Ley 21.719 · Guía sectorial

Ley 21.719 para Agregadores de Datos y Empresas Data-Driven

Las empresas que basan su modelo en el procesamiento masivo de datos personales chilenos —fintech con scoring crediticio, plataformas de verificación de identidad, marketing data, cobranza, comparadores que enriquecen información de fuentes públicas— son el segmento más expuesto bajo la Ley 21.719. La defensa común de "fuentes de acceso público" o "interés legítimo" tiene límites específicos definidos en el Art. 2° letra i) y el Art. 13 letra d). Si tu base contiene más de 10.000 titulares y operas con tratamiento automatizado, perteneces a este segmento.

🔴 Riesgo ALTO8 tipos de datos regulados

Cómo Agregadores de Datos y Empresas Data-Driven interactúa con datos personales

Una empresa data-driven en Chile no se enfrenta a las mismas obligaciones que un negocio tradicional. Cada vez que un pipeline ETL ingiere datos del SII, del Boletín Comercial o del Conservador de Bienes Raíces, está haciendo un tratamiento masivo. Cada vez que un algoritmo decide otorgar un crédito, asignar un score o personalizar una oferta, está haciendo tratamiento automatizado en los términos del Art. 8° bis. La Ley 21.719 exige documentar la base de licitud por finalidad —no por dataset— y mantener un Registro de Actividades de Tratamiento exhaustivo. Para tratamientos de alto riesgo, el Art. 15 ter obliga a realizar una Evaluación de Impacto en Protección de Datos (DPIA) antes de iniciar el tratamiento, con cuatro supuestos taxativos: tratamiento sistemático y exhaustivo basado en decisiones automatizadas, tratamiento masivo o a gran escala, monitoreo sistemático de zonas de acceso público y tratamiento de datos sensibles fuera del consentimiento. La transferencia a AWS, GCP o Azure se rige por los Arts. 27-29 y exige garantías contractuales específicas: cláusulas modelo aprobadas por la Agencia, normas corporativas vinculantes u otros instrumentos jurídicos, ya que la lista de países con "nivel adecuado" del Art. 28 aún no ha sido emitida por la Agencia.

¿Qué datos personales trata tu agregadores de datos y empresas data-driven?

Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.

RUT y datos de identificación cruzados desde múltiples fuentesScore crediticio o financiero calculadoHistorial de cumplimiento de pagos y morosidadDatos sociodemográficos (edad, comuna, estado civil)Comportamiento online y patrones digitalesGeolocalización de dispositivosDatos relacionales (red de contactos, vínculos familiares y laborales)Información laboral y de actividad económica

Tu principal riesgo

⚠️

El procesamiento masivo y automatizado sin contacto directo con el titular hace muy difícil acreditar el consentimiento libre, informado y específico que exige el Art. 12. La transferencia internacional de bases a infraestructura cloud (AWS, GCP, Azure) y el uso de datos sensibles dentro de modelos de scoring multiplican la exposición sancionatoria. Una vulneración masiva en este segmento se tipifica habitualmente como gravísima (Art. 34 quáter) por afectación a un volumen alto de titulares y datos económicos.

Obligaciones específicas para Agregadores de Datos y Empresas Data-Driven

Documentar la base de licitud para cada finalidad de tratamiento (Art. 13). El interés legítimo del Art. 13 letra d) exige un test de ponderación documentado entre el interés del responsable y los derechos del titular, y la carga de prueba de la licitud recae siempre en el responsable.

Realizar Evaluación de Impacto en Protección de Datos (DPIA) antes de iniciar tratamientos de alto riesgo (Art. 15 ter): tratamientos automatizados con efectos jurídicos significativos, tratamiento masivo, monitoreo sistemático de zonas públicas o tratamiento de datos sensibles en hipótesis de excepción del consentimiento.

Mantener un Registro de Actividades de Tratamiento (RAT) exhaustivo y por finalidad, no por dataset, identificando origen de los datos, base de licitud específica, transferencias a terceros y plazos de conservación.

Implementar el derecho a oposición y revisión humana de decisiones automatizadas (Art. 8° bis): garantizar información, explicación, intervención humana, expresión del punto de vista del titular y revisión de la decisión cuando haya efectos jurídicos significativos.

Asegurar garantías contractuales para transferencias internacionales (Arts. 27-29) cuando se use infraestructura cloud con servidores fuera de Chile: cláusulas modelo, normas corporativas vinculantes u otros instrumentos jurídicos, dado que la Agencia aún no publica la lista de países con "nivel adecuado".

