LegalDatos

Blog

  • ¿Cuántas casillas marcar para aceptar el consentimiento?

    ¿Cuántas casillas marcar para aceptar el consentimiento?

    ¿Cuántas casillas marcar en el consentimiento de datos?

    El fin del «Acepto todo» y la ilegalidad del consentimiento atado en Chile. Aprende a rediseñar tus formularios para no perder validez legal.

     

  • ¿Qué hacer con las bases de Datos de Marketing?

    ¿Qué hacer con las bases de Datos de Marketing?

    El fin del «Spam» legal y el inicio del Marketing Consentido. Tienes hasta el 1 de diciembre de 2026 para cambiar tu estrategia.

    Si tu estrategia de marketing se basa en comprar listas de correos, descargar datos de internet o enviar promociones a cualquiera que te haya comprado algo alguna vez, tengo una noticia urgente: tienes hasta el 1 de diciembre de 2026 para cambiar tu estrategia.

    En esa fecha entra en plena vigencia la Ley 21.719. Ya no se trata solo de «vender más», sino de vender legalmente. Aquí te explico los 4 cambios estructurales que debes aplicar para no enfrentar multas millonarias.

    1. Elimina las «Fuentes de Acceso Público» como excusa

    El Cambio: La nueva ley elimina las fuentes de acceso público como una base de licitud autónoma.

    Si tu base de datos se construyó «scrapeando» datos de LinkedIn o el Diario Oficial, esa base está «contaminada». Lo que debes hacer: Depurarla o conseguir una base legal válida (consentimiento) antes de diciembre de 2026.

    2. Cuidado con el «Reciclaje» de Datos

    ¿Usas los correos de facturación para enviar tu newsletter? La ley establece el Principio de Finalidad.

    Lo que debes hacer: Si pediste el dato para «emitir boleta», no puedes usarlo para marketing salvo que tengas un consentimiento específico. Debes segregar tus bases: cliente administrativo vs. suscriptor de marketing.

    3. Actualiza tu forma de pedir «Consentimiento»

    El silencio o las casillas pre-marcadas ya no valen. El consentimiento debe ser libre, informado, específico e inequívoco.

    Revisa tus formularios: Elimina las casillas pre-marcadas.
    Campaña de Re-consentimiento: Si tienes una base antigua, envía una campaña solicitando confirmación bajo los nuevos estándares.

    4. Garantiza el «Botón de Pánico»

    Tu cliente tiene el control absoluto mediante el Derecho de Oposición.

    Lo que debes hacer: Tu sistema de Unsubscribe debe funcionar de verdad. Si un cliente se da de baja y le llega otro correo porque estaba en «otra lista de Excel», estás cometiendo una infracción grave.

    ¿El riesgo de no hacer nada?

    Seguir operando con bases «sucias» puede constituir una Infracción Grave, con multas de hasta 10.000 UTM (aprox. $660 millones).

  • Excel de Clientes y Base de Licitud

    Excel de Clientes y Base de Licitud

    ¿Ese Excel es legal? Hablemos de Licitud y «Vencimiento» de tus datos

    Más allá de la seguridad informática, el problema de fondo es jurídico. Tener una lista de personas en tu computador no te hace dueño de esos datos bajo la Ley 21.719.

    Más allá de la seguridad informática (que un Excel difícilmente cumple), el problema de fondo bajo la Ley 21.719 es jurídico. Tener una lista de personas en tu computador no te hace dueño de esos datos.

    Para que ese archivo sea legal, debes responder tres preguntas críticas que la nueva ley fiscalizará con lupa.

     

    1. ¿Cuál es tu «Base de Licitud»?

    La ley prohíbe tratar datos si no tienes una fuente de licitud válida. Ya no basta con haber conseguido el dato; necesitas una justificación legal para mantenerlo.

    Clientes Actuales

    Tu base es la Ejecución del Contrato. Necesitas sus datos para facturar. Ojo: esto NO te autoriza a enviar publicidad de terceros ni a vender la base.

