LegalDatos

Categoría: Compliance de Datos

  • ¿Cuántas casillas marcar para aceptar el consentimiento?

    ¿Cuántas casillas marcar para aceptar el consentimiento?

    ¿Cuántas casillas marcar en el consentimiento de datos?

    El fin del «Acepto todo» y la ilegalidad del consentimiento atado en Chile. Aprende a rediseñar tus formularios para no perder validez legal.

     

  • ¿Qué hacer con las bases de Datos de Marketing?

    ¿Qué hacer con las bases de Datos de Marketing?

    El fin del «Spam» legal y el inicio del Marketing Consentido. Tienes hasta el 1 de diciembre de 2026 para cambiar tu estrategia.

    Si tu estrategia de marketing se basa en comprar listas de correos, descargar datos de internet o enviar promociones a cualquiera que te haya comprado algo alguna vez, tengo una noticia urgente: tienes hasta el 1 de diciembre de 2026 para cambiar tu estrategia.

    En esa fecha entra en plena vigencia la Ley 21.719. Ya no se trata solo de «vender más», sino de vender legalmente. Aquí te explico los 4 cambios estructurales que debes aplicar para no enfrentar multas millonarias.

    1. Elimina las «Fuentes de Acceso Público» como excusa

    El Cambio: La nueva ley elimina las fuentes de acceso público como una base de licitud autónoma.

    Si tu base de datos se construyó «scrapeando» datos de LinkedIn o el Diario Oficial, esa base está «contaminada». Lo que debes hacer: Depurarla o conseguir una base legal válida (consentimiento) antes de diciembre de 2026.

    2. Cuidado con el «Reciclaje» de Datos

    ¿Usas los correos de facturación para enviar tu newsletter? La ley establece el Principio de Finalidad.

    Lo que debes hacer: Si pediste el dato para «emitir boleta», no puedes usarlo para marketing salvo que tengas un consentimiento específico. Debes segregar tus bases: cliente administrativo vs. suscriptor de marketing.

    3. Actualiza tu forma de pedir «Consentimiento»

    El silencio o las casillas pre-marcadas ya no valen. El consentimiento debe ser libre, informado, específico e inequívoco.

    Revisa tus formularios: Elimina las casillas pre-marcadas.
    Campaña de Re-consentimiento: Si tienes una base antigua, envía una campaña solicitando confirmación bajo los nuevos estándares.

    4. Garantiza el «Botón de Pánico»

    Tu cliente tiene el control absoluto mediante el Derecho de Oposición.

    Lo que debes hacer: Tu sistema de Unsubscribe debe funcionar de verdad. Si un cliente se da de baja y le llega otro correo porque estaba en «otra lista de Excel», estás cometiendo una infracción grave.

    ¿El riesgo de no hacer nada?

    Seguir operando con bases «sucias» puede constituir una Infracción Grave, con multas de hasta 10.000 UTM (aprox. $660 millones).

  • Excel de Clientes y Base de Licitud

    Excel de Clientes y Base de Licitud

    ¿Ese Excel es legal? Hablemos de Licitud y «Vencimiento» de tus datos

    Más allá de la seguridad informática, el problema de fondo es jurídico. Tener una lista de personas en tu computador no te hace dueño de esos datos bajo la Ley 21.719.

    Más allá de la seguridad informática (que un Excel difícilmente cumple), el problema de fondo bajo la Ley 21.719 es jurídico. Tener una lista de personas en tu computador no te hace dueño de esos datos.

    Para que ese archivo sea legal, debes responder tres preguntas críticas que la nueva ley fiscalizará con lupa.

     

    1. ¿Cuál es tu «Base de Licitud»?

    La ley prohíbe tratar datos si no tienes una fuente de licitud válida. Ya no basta con haber conseguido el dato; necesitas una justificación legal para mantenerlo.

    Clientes Actuales

    Tu base es la Ejecución del Contrato. Necesitas sus datos para facturar. Ojo: esto NO te autoriza a enviar publicidad de terceros ni a vender la base.

    Prospectos (Leads)

    Si aún no son clientes, tu única base suele ser el Consentimiento. Si es una lista comprada o descargada de internet, es muy probable que sea ilegal.

    2. El Consentimiento: Nuevos Requisitos

    Si tu base de licitud es el consentimiento (ej: newsletter), la nueva ley eleva el estándar. Un «sí» tácito ya no sirve. El Artículo 12 exige que sea:

    • Libre: No puedes obligar a dar datos de marketing como condición para vender algo básico.
    • Informado y Específico: «Fines comerciales» es muy vago. Debe ser «Para envío de ofertas semanales».
    • Inequívoco (Acción Afirmativa): Se acabaron las casillas pre-marcadas. El cliente debe hacer clic o firmar.

    El Problema del Excel

    La ley exige que tú pruebes que obtuviste ese consentimiento. En un Excