Ley 21.719: lo que tu sistema debe hacer (y no estás haciendo)
La nueva ley de datos personales chilena entró en vigencia. Si tu software guarda emails o RUT, esto te aplica. Checklist práctico para CTOs.
TL;DR
Si tu empresa guarda datos personales de chilenos (emails, RUT, teléfono, dirección) tu software debe:
- Tener consentimiento explícito y trazable
- Permitir al titular ver, corregir y eliminar sus datos
- Notificar incidentes de seguridad en plazo legal
- Tener un encargado de protección de datos identificado
La ley sin tecnicismos
La Ley 21.719 reemplaza a la antigua 19.628 con un enfoque mucho más cercano al GDPR europeo. Las multas pueden llegar a UF 20.000 (~$500 millones CLP). No es teoría: la Agencia de Protección de Datos chilena ya empezó a fiscalizar.
Checklist técnico
Consentimiento
- Cada formulario que captura email/teléfono/RUT incluye checkbox NO pre-marcado
- El consentimiento se almacena con timestamp e IP
- Los consentimientos pasados se pueden auditar (no se sobrescriben)
Derechos del titular
- Endpoint o flujo para que el usuario pida sus datos en formato estructurado
- Endpoint o flujo para corregir datos
- Endpoint o flujo de "olvido": elimina o anonimiza datos cuando no haya obligación legal de conservar
Seguridad
- Cifrado en tránsito (HTTPS obligatorio)
- Cifrado en reposo para datos sensibles (RUT, salud, financiero)
- Logs de acceso a datos personales (quién accedió, cuándo, por qué)
- Backups encriptados con retención definida
Procesos
- Plan documentado de respuesta a incidentes
- Política de privacidad publicada y vigente
- Acuerdos con proveedores que tratan datos (DPA / Data Processing Agreement)
- Encargado de protección de datos designado
Lo que NO está claro aún
La ley delega muchos detalles al reglamento, que recién está saliendo. Mantente atento a:
- Plazos exactos para notificación de incidentes (probablemente 72h, como GDPR)
- Definición de "datos sensibles" en contexto chileno
- Tarifas y mecanismos de denuncia ciudadana
Qué hacer esta semana
Si todo este checklist te suena extraño:
- Audita qué datos personales guardas hoy
- Revisa formularios y consentimientos
- Define un plan de respuesta a incidentes
- Habla con tu abogado y tu equipo técnico juntos
Si quieres ayuda técnica, tenemos experiencia implementando estos controles sin reescribir todo.