    Prospectos (Leads)

    Si aún no son clientes, tu única base suele ser el Consentimiento. Si es una lista comprada o descargada de internet, es muy probable que sea ilegal.

    2. El Consentimiento: Nuevos Requisitos

    Si tu base de licitud es el consentimiento (ej: newsletter), la nueva ley eleva el estándar. Un «sí» tácito ya no sirve. El Artículo 12 exige que sea:

    • Libre: No puedes obligar a dar datos de marketing como condición para vender algo básico.
    • Informado y Específico: «Fines comerciales» es muy vago. Debe ser «Para envío de ofertas semanales».
    • Inequívoco (Acción Afirmativa): Se acabaron las casillas pre-marcadas. El cliente debe hacer clic o firmar.

    El Problema del Excel

    La ley exige que tú pruebes que obtuviste ese consentimiento. En un Excel plano, no tienes el registro de cuándo, cómo y bajo qué términos esa persona aceptó. Sin esa «trazabilidad», ante una denuncia, estás indefenso.

    3. ¿Cuánto tiempo puedes mantener la base?

    Este es el error más común: creer que el dato es eterno. La ley impone el Principio de Proporcionalidad.

    • Regla de «Caducidad»: Una vez cumplida la finalidad (se terminó el contrato y pasaron garantías), los datos deben ser suprimidos.
    • Los «No Seleccionados»: Si tienes datos de postulantes que no quedaron, la ley (Art. 14 d) exige eliminarlos. Mantener ese Excel «por si acaso» es infracción.
    • Derecho de Revocación: Si el titular revoca su permiso, debes tener un medio expedito para eliminarlo de inmediato.
  • El estándar mínimo de un modelo de prevención de infracciones

    El estándar mínimo de un modelo de prevención de infracciones

    El «Escudo» de tu Empresa: Los 7 Aspectos Mínimos del Modelo de Prevención

    ¿Quieres dormir tranquilo ante multas de hasta 20.000 UTM? Con la Ley 21.719, la responsabilidad proactiva es la clave para proteger tu negocio.

    Con la nueva Ley 21.719, la responsabilidad de las empresas ha cambiado radicalmente. Ya no basta con reaccionar cuando hay un problema; la ley exige Responsabilidad Proactiva.

    Para demostrar que tu empresa se toma en serio los datos personales, la ley introduce el Modelo de Prevención de Infracciones (MPI). Si tienes este modelo certificado, actúa como una atenuante calificada ante la Agencia, reduciendo drásticamente las multas en caso de error. Pero, ¿qué debe tener para ser válido?

    1. El «Capitán»: Designación del DPD

    El primer requisito es nombrar a un Delegado de Protección de Datos (DPD). Es la persona encargada de supervisar el cumplimiento y actuar como enlace con la Agencia.

    Buena noticia para PyMEs: Si eres una micro, pequeña o mediana empresa, el dueño o la máxima autoridad puede asumir este rol personalmente, siempre que tenga la autonomía suficiente.

    2. El Mapa del Tesoro: Inventario

    No puedes proteger lo que no sabes que tienes. El modelo exige identificar claramente:

    • Qué tipo de información tratas (salud, financieros, básicos).
    • El ámbito territorial (¿dónde están los servidores?).
    • Quiénes son los titulares (clientes, trabajadores, proveedores).

    3. Matriz de Riesgos

    Debes identificar qué procesos (ventas, marketing, RR.HH.) generan riesgo de cometer infracciones graves o gravísimas. El objetivo es detectar dónde es más probable que ocurra un error para poner los controles allí.

    4. Protocolos y Reglas Claras

    No basta decir «cuiden los datos»; debes decir cómo. Debes establecer reglas específicas para borrar datos de ex-clientes, enviar correos masivos o responder a solicitudes de derechos ARCOP.

    5. Canales de Denuncia

    El modelo debe incluir dos tipos de canales obligatorios:

    • Canal Interno: Un sistema seguro y anónimo para que tus empleados reporten malas prácticas.
    • Reporte a la Autoridad: Un protocolo claro para avisar a la Agencia si sufres un hackeo o filtración.

