vigente: hoy a SERNAC (relación de consumo) o juez civil; desde diciembre 2026, a la APDP.

¿Puede la empresa exigirme notarización de mi solicitud?

No. La empresa puede solicitar verificación razonable de tu identidad — por ejemplo, copia de cédula, validación a través de tu canal habitual de comunicación con ellos, o confirmación por SMS al teléfono registrado. No puede exigir notarización: la solicitud puede hacerse por escrito simple, correo electrónico o formulario en línea. La verificación debe ser proporcional al tipo de dato solicitado: para datos sensibles (salud, biométricos) puede ser más exigente; para datos básicos no.

¿Sirve el derecho de acceso para identificar si una empresa me filtró datos?

Indirectamente sí. Si pides acceso y la empresa te entrega un detalle que incluye terceros a los que cedió tus datos sin tu consentimiento, ya tienes evidencia de cesión no consentida. Pero las brechas (vulneraciones de seguridad) son distintas: la empresa NO siempre las divulga al titular individualmente cuando responde el acceso, salvo que la afectación sea significativa. La obligación de notificar al titular se activa solo cuando la vulneración compromete datos sensibles, datos de niños/niñas menores de 14 años o datos económicos/financieros/bancarios/comerciales (Art. 14 sexies inc. 3° Ley N° 21.719). Si sospechas que tus datos fueron filtrados sin notificación, puedes consultar al CSIRT chileno o reclamar a la APDP a partir del 1-DIC-2026.

PrivacidadWeb es una herramienta tecnológica que genera templates y documentos orientativos basados en la Ley N° 21.719 y la Ley N° 19.628. Esta guía no constituye asesoría legal. Para situaciones complejas (litigios pendientes, casos con datos sensibles de alto impacto, conflictos transfronterizos) recomendamos consultar con abogado especializado en protección de datos.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🔎Legal

¿Te Fiscalizan? Guía 2026 para Empresas Chilenas

Guía universal sobre fiscalización en Chile: qué autoridades pueden fiscalizar a tu empresa (SII, DT, ANCI, APDP, Salud, SUBTEL, SERNAC), tus derechos durante el proceso, plazos típicos, documentación que típicamente piden, errores comunes que agravan la sanción y cuándo necesitas abogado.

🏛️Legal

ANCI vs APDP: Diferencias entre las Dos Agencias Chilenas

Chile estrenó dos agencias regulatorias nuevas en menos de dos años: ANCI (ciberseguridad) y APDP (datos personales). Esta guía compara qué hace cada una, a quién fiscaliza, qué multas puede aplicar, a cuál notificar un incidente y cómo coordinan en casos de doble jurisdicción.

📋Legal

5 Normativas Chilenas que tu Pyme Debe Cumplir en 2026

Panorama completo de las 5 normativas que afectan a las pymes chilenas en 2026: Ley Karin (acoso laboral), Ley 20.393 con Delitos Económicos, boleta electrónica SII, Ley 21.719 (datos personales) y Ley 21.663 (ciberseguridad). Plazos, sanciones, a quién aplica cada una y plan de cumplimiento integrado.