Todos los posts
compliancelegalchile

Ley 21.719: lo que tu sistema debe hacer (y no estás haciendo)

La nueva ley de datos personales chilena entró en vigencia. Si tu software guarda emails o RUT, esto te aplica. Checklist práctico para CTOs.

Samuel Fuentes4 de julio de 20261 min de lectura
Ley 21.719: lo que tu sistema debe hacer (y no estás haciendo)

TL;DR

Si tu empresa guarda datos personales de chilenos (emails, RUT, teléfono, dirección) tu software debe:

  1. Tener consentimiento explícito y trazable
  2. Permitir al titular ver, corregir y eliminar sus datos
  3. Notificar incidentes de seguridad en plazo legal
  4. Tener un encargado de protección de datos identificado

La ley sin tecnicismos

La Ley 21.719 reemplaza a la antigua 19.628 con un enfoque mucho más cercano al GDPR europeo. Las multas pueden llegar a UF 20.000 (~$500 millones CLP). No es teoría: la Agencia de Protección de Datos chilena ya empezó a fiscalizar.

Checklist técnico

Consentimiento

  • Cada formulario que captura email/teléfono/RUT incluye checkbox NO pre-marcado
  • El consentimiento se almacena con timestamp e IP
  • Los consentimientos pasados se pueden auditar (no se sobrescriben)

Derechos del titular

  • Endpoint o flujo para que el usuario pida sus datos en formato estructurado
  • Endpoint o flujo para corregir datos
  • Endpoint o flujo de "olvido": elimina o anonimiza datos cuando no haya obligación legal de conservar

Seguridad

  • Cifrado en tránsito (HTTPS obligatorio)
  • Cifrado en reposo para datos sensibles (RUT, salud, financiero)
  • Logs de acceso a datos personales (quién accedió, cuándo, por qué)
  • Backups encriptados con retención definida

Procesos

  • Plan documentado de respuesta a incidentes
  • Política de privacidad publicada y vigente
  • Acuerdos con proveedores que tratan datos (DPA / Data Processing Agreement)
  • Encargado de protección de datos designado

Lo que NO está claro aún

La ley delega muchos detalles al reglamento, que recién está saliendo. Mantente atento a:

  • Plazos exactos para notificación de incidentes (probablemente 72h, como GDPR)
  • Definición de "datos sensibles" en contexto chileno
  • Tarifas y mecanismos de denuncia ciudadana

Qué hacer esta semana

Si todo este checklist te suena extraño:

  1. Audita qué datos personales guardas hoy
  2. Revisa formularios y consentimientos
  3. Define un plan de respuesta a incidentes
  4. Habla con tu abogado y tu equipo técnico juntos

Si quieres ayuda técnica, tenemos experiencia implementando estos controles sin reescribir todo.

¿Te gustó este post? Hablemos.

Si tu empresa tiene un desafío similar, agenda 30 minutos con el equipo. Sin compromiso.

Agendar reunión
Agendar reunión de 30 min