    6. «Dientes» Internos: Sanciones

    El cumplimiento no es opcional. Tu modelo debe establecer claramente qué le pasa a un trabajador o ejecutivo que no respeta las normas (amonestaciones, despidos, multas según reglamento interno).

    7. Integración Legal

    Para que el modelo sea válido, sus reglas deben incorporarse legalmente en los Contratos de Trabajo y en el Reglamento Interno (RIOHS).

    El Sello de Calidad

    Una vez implementado, el modelo debe ser certificado por la Agencia (vigencia de 3 años). Esto te coloca en la «lista blanca» del Registro Nacional de Cumplimiento.

  • La Política de Privacidad no es una mera formalidad: Las Sanciones

    La Política de Privacidad no es una mera formalidad: Las Sanciones

    Política de Privacidad y Términos y Condiciones: El fin de la «Letra Chica»

    Por qué tu sitio web necesita mucho más que un «Copiar y Pegar». Con la Ley 21.719, estos documentos son la cara visible de tu cumplimiento legal.

     

    Durante años, muchas empresas chilenas han tratado a la Política de Privacidad y los Términos y Condiciones como un simple trámite: textos largos, incomprensibles y copiados de otras páginas, escondidos en el pie de página.

    Con la nueva Ley 21.719, esa práctica se acabó. Hoy, estos documentos son la cara visible de tu cumplimiento legal. Si no son claros, transparentes y completos, tu empresa está cometiendo una infracción sancionable desde el primer clic.

     

    1. El Nuevo Estándar: Transparencia

    La nueva ley introduce el Principio de Transparencia e Información. Esto significa que ya no basta con «tener» una política; debes asegurarte de que tus clientes la entiendan.

    El cambio clave: Se acabaron los textos legales oscuros diseñados para confundir. La ley obliga a que las políticas estén accesibles de manera precisa, clara, inequívoca y gratuita.

    2. El Checklist Obligatorio (Art. 14 ter)

    Tu política ya no puede ser genérica; debe ser un traje a la medida de tu negocio que informe al menos:

    • Identidad: ¿Quién eres? Individualizar al Responsable y representante legal.
    • Contacto: Un canal real donde el titular pueda ejercer sus derechos.
    • El «Qué» y el «Para Qué»: Categorías de datos y fines específicos.
    • Base Legal: ¿Por qué es lícito? (Ej: consentimiento, contrato).
    • Destinatarios: ¿A quién se los envías? (Terceros o transferencias internacionales).
    • Tiempos: ¿Por cuánto tiempo guardarás la información?
    • Seguridad: Descripción general de las políticas de protección.
    • Derechos: Explicar claramente los derechos ARCOP.

    3. Visibilidad: No la escondas

    La ley exige disponibilidad permanente. El acceso debe ser directo, visible desde el inicio e, idealmente, presentado en el momento justo en que se capturan los datos (ej: formulario de contacto).

    El Error Común Poner el enlace en un color que no se lee o exigir registro para leerla.
    La Solución Enlaces claros, lenguaje sencillo y accesibilidad «a un clic».

    4. El Riesgo de las Sanciones

    Aquí es donde la transparencia se conecta con tu bolsillo. El incumplimiento del deber de información es una infracción.

    💸 Multas de hasta 10.000 UTM

    La falta de transparencia puede ser una Infracción Leve (hasta 5.000 UTM). Pero cuidado: si tu política es deficiente y el consentimiento no fue «informado», tu tratamiento pasa a ser ilícito, escalando a Infracción Grave (hasta 10.000 UTM).

    Conclusión: La Transparencia Vende

    Más allá de evitar multas, una Política de Privacidad clara genera confianza. En la economía digital, decirle a tu cliente «así cuido tus datos» es una ventaja competitiva.

  • ¿Qué es la Base de Licitud?

    ¿Qué es la Base de Licitud?

    ¿Qué es la Base de Licitud? La «Llave Maestra» para usar Datos Personales

    En el mundo de los negocios, solíamos pensar que si teníamos un dato, podíamos usarlo. Bajo la Ley 21.719, esa lógica se acabó. Entiende las reglas del juego.

