Preguntas Frecuentes FORLOPD

La protección de las personas naturales en relación con el tratamiento de sus datos personales es un derecho fundamental en el ordenamiento jurídico chileno. El artículo 19 N° 4 de la Constitución Política de la República de Chile reconoce expresamente el derecho al respeto y protección de la vida privada, incluyendo la protección de los datos personales, y obliga a que todo tratamiento de información relativa a una persona se realice con pleno respeto a su dignidad y derechos fundamentales.

Este reconocimiento constitucional es desarrollado por la Ley N° 21.719, publicada el 13 de diciembre de 2024 y cuya entrada en vigencia está fijada para el 1 de diciembre de 2026, la cual establece un régimen moderno y completo sobre la protección y el tratamiento de datos personales, en armonía con los principios promovidos por la Red Iberoamericana de Protección de Datos (RIPD) y las directrices de privacidad de la OCDE, de la cual Chile es Estado miembro.

De acuerdo con la Ley N° 21.719, se entiende por dato personal toda información relativa a una persona natural identificada o identificable. Se considerará persona natural identificable toda aquella cuya identidad pueda determinarse, directa o indirectamente, mediante uno o varios elementos específicos propios de su identidad, tales como un nombre, un número de identificación (como el RUN), datos de localización, identificadores en línea o cualquier información referida a sus características físicas, fisiológicas, genéticas, psíquicas, económicas, culturales o sociales.

Como regla general en Chile, debemos acudir a:

1. Constitución Política de la República de Chile

En su artículo 19 N° 4, reconoce como derecho fundamental la protección de los datos personales, formando la base constitucional de todo el sist

ema de privacidad y tratamiento de datos en el país.

2. Ley N° 21.719 (2024), que regula la protección y el tratamiento de los datos personales

Publicada el 13 de diciembre de 2024 y con entrada en vigencia el 1 de diciembre de 2026, esta ley moderniza integralmente el régimen chileno, reemplazando y reformando la Ley 19.628. Establece principios como licitud, finalidad, proporcionalidad, seguridad, transparencia y responsabilidad proactiva; regula los derechos del titular, y crea la Agencia de Protección de Datos Personales.

3. Ley N° 19.628 sobre Protección de la Vida Privada (hasta la plena vigencia de la Ley 21.719)

Mientras la Ley 21.719 no entre en vigor (1 de diciembre de 2026), la Ley 19.628 continúa aplicándose, conforme a las modificaciones ya introducidas por la nueva normativa.

No obstante a las leyes indicadas anteriormente, debe tenerse en cuenta el principio de especialidad, y las normas sectoriales que sean de aplicación a cada caso en particular, así como no olvidar aquellos dictámenes o informes emitidos por Autoridades competentes, entre otros.

Responsable de datos o responsable: toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.

Ejemplos más comunes: Una empresa de retail que almacena datos de clientes para ventas, garantías o programas de fidelización, una empresa que recopila y gestiona datos de sus trabajadores (contratos, liquidaciones, evaluaciones).

El Tercero mandatario o Encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. El Tercero mandatario o Encargado no puede utilizar los datos personales que le facilite el Responsable con fines propios.

Ej. La entidad contratada por el Responsable del Tratamiento para prestar un servicio para el que es inherente utilizar los datos personales. Algunas entidades que actúan generalmente como encargado son las que prestan servicios de: asesorías, mantenimiento informático, seguridad/videovigilancia, destructoras de documentación

Se consideran categorías especiales de datos personales aquellos que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.

Como se puede apreciar, se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad.

La normativa de protección de datos permite el ejercicio de una serie de derechos a los ciudadanos, en concreto derecho de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

Su ejercicio es gratuito (salvo solicitudes infundadas o excesivas), el responsable está obligado a informarte sobre los medios para ejercitar estos derechos (estos medios deben ser accesibles) y deberá dar acuse de recibo y dar contestación en el plazo máximo de 30 días corridos, son algunas de sus características.

Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio Chileno a destinatarios establecidos en otros países.

La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona.

En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la patente del auto y la imagen del conductor, o incluso la monitorización de una UCI (Unidad de Cuidados Intensivos), supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.

Una vulneración de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

Sí, en la medida que realicen un tratamiento de datos de carácter personal de personas físicas.

Así, en las comunidades de edificios existe un tratamiento derivado de la gestión de la propia comunidad, en el que se incluyen los datos personales de los propietarios y arrendatarios como pueden ser nombre, apellidos, dirección o correo electrónico. Pueden existir además otro tipo de tratamientos como el de «videovigilanica» o «camaras de seguridad»

Sí, siempre que se observe lo dispuesto en Ley 21719.

Los datos personales de los adolescentes se podrán tratar de acuerdo a las normas de autorización previstas en la ley, en el mismo sentido que para los adultos

Para los efectos de la ley, se consideran niños o niñas a los menores de catorce años, y adolescentes, a los mayores de catorce y menores de dieciocho años.

Cuando la recogida y tratamiento de datos de menores responda al consentimiento, hay que tener en cuenta que deberá ser expreso y que cuando se trate de menores de 16 años lo han de prestar por sus padres o representantes legales o quien tiene a su cargo el cuidado personal del menor, salvo que expresamente lo autorice o mandate la ley.

La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.

Se exige y es obligatoria cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas.