Saltar al contenido principal
short.CL

Ley 21.719 Protección de Datos Chile — Guía

Equipo Short.cl
Mazo de juez sobre escritorio representando legislación de protección de datos
Foto: Tingey Injury Law Firm / Unsplash

La Ley 21.719, publicada el 13 de diciembre de 2024, es la reforma más significativa a la protección de datos personales en la historia de Chile. Reemplaza casi por completo la anticuada Ley 19.628 de 1999 y alinea a Chile con estandares internacionales como el GDPR europeo.

Si operas un sitio web que procesa datos de personas en Chile, si usas rutificadores, o simplemente quieres entender tus derechos, esta guía es para ti.

Contexto: por qué Chile necesitaba esta ley

Chile fue pionero en Latinoamérica al aprobar su primera ley de protección de datos en 1999 (Ley 19.628). Pero esa ley tenía deficiencias graves:

  • No existía una autoridad de control. No había nadie que fiscalizara el cumplimiento.
  • El concepto de "fuentes accesibles al público" era tan amplio que vaciaba la protección. Si un dato estaba en un registro público, cualquiera podía usarlo para cualquier fin.
  • Las sanciones eran mínimas y solo se podían perseguir por vía judicial civil, lo que hacía impracticable la defensa de derechos.
  • No contemplaba el tratamiento de datos en internet, redes sociales ni big data.

El resultado: Chile estaba en los últimos lugares del ranking de protección de datos de la OCDE. Los rutificadores operaban libremente, las bases de datos de personas se vendían sin restricción, y los chilenos no tenían herramientas reales para proteger su información personal.

Qué cambia con la Ley 21.719

La nueva ley introduce cambios estructurales:

  • Crea la Agencia de Protección de Datos Personales como autoridad autónoma con poder sancionatorio.
  • Establece bases de licitud obligatorias para cualquier tratamiento de datos.
  • Elimina la excepción de fuentes públicas como carta blanca para tratar datos sin consentimiento.
  • Define derechos ARCO+ ampliados para los titulares de datos.
  • Crea un régimen de sanciones con multas que pueden llegar a $1.300 millones de pesos.
  • Regula la transferencia internacional de datos personales.
  • Incorpora la protección de datos como derecho constitucional (Art. 19 N4).

Los 7 principios clave

La ley establece principios que todo responsable de datos debe cumplir:

  1. Licitud y lealtad: Los datos deben tratarse de forma lícita, leal y transparente.
  2. Finalidad: Los datos solo pueden usarse para el fin específico para el que fueron recopilados.
  3. Proporcionalidad: Solo deben tratarse los datos adecuados, pertinentes y limitados a lo necesario.
  4. Calidad: Los datos deben ser exactos, completos y actualizados.
  5. Responsabilidad: El responsable debe poder demostrar cumplimiento.
  6. Seguridad: Deben implementarse medidas técnicas y organizativas para proteger los datos.
  7. Transparencia e información: El titular debe ser informado sobre el tratamiento de sus datos.

Bases de licitud para tratar datos

Ya no basta con que un dato sea "público". Todo tratamiento de datos personales requiere al menos una de estas bases:

  • Consentimiento del titular (libre, específico, informado e inequívoco).
  • Ejecución de un contrato con el titular.
  • Cumplimiento de obligación legal del responsable.
  • Protección de intereses vitales del titular o de terceros.
  • Interés legítimo del responsable, siempre que no prevalezcan los derechos del titular.
  • Función pública del organismo que trata los datos.

Para los rutificadores, esto es demoledor: no tienen consentimiento de millones de personas, no hay contrato, no hay obligación legal, y el "interés legítimo" de un buscador comercial de datos personales difícilmente prevalece sobre los derechos de los titulares.

Derechos de los titulares (ARCO+)

Los ciudadanos tienen derechos ampliados sobre sus datos:

  • Acceso: Saber qué datos tuyos tiene una organización y cómo los usa.
  • Rectificación: Corregir datos inexactos o incompletos.
  • Cancelación (supresión): Pedir que tus datos sean eliminados.
  • Oposición: Oponerte a que tus datos sean tratados para ciertos fines.
  • Portabilidad: Recibir tus datos en formato estructurado y transferirlos.
  • Bloqueo: Suspender temporalmente el tratamiento de tus datos.

Estos derechos son gratuitos y el responsable tiene 30 días hábiles para responder. Si no responde o rechaza la solicitud sin justificación, el titular puede reclamar ante la Agencia de Protección de Datos.

La Agencia de Protección de Datos

La ley crea la Agencia de Protección de Datos Personales, un organismo autónomo con las siguientes facultades:

  • Fiscalizar el cumplimiento de la ley.
  • Recibir y resolver reclamos de titulares.
  • Iniciar procedimientos sancionatorios de oficio.
  • Aplicar multas y sanciones.
  • Dictar instrucciones generales y normas técnicas.
  • Llevar un registro público de sanciones.

Es un cambio radical. Antes, la única vía era demandar civilmente ante tribunales ordinarios, un proceso lento y costoso que pocos emprendían. Ahora existe un camino administrativo rápido y gratuito.

Régimen de sanciones

Las multas se clasifican en tres niveles:

  • Infracciones leves: Hasta 5.000 UTM (~$325 millones).
  • Infracciones graves: Hasta 10.000 UTM (~$650 millones).
  • Infracciones gravísimas: Hasta 20.000 UTM (~$1.300 millones).

Son infracciones gravísimas, entre otras: tratar datos sensibles sin consentimiento, transferir datos internacionalmente sin cumplir requisitos, u obstruir la labor fiscalizadora de la Agencia.

Además, la reincidencia dentro de 24 meses puede resultar en la suspensión del tratamiento de datos por hasta 30 días.

Impacto en rutificadores y buscadores de RUT

Los rutificadores tradicionales enfrentan problemas en múltiples frentes:

  • Sin base de licitud: No tienen consentimiento, contrato ni interés legítimo que prevalezca.
  • Violación de finalidad: Usan datos electorales para fines comerciales.
  • Datos judiciales restringidos: El Art. 25 limita el tratamiento de datos de infracciones a organismos públicos.
  • Exposición a reclamos masivos: Cualquier persona puede exigir la supresión de sus datos.
  • Multas significativas: El modelo de negocio no justifica el riesgo de sanciones millonarias.

Cómo Short.cl cumple con la ley

Short.cl fue diseñado desde cero para cumplir con la Ley 21.719:

  • No mantiene base de datos de personas. No hay almacenamiento de datos personales.
  • Consulta en tiempo real al SII. El SII ofrece esta información como servicio público sin restricciones de acceso.
  • No permite buscar por nombre. Solo por RUT, lo que no requiere indexar datos personales.
  • No muestra datos sensibles. Solo datos tributarios públicos del SII.
  • Redirige a fuentes oficiales. Para PJUD y Superintendencia de Pensiones, Short.cl redirige al usuario al sitio oficial en lugar de acceder programáticamente.
  • No elude barreras técnicas. Donde hay reCAPTCHA u otras protecciones, respeta la barrera y redirige.

Verifica un RUT ahora

Consulta datos tributarios del SII de forma gratuita y legal.

Solo necesitas el RUT. Sin registro, sin login.

SII verificadoCausas PJUDAFPPropiedades

Artículos relacionados

Rutificador Chile 2026Buscar RUT por nombreVerificar RUT ChileFuturo de los rutificadoresVerificar identidad en ChileBuscar persona por RUT