     

    la Base de Licitud (o legitimación) es la justificación jurídica que te autoriza a «tocar» un dato personal. Imagínala como una llave: sin la llave correcta, entrar a la base de datos es un allanamiento ilegal.

    El Artículo 13 de la nueva Ley establece que todo tratamiento de datos debe tener una causa legal que lo habilite. Si no tienes una de estas bases identificadas, estás cometiendo una infracción grave.

    Conceptos Clave

    • No todas las llaves sirven: No siempre necesitas pedir consentimiento. A veces la ley te obliga o el contrato te habilita.
    • El riesgo de no tenerla: Procesar datos sin base de licitud es una infracción grave con multas de hasta 10.000 UTM.

    Las 4 Bases + 1 Alerta Crítica

    A continuación, las bases más importantes que tu empresa podrá usar y cómo identificarlas:

    1 El Consentimiento (La Regla de Oro)

    Ya no puede ser tácito ni letra chica. Debe ser libre, informado, específico e inequívoco (Art. 12).

    Ejemplo Marketing: Un cliente debe marcar activamente «Acepto recibir correos» para enviarle un newsletter.

    2 Ejecución de un Contrato

    La base ideal para vender. Si necesitas el dato para cumplir lo prometido, no necesitas pedir permiso extra.

    Ejemplo E-commerce: Usar la dirección del cliente para despachar el producto comprado.

    3 Cumplimiento de Obligación Legal

    No tratas datos porque quieres, sino porque el Estado te obliga (Art. 13 letra b).

    Ejemplo RRHH: Procesar licencias médicas porque el Código del Trabajo y seguridad social lo exigen.

    4 Interés Legítimo

    El «comodín» con cuidado. Permite tratar datos para objetivos propios si no afectan derechos del titular.

    Ejemplo Seguridad: Cámaras de vigilancia en la tienda o análisis bancario para prevención de fraude.

    5 ⚠️ Fin de Fuentes de Acceso Público

    ¡Alerta de Cambio Crítico!

    La nueva ley elimina las fuentes públicas como base autónoma. Ya no puedes hacer «scraping» de LinkedIn o webs públicas sin otra justificación.

    Resumen para el Gerente

    Si quieres vender y despachar: Ejecución de Contrato.
    Si quieres enviar publicidad: Consentimiento.
    Si quieres poner cámaras: Interés Legítimo.
    Si quieres pagar sueldos: Obligación Legal.

    *Consejo de LegalDatos: En tu inventario de datos, escribe al lado de cada base cuál de estas «llaves» estás usando. Si no tienes llave, borra el dato.

  • Qué son realmente los Datos Personales bajo la nueva Ley 21.719

    Qué son realmente los Datos Personales bajo la nueva Ley 21.719

    Qué son realmente los Datos Personales bajo la nueva Ley 21.719

    Muchos empresarios creen que «dato personal» es solo el Nombre y el RUT. Error. La nueva ley transforma el dato de un recurso comercial a un Derecho Humano.

    Cuando preguntas a un gerente qué datos personales maneja su empresa, la respuesta suele ser rápida: «Solo tenemos nombres, correos y RUTs de clientes». Bajo la antigua normativa, esa respuesta podría haber sido aceptable.

    Pero con la Ley 21.719, el universo de lo que se considera un dato personal se ha expandido radicalmente, y con ello, tus obligaciones legales. Para cumplir, primero debes entender que el «chip» mental debe cambiar. Antes, los datos se veían como un recurso libre, como el aire o el agua en tiempos antiguos. Hoy, la ley viene a proteger eso con dientes afilados.

    1. El Cambio Cultural: De «Activo» a Derecho Constitucional

    Lo primero que debes saber es que un dato personal ya no es «cualquier cosa» que puedas guardar en un Excel. Ahora está anclado en el núcleo de la Constitución (Art. 19 N° 4). ¿Qué significa esto para tu negocio?
    Autodeterminación Informativa

    El dato pertenece al titular (la persona), no a la empresa. El titular tiene el poder de controlar quién tiene su información, para qué la usa y cuándo debe dejar de usarla.
    Dignidad Humana

    Cuando manipulas un RUT o una huella, tocas un derecho fundamental. Si no respetas esto, no cometes una falta administrativa, estás vulnerando un derecho constitucional.

