Si tu empresa usa Gmail para el correo, Google Analytics para medir tráfico, HubSpot o Salesforce como CRM, Mailchimp para enviar newsletters, Stripe para procesar pagos, AWS o Google Cloud como hosting — estás haciendo transferencia internacional de datos personales. Probablemente sin haberlo identificado como tal, y casi con certeza sin haberlo documentado.
Bajo la Ley 19.628, eso no generaba ninguna obligación específica. Bajo la Ley 21.719, es una de las áreas con más brechas de cumplimiento en el mundo empresarial chileno — y una de las que la APDP puede revisar directamente.
Esta guía explica qué es la transferencia internacional de datos según la ley, cuándo aplica, qué se necesita para legalizarla y cómo regularizar la situación de tu empresa.
Qué es transferencia internacional de datos según la Ley 21.719
La Ley 21.719 define la transferencia internacional de datos personales como todo envío, comunicación, cesión o acceso a datos personales que implique que esos datos sean tratados fuera del territorio chileno, o que sean accesibles desde un país distinto a Chile.
La definición es más amplia de lo que parece. No se requiere que "mandes" un archivo físicamente. Basta con que los datos sean almacenados o accesibles en servidores ubicados fuera de Chile, o que un proveedor extranjero los procese desde otro país.
Esto incluye situaciones que muchas empresas no identifican como transferencia internacional:
- Almacenar datos de clientes en un CRM con servidores en EE.UU. (Salesforce, HubSpot)
- Usar una plataforma de email marketing con servidores en la UE o EE.UU. (Mailchimp, Brevo)
- Alojar tu sitio web en AWS, Google Cloud o Azure (todos con data centers fuera de Chile)
- Sincronizar contactos o correos en Google Workspace o Microsoft 365
- Procesar pagos a través de Stripe, PayPal o Mercado Pago (con servidores en el extranjero)
- Usar herramientas de videoconferencia como Zoom o Teams que almacenan grabaciones fuera de Chile
La regla práctica: si el proveedor de un servicio tiene sus servidores fuera de Chile y tus datos de clientes o empleados pasan por esos servidores, hay transferencia internacional.
El requisito central: nivel adecuado de protección
La Ley 21.719 establece que las transferencias internacionales de datos solo son válidas si se cumple al menos una de estas condiciones:
1. El país de destino ofrece un nivel de protección adecuado.
2. Existen garantías suficientes que protejan los derechos de los titulares.
3. Se aplica alguna de las excepciones específicas que la propia ley contempla.
Sin ninguna de estas condiciones, la transferencia es ilícita — independiente de que sea tecnológicamente inevitable para operar.
Países con nivel adecuado de protección
El concepto de "nivel adecuado" significa que el marco legal del país de destino ofrece garantías comparables a las de la Ley 21.719. La APDP es quien determina qué países tienen nivel adecuado para Chile — una lista que aún está siendo elaborada en la fase de implementación.
Como referencia, los países que la Unión Europea ha reconocido como adecuados incluyen: Andorra, Argentina, Canadá (sector comercial), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, Nueva Zelanda, República de Corea, Suiza, Uruguay, y el Reino Unido. Chile no está en esta lista aún, aunque es uno de los candidatos más probables una vez que la APDP entre en plena operación.
El caso de los países de la UE: los países miembros de la UE y el EEE tienen el GDPR, que es ampliamente considerado el estándar de referencia global. La APDP es muy probable que reconozca al EEE como zona de nivel adecuado, dado que el propio diseño de la Ley 21.719 está influenciado por el GDPR.
Argentina también tiene reconocimiento histórico de adecuación de la UE y un marco legal sólido. Es probable que la APDP la reconozca también.
El problema: hasta que la APDP publique su lista oficial de países adecuados, hay incertidumbre. La recomendación es operar como si ningún país fuera automáticamente adecuado y documentar las garantías alternativas para todos los casos.
El caso de EE.UU.: el mayor punto de fricción
Estados Unidos no tiene una ley federal general de protección de datos. Tiene leyes sectoriales (HIPAA para salud, COPPA para menores, CCPA/CPRA en California) pero ninguna legislación nacional equivalente al GDPR o a la Ley 21.719.
El EU-US Data Privacy Framework, vigente desde 2023, permite a empresas europeas transferir datos a empresas estadounidenses certificadas bajo ese framework. Pero ese acuerdo es entre la UE y EE.UU. — Chile no es parte de él.
¿Qué implica esto para las empresas chilenas?
Que para transferir datos a proveedores con servidores en EE.UU. (que es el caso de la mayoría de los SaaS más populares: AWS, Google, Microsoft, Salesforce, Mailchimp, Stripe, Zoom, Slack, y docenas más), se necesita una garantía alternativa. La más práctica y común es la cláusula contractual tipo.
Garantías para países sin nivel adecuado
Cuando el país de destino no tiene nivel adecuado, la Ley 21.719 contempla estos mecanismos para igualmente autorizar la transferencia:
1. Cláusulas contractuales tipo (CCT)
Son cláusulas estandarizadas que se incorporan al contrato con el proveedor extranjero, en las que ese proveedor se compromete a tratar los datos con las mismas garantías que exige la Ley 21.719.
La APDP puede emitir modelos de CCT para uso general. Mientras no lo haga, las empresas pueden basarse en los modelos estándar de la UE (Standard Contractual Clauses del GDPR), que son la referencia internacional más consolidada disponible.
Aplicación práctica: muchos proveedores grandes (Google, Microsoft, AWS, Salesforce, Mailchimp) ya tienen sus propios modelos de Data Processing Agreement (DPA) que incorporan SCCs o garantías equivalentes. Firmar el DPA del proveedor es el primer paso para documentar la transferencia correctamente.
2. Normas corporativas vinculantes (Binding Corporate Rules)
Aplicables dentro de grupos empresariales multinacionales. Una corporación con filiales en múltiples países puede establecer normas internas vinculantes de protección de datos que apliquen a todas sus entidades. Requieren aprobación de la APDP.
Este mecanismo es relevante para empresas multinacionales con operaciones en Chile, no para pymes locales que usan servicios SaaS.
3. Consentimiento explícito del titular
El titular puede consentir expresamente que sus datos sean transferidos a un país específico, incluso sin nivel adecuado, siempre que haya sido informado del riesgo. Este consentimiento debe cumplir todos los requisitos del Art. 12: libre, informado, específico e inequívoco.
Limitación: el consentimiento como base para transferencias internacionales es la opción más frágil. Si el titular revoca su consentimiento, la transferencia debe cesar. Para transferencias masivas y continuas (como usar AWS para todo tu hosting), no es una base sostenible.
4. Necesidad del contrato
Cuando la transferencia es necesaria para cumplir el contrato con el titular (ej: reservar un vuelo internacional requiere transferir datos a la aerolínea extranjera), la ley lo permite sin necesidad de nivel adecuado ni CCT.
Qué debe decir tu Política de Privacidad sobre transferencias internacionales
El Art. 14 ter de la Ley 21.719 exige que la Política de Privacidad informe sobre las transferencias internacionales de datos. Como mínimo, debe mencionar:
- Que se realizan transferencias internacionales (no basta decir "usamos servicios de terceros")
- Los países de destino (EE.UU., UE, otros)
- Las garantías aplicables (cláusulas contractuales tipo, nivel adecuado, consentimiento)
- Los principales proveedores involucrados (por lo menos las categorías: hosting, email marketing, CRM, pagos)
Una Política de Privacidad que dice solo "sus datos pueden ser transferidos a terceros" no cumple con este requisito. Necesita especificidad.
Ejemplo de redacción correcta:
"Sus datos personales pueden ser transferidos y tratados fuera de Chile. En particular, utilizamos los siguientes servicios que tienen servidores en EE.UU.: [Google Workspace para correo y documentos], [Mailchimp para comunicaciones de marketing], [AWS para alojamiento de la plataforma]. Estas transferencias se realizan bajo cláusulas contractuales tipo equivalentes a las Cláusulas Contractuales Estándar de la UE, que garantizan un nivel de protección adecuado."
Para generar una Política de Privacidad que incluya correctamente las transferencias internacionales según tu tipo de negocio:
Pasos prácticos para regularizar tus transferencias existentes
Si ya usas servicios en la nube con servidores fuera de Chile (que es prácticamente universal), estos son los pasos para regularizar:
Paso 1: Inventariar tus proveedores SaaS. Haz una lista de todos los servicios digitales que usas: hosting, email, CRM, pagos, analytics, videoconferencia, contabilidad, RRHH. Para cada uno, identifica: ¿dónde tiene sus servidores? ¿Qué datos de clientes o empleados procesa?
Paso 2: Revisar los DPAs disponibles. La mayoría de los proveedores grandes tienen un Data Processing Agreement (DPA) o un Acuerdo de Procesamiento de Datos que puedes firmar (o aceptar en línea en la configuración de tu cuenta). Revisa si el proveedor tiene uno: Google, Microsoft, AWS, Mailchimp, HubSpot, Stripe — todos lo tienen. Acéptalo y guarda registro de la fecha.
Paso 3: Documentar en el RAT. Tu Registro de Actividades de Tratamiento debe incluir las transferencias internacionales: proveedor, país de destino, datos transferidos, garantía aplicada. Sin esto, en una fiscalización no puedes demostrar que tienes control sobre las transferencias.
Paso 4: Actualizar la Política de Privacidad. Añade la sección de transferencias internacionales con los proveedores, países y garantías identificados en el paso 2. No necesitas listar todos los proveedores — puedes agrupar por categoría y listar los principales.
Paso 5: Revisar anualmente. Los proveedores cambian, los DPAs se actualizan, y pueden surgir nuevas herramientas. Al menos una vez al año, revisa que la documentación de transferencias refleja la realidad operativa actual.
Preguntas frecuentes
¿Puedo seguir usando Gmail, Google Drive o Google Workspace?
Sí. Google ofrece un Data Processing Agreement completo que incluye cláusulas contractuales tipo. Debes firmarlo (aceptarlo en la consola de administración de Google Workspace) y documentarlo. Usar Google Workspace sin haber aceptado el DPA es técnicamente incumplimiento — pero el servicio en sí es regularizable sin cambiar de proveedor.
¿AWS o Google Cloud son transferencia internacional?
Sí, si los servidores que usas están fuera de Chile. Tanto AWS como Google Cloud tienen regiones en varios continentes. Si tienes tu infraestructura en us-east-1 o europe-west1, estás haciendo transferencia internacional. Firma el DPA del proveedor (ambos los tienen) y documéntalo. Si el nivel de riesgo de tus datos lo justifica, considera migrar a regiones más cercanas o con mejor cobertura legal (aunque ninguna región de AWS está en Chile por ahora).
¿Mailchimp o Brevo para email marketing requieren garantías especiales?
Sí. Ambos plataformas procesan datos personales de tus contactos (nombre, email, comportamiento de apertura) en servidores fuera de Chile. Mailchimp tiene un DPA disponible que incluye SCCs para transferencias desde el EEE; aplica también a transferencias desde Chile como buena práctica. Brevo tiene una estructura similar. Acepta el DPA, documéntalo en tu RAT y menciónalo en tu Política de Privacidad.
¿Stripe o PayPal para pagos son transferencia internacional?
Sí. Stripe procesa datos de transacción (que pueden incluir nombre, email y datos de la compra vinculados a una persona) en servidores en EE.UU. e Irlanda. Stripe ofrece un DPA que puedes aceptar en la configuración de tu cuenta. Igual para PayPal. El hecho de que sean plataformas de pago no los exime de las obligaciones de transferencia internacional de datos personales.
¿Qué pasa si un proveedor no tiene DPA disponible?
Si el proveedor no ofrece ningún DPA o garantía contractual para las transferencias de datos, tienes tres opciones: negociar un contrato personalizado con cláusulas de protección de datos, buscar un proveedor alternativo que sí ofrezca garantías, o documentar el consentimiento explícito de los titulares como base para la transferencia. En la práctica, para proveedores pequeños o locales sin DPA, la negociación directa es la vía más razonable.
Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos personales.