La entrada en vigencia de la Ley N° 21.719 el 1 de diciembre de 2026 no es una simple actualización normativa: representa una reconfiguración dogmática del derecho chileno de protección de datos, con autonomía conceptual, densidad principiológica y tutela institucional efectiva. Con ella, el ordenamiento abandona el giro de “vida privada” para abrazar una gramática propia de datos personales, alineada con estándares comparados como el RGPD europeo, y dota al sistema de una autoridad independiente con potestades normativas, fiscalizadoras y sancionatorias.
De la privacidad informal al derecho fundamental operativo
El tránsito conceptual de la Ley 21.719 es doble. Por un lado, positiva los principios que rigen el tratamiento (licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia y confidencialidad) como criterios exigibles, no meras proclamas, cuya inobservancia genera responsabilidad administrativa y civil. Por otro, redefine el objeto reconstruye el estatuto jurídico del tratamiento de datos personales, reforzando el contenido operativo del derecho del art. 19 N°4 CPR.
Esta deriva es consistente con la evolución comparada que distingue privacidad y protección de datos, pero reconoce su interdependencia.
Responsabilidad proactiva y diseño: la transformación del estándar de cumplimiento
La Ley 21.719 incorpora una noción de responsabilidad (accountability) que traslada al responsable, y por extensión a sus asesores, el deber de acreditar cumplimiento, adoptar medidas “desde el diseño y por defecto” y documentar decisiones. Aunque la figura emana del texto local (deberes de información, seguridad, reporte de brechas, DPIA), su arquitectura dialoga con el RGPD: la obligación de demostrar cumplimiento (art. 5.2) y la idea de medidas apropiadas según naturaleza, alcance, contexto y riesgo (considerando 74) son hoy el “estándar de oro” comparado.
Para la abogacía, esto desborda el formalismo documental (cláusulas y consentimientos) y demanda diseño institucional del cumplimiento, evaluación de riesgos y justificación jurídica de decisiones tecnológicamente complejas. Esta mutación del rol profesional ha sido subrayada también por la literatura comparada sobre accountability.
Derechos de los titulares
La sistematización de los derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo robustece la dimensión subjetiva del sistema y anticipa una nueva conflictividad especializada en sede administrativa y judicial. Particular atención merece el derecho a no ser objeto de decisiones basadas exclusivamente en tratamiento automatizado (incluida la elaboración de perfiles), que la ley chilena regula con garantías de explicación, intervención humana y revisión; su lectura comparada con el art. 22 RGPD refuerza la exigencia de “intervención humana significativa” y salvaguardas cuando se produzcan efectos jurídicos o similares.
La abogacía, en consecuencia, deberá dominar lógicas algorítmicas básicas, trazabilidad y prueba de decisiones automatizadas, una intersección ya explorada por la doctrina europea a propósito del alcance, límites y salvaguardas del artículo 22 RGPD.
En lo que respecta a portabilidad, la recepción chilena del derecho dialoga con las Directrices del EDPB y guías de autoridades europeas, que lo conciben como un instrumento para reforzar el control del titular en entornos interoperables y automatizados. Esto tendrá efecto práctico en mercados de plataformas y sectores como salud o finanzas, donde la doctrina latinoamericana comparada ya discute alcance y límites.
Institucionalidad y función regulatoria: la Agencia como intérprete práctico
La Agencia de Protección de Datos Personales es un verdadero polo hermenéutico y regulatorio. Dictará instrucciones generales, resolverá reclamaciones, fiscalizará tratamientos y sancionará infracciones, además de administrar un Registro Nacional de Sanciones y Cumplimiento. Su práctica administrativa (instrucciones, criterios, resoluciones) estructurará el “criterio administrativo” regulatorio que terminará impregnando contratos, políticas internas y programas de cumplimiento.
Buena parte del debate académico local ya anticipa que la materialidad del nuevo régimen dependerá de la capacidad institucional de la Agencia para emitir lineamientos oportunos y coordinarse con reguladores sectoriales.
Sanciones y modelos de prevención: hacia un derecho administrativo del riesgo
El régimen sancionatorio prevé infracciones leves, graves y gravísimas, con multas de hasta 20.000 UTM y, en caso de reincidencia de grandes empresas, sanciones porcentuales sobre ingresos anuales. Además, contempla sanciones accesorias (p.ej., suspensión temporal de actividades de tratamiento) y la publicidad de sanciones en un registro nacional. En este marco, la ley incentiva modelos de prevención (programas de cumplimiento) cuya certificación opera como atenuante relevante.
Este énfasis preventivo es consistente con la lógica ex ante del RGPD sobre Evaluaciones de Impacto (DPIA/EIPD) ante tratamientos de alto riesgo, en particular, perfilado con efectos significativos, tratamiento masivo de datos sensibles u observación sistemática,, práctica ya consolidada en la Unión Europea.
Consideraciones finales
La Ley N° 21.719 no solo moderniza reglas: redefine cómo el derecho enfrenta el poder informacional en sociedades dataficiadas. Para la abogacía, académica y práctica, esto exige una aproximación interdisciplinaria y sistémica: menos formularios, más diseño; menos reacción, más gobernanza. Esta exigencia es compatible con enfoques teóricos que han marcado la discusión (v.gr., privacidad como integridad contextual y la separación conceptual, no ruptura, entre privacidad y protección de datos en el constitucionalismo europeo), que permiten situar la ley chilena en una conversación más amplia sobre derechos fundamentales y tecnología.
Equipo Editorial Legal