Ejemplo de cumplimiento paso a paso

1
Mapea tus flujos de datos
Documenta cada origen (SII, Boletín Comercial, scraping autorizado, APIs de terceros, formularios propios), la finalidad específica, la base de licitud aplicable, las transferencias a terceros encargados y el plazo de conservación. Es la base de tu RAT y de cualquier defensa frente a una fiscalización.
2
Genera tu Política de Privacidad específica para tratamiento masivo
Tu política debe explicar las finalidades concretas, identificar las decisiones automatizadas (scoring, segmentación), describir las transferencias internacionales y declarar los derechos de oposición y revisión humana del Art. 8° bis.
3
Levanta tu RAT exhaustivo
Para empresas data-driven el RAT no es opcional. Documenta cada actividad de tratamiento por finalidad, no por dataset: una misma base puede usarse para verificación, scoring y marketing — son tres tratamientos distintos que requieren bases de licitud distintas.
4
Implementa el canal de derechos del titular
Tus titulares tienen derecho a acceder, rectificar, suprimir, oponerse al tratamiento (incluido oponerse a decisiones automatizadas del Art. 8° bis), portar sus datos y solicitar el bloqueo. Necesitas procedimiento documentado y plazos de respuesta cumplidos.
5
Prepara tu protocolo ante vulneraciones
Con bases de cientos de miles de titulares, una vulneración a las medidas de seguridad puede tipificarse como gravísima (Art. 34 quáter). Tener protocolo escrito previo es factor atenuante (Art. 36) y obligación legal de seguridad (Art. 14 quinquies).

Genera los documentos que tu agregadores de datos y empresas data-driven necesita

Sin registro · Sin pago · Listo en minutos

Generar Gratis

Multas y sanciones para Agregadores de Datos y Empresas Data-Driven

La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).

💸

Una empresa data-driven con base de 500.000 titulares que sufra una vulneración a sus medidas de seguridad sin protocolo previo y sin notificación oportuna a la Agencia podría enfrentar multas de hasta 20.000 UTM (~$1.412M CLP a UTM mayo 2026). Si es reincidente y no califica como Pyme, la sanción puede alcanzar hasta el 4% de los ingresos anuales por ventas y servicios del último año calendario (Art. 35 inc. 4°), aplicándose la cifra más gravosa entre 3× del monto base y el porcentaje de ingresos.

Preguntas frecuentes sobre privacidad para agregadores de datos y empresas data-driven

¿La base de licitud "interés legítimo" me protege automáticamente?

No. El Art. 13 letra d) de la Ley 21.719 exige que el interés legítimo del responsable o de un tercero no afecte los derechos y libertades del titular y que el titular pueda exigir siempre ser informado. La carga de la prueba de la licitud recae en el responsable. Para datos sensibles el interés legítimo no opera como base — se requiere consentimiento expreso o una de las hipótesis taxativas del Art. 16.

¿Necesito designar Delegado de Protección de Datos (DPO) obligatoriamente?

No automáticamente. La Ley 21.719 establece que la designación de DPO en el sector privado es voluntaria (Art. 50), salvo que el responsable adopte un Modelo de Prevención de Infracciones del Art. 49 (que da acceso a una atenuante en el Art. 36). A diferencia del RGPD europeo, la ley chilena no fija umbrales obligatorios por volumen, sector o tipo de tratamiento. Aun así, para empresas data-driven es altamente recomendable designarlo por la complejidad de las obligaciones.

¿Las "fuentes de acceso público" me eximen del cumplimiento?

No. El Art. 2° letra i) define las fuentes de acceso público y agrega expresamente que "el tratamiento de datos personales provenientes de fuentes de acceso público se someterá a las disposiciones de esta ley". Que un dato esté en una fuente pública no significa que puedas tratarlo para cualquier finalidad: la finalidad debe ser compatible con el contexto en que se hizo público y respetar las expectativas razonables del titular.

¿Necesito hacer Evaluación de Impacto (DPIA)?

Sí, si tu tratamiento cae en alguno de los cuatro supuestos del Art. 15 ter: (a) evaluación sistemática y exhaustiva basada en decisiones automatizadas con efectos jurídicos significativos, (b) tratamiento masivo o a gran escala, (c) observación o monitoreo sistemático de zona de acceso público, o (d) tratamiento de datos sensibles fuera del consentimiento. La DPIA debe contener al menos descripción de las operaciones, finalidad, evaluación de necesidad y proporcionalidad, evaluación de riesgos y medidas de mitigación.

Más recursos útiles

Industrias relacionadas

Fintech y Servicios Financieros Digitales Agencias de Marketing Digital Startups y Empresas de Tecnología

Herramientas para tu agregadores de datos y empresas data-driven

Política de Privacidad Registro de Tratamiento (RAT)Protocolo ARCOP Protocolo de Brechas Diagnóstico de Cumplimiento

Lee más sobre la ley

📖 ¿Qué es la Ley 21.719?💰 Multas Ley de Datos Personales

Gestión ARCOP

¿Ya tienes el buzón de solicitudes ARCOP?

Cuando la ley entre en vigor, tus clientes podrán exigir sus derechos por escrito. Necesitas un sistema para recibirlas, gestionarlas y responder a tiempo.

Ver el gestor ARCOP →

Agregadores de Datos y Empresas Data-Driven

Cumple la Ley 21.719 antes de que entre en vigor

Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.

Generar Política de Privacidad Gratis Hacer diagnóstico