    2. No es solo quién eres, es quién «podrías ser»

    La ley define Dato Personal como cualquier información vinculada a una persona natural identificada o identificable. Aquí está la trampa para muchas empresas.

    Ya no se trata solo de tener el nombre. Si tienes un dato que por sí solo no dice nada (ej: una dirección IP, datos de geolocalización o un perfil de compra), pero que al cruzarlo con otra información te permite saber quién es esa persona, eso ES un dato personal.

    💡 Para tu negocio digital: Si usas cookies para rastrear comportamiento o identificadores de dispositivos móviles (IDFA/AAID), estás tratando datos personales, aunque técnicamente no tengas el «nombre» del usuario en tu base de datos.

    3. Los «Datos Sensibles»: Un Campo Minado

    La ley ha ampliado la categoría de Datos Sensibles. Estos requieren un cuidado extremo (ciberseguridad reforzada y consentimiento expreso). Tratarlos sin las bases legales correctas es una infracción gravísima. La nueva lista incluye:

    Datos Biométricos: Huella digital, reconocimiento facial, iris o voz. Ojo: Si usas huelleros para asistencia o cámaras inteligentes, estás tratando datos sensibles.
    Situación Socioeconómica: Datos que revelen el estado económico real. Crítico para empresas de riesgo comercial o marketing segmentado.
    Salud y Perfil Biológico: Información médica, genética o psíquica (incluyendo licencias médicas en RRHH).

    Zonas Grises reguladas: La ley también pone lupa sobre la Geolocalización (debes informar para qué rastreas) y los datos de Niños, Niñas y Adolescentes, cuyo estándar de protección es superior.

    4. El Fin de las Fuentes de «Acceso Público»

    Esta es quizás la modificación más disruptiva para los modelos de negocios basados en marketing y ventas B2B. Bajo la antigua ley, se creía que si un dato estaba en internet (Google, LinkedIn, Diario Oficial), era de «libre uso». Eso se acabó.
    🚫Prohibición de facto al «Scraping»

    Que el dato sea público no te da derecho a tomarlo y guardarlo. Las empresas que «raspan» webs para armar bases de datos quedan en ilegalidad si no tienen un interés legítimo probado.
    📢Nueva Regla de Transparencia

    Aunque el dato sea público, ahora debes informar al titular: «Señor usuario, obtuve sus datos de tal fuente pública y los estoy usando para X fin». Ya no se puede recopilar a escondidas.

    5. ¿Por qué importa para tu bolsillo?

    La ley se basa en el Principio de Responsabilidad. Las consecuencias financieras son reales y severas:

    Uso de fuentes públicas sin base legal: Infracción grave (hasta 10.000 UTM).
    Tratamiento indebido de datos sensibles (huellas/salud): Infracción gravísima (hasta 20.000 UTM).

    La Regla de Oro

    «Antes de recolectar un dato, pregúntate: ¿Realmente necesito saber esto? Si la respuesta es no, aplica el principio de minimización y no lo pidas. Menos datos, menos riesgo.»

  • Agencia de Protección de Datos Personales

    Agencia de Protección de Datos Personales

    Conoce al nuevo «Árbitro» de tus datos: La Agencia de Protección de Datos

    Se acabó la letra muerta: Chile estrena un organismo fiscalizador con dientes. Descubre las facultades que impactarán tu negocio.

     

    Durante años, la protección de datos en Chile fue una normativa sin un «padre» que la hiciera cumplir. Si una empresa usaba mal los datos, el proceso judicial era lento y costoso. Eso se acabó.

    La Ley 21.719 crea la Agencia de Protección de Datos Personales, una institución poderosa diseñada para vigilar, investigar y sancionar. Ya no solo respondes ante tus clientes, sino ante un organismo técnico del Estado.

    ¿Qué es la Agencia?

    • No es un ministerio: Es una corporación autónoma con personalidad jurídica y patrimonio propio.
    • Es un órgano colegiado: Dirigida por un Consejo Directivo de expertos, elegidos con acuerdo del Senado para garantizar independencia técnica.

    Las 5 Super-Facultades que impactarán a tu empresa

    Según el Artículo 30 bis, la Agencia no es un mero observador. Estas son sus atribuciones:

    1 Facultad Normativa

    La Agencia dicta las reglas del juego mediante Instrucciones Generales obligatorias.

    Lo que significa para ti: Deberás estar atento a las circulares técnicas (ej: uso de biometría) porque son ley.

    2 Facultad Fiscalizadora

    Puede auditar tu negocio y requerir la entrega de cualquier documento o base de datos.

    Lo que significa para ti: Pueden tocar a tu puerta. Si no tienes la documentación en regla, estás en problemas.

    3 Facultad Sancionadora

    Esta es la facultad más temida.

    Puede aplicar multas de hasta 20.000 UTM o suspender tus actividades de tratamiento de datos.

    4 Facultad Resolutiva

    Actúa como tribunal ante reclamos de clientes por derechos ARCOP.

    Lo que significa para ti: Si no respondes a un cliente, este escalará el reclamo a la Agencia y te exigirán explicaciones.

    5 Facultad de Certificación

    Administra el Registro Nacional de Sanciones y Cumplimiento.

    Lo que significa para ti: La Agencia validará si tu modelo de compliance es serio. Estar certificado es tu mejor «seguro».

    El Cambio de Panorama

    Antes, el riesgo era bajo. Ahora, con una Agencia dedicada exclusivamente a esto, el riesgo es inminente. La Agencia tiene el mandato de interpretar qué se entiende por «seguridad adecuada».

  • Derechos ARCO o ARCOP

    Derechos ARCO o ARCOP

    Entendiendo los Derechos ARCOP: El nuevo poder de tus clientes y trabajadores

    Esto no es un simple juego de siglas. Representa el control real que tiene cualquier persona sobre la información que tu empresa maneja. Bajo la Ley 21.719, estos derechos son irrenunciables.

     

    Como empresario, seguramente has escuchado hablar de los «Derechos ARCO». Sin embargo, con la nueva Ley 21.719, este concepto ha evolucionado y se ha ampliado. Ahora hablamos de ARCOP.

    Estos derechos son irrenunciables, intransferibles y gratuitos. A continuación, te explicamos didácticamente qué significa cada letra y qué obligación genera para tu empresa.
    A  Acceso (El derecho a saber)

    Es la puerta de entrada. Cualquier persona tiene derecho a preguntarle a tu empresa: «¿Tienen datos míos? ¿Cuáles son? ¿Para qué los usan? ¿De dónde los sacaron?».
    Tu obligación: Si un titular te lo pide, debes confirmar si procesas sus datos y entregarle una copia de ellos, explicando la finalidad, el tiempo de retención y a quién se los has enviado. Ojo: No basta con decir «sí»; debes dar detalles.
    R Rectificación (El derecho a corregir)

    Si los datos que tienes están mal, la persona puede exigir que los arregles. Esto aplica cuando la información es inexacta, desactualizada o incompleta.
    Tu obligación: Si tienes un cliente con una deuda ya pagada que sigue apareciendo como moroso, o un trabajador con una dirección antigua, debes corregir ese dato en tus sistemas de inmediato al recibir la solicitud.
    C Supresión (El derecho al olvido)

    Tradicionalmente llamado «Cancelación». Es la facultad de pedir que elimines sus datos cuando ya no son necesarios, cuando se retira el consentimiento o cuando están caducos.
    Importante para la empresa: No es un derecho absoluto. Si tienes un contrato vigente o una obligación legal (ej: guardar facturas para el SII), no estás obligado a borrarlos, pero debes bloquearlos para otros usos.
    O Oposición (El derecho a decir «No»)

    Es el derecho a exigir que no se realice un tratamiento específico, aunque tengas los datos legítimamente. El caso clásico es el Marketing.
    Tu obligación: Debes tener sistemas capaces de segregar los datos. Si un cliente dice: «Úsalos para facturarme, pero no para publicidad», debes sacarlo de la lista de envíos inmediatamente.
    P Portabilidad (La gran novedad)

    Esta es la «P» que moderniza nuestra normativa al estándar europeo. Es el derecho del titular a pedirte una copia de sus datos en un formato electrónico estructurado y de uso común (como Excel o CSV).
    Tu obligación: El objetivo es que el cliente pueda llevarse su «historia» a la competencia. Si el tratamiento es automatizado, no puedes retener la data como un rehén.

    ¿Qué pasa si no respondo?

    La ley establece plazos estrictos. Tienes 30 días corridos (prorrogables por otros 30) para responder a estas solicitudes.

    Si no respondes, o deniegas sin razón legal, el titular puede denunciarte ante la Agencia. Esto inicia un procedimiento de Tutela de Derechos que puede derivar en multas millonarias.

  • Tratamiento de Datos Personales

    Tratamiento de Datos Personales

    ¿Qué es el «Tratamiento de Datos»? (Y por qué lo haces todo el tiempo)

    Existe una confusión habitual: creer que esto es solo para empresas tecnológicas. Si guardas un CV o pagas un sueldo, ya estás bajo la lupa de la Ley 21.719.

    Existe una confusión habitual en el mundo empresarial: creer que el tratamiento de datos es algo complejo, reservado para empresas de tecnología o big data. La realidad es mucho más simple y abarcadora.

    Si tu empresa guarda el currículum de un postulante en un cajón, envía un correo a un cliente o paga la nómina de sueldos, estás realizando tratamiento de datos personales.

    1. La Definición Legal: Todo cuenta

    • Bajo la Ley 21.719, el concepto de tratamiento es sumamente amplio. Se define como cualquier operación, automatizada o no, que permita:
      Recolectar
      Procesar
      Almacenar (guardar)
      Comunicar o transmitir
      Utilizar
      Suprimir (borrar)

    La implicancia práctica: No importa si usas un software avanzado o una planilla Excel. Desde el momento en que un dato entra a tu organización hasta que lo eliminas, estás «tratando» datos y la ley te aplica por completo.

    2. Tu Nuevo Rol: «Responsable de Datos»

    Al realizar estas acciones, la ley te asigna automáticamente el rol de Responsable de Datos. Esto significa que eres quien decide los fines (para qué) y los medios (cómo) del tratamiento.
    La responsabilidad no se delega

    Aunque contrates a una empresa externa para procesar los sueldos o gestionar el marketing (quienes serían «Encargados»), tú sigues siendo el responsable legal ante la Agencia de Protección de Datos y ante los titulares.

    3. Tus Responsabilidades Críticas (Accountability)

    La nueva normativa se basa en el Principio de Responsabilidad Proactiva. Ya no basta con ser cuidadoso; debes demostrar que cumples la ley.

    • Acreditar la Licitud: No puedes tratar datos «por si acaso». Debes probar una base legal (consentimiento, contrato o ley).
    • Deber de Seguridad: Debes adoptar medidas técnicas (ciberseguridad) para evitar fugas o accesos no autorizados.
    • Deber de Confidencialidad: Obligación de secreto que subsiste incluso después de terminada la relación laboral.
    • Responder a Derechos ARCOP: Debes tener canales para Acceso, Rectificación, Supresión, Oposición y Portabilidad.

    4. Las Implicancias del Incumplimiento

    El tratamiento de datos indebido ha dejado de ser una falta menor para convertirse en un riesgo financiero y operacional crítico.

    Multas Millonarias

    Una infracción gravísima puede ser sancionada con hasta 20.000 UTM.

    Reincidencia (Grandes Empresas)

    La multa puede calcularse como un porcentaje de tus ingresos anuales (hasta el 4%), elevando el castigo a cifras estratosféricas.

    Suspensión de Actividades
    La Agencia tiene la facultad de suspender tus operaciones de tratamiento de datos, lo que podría paralizar tu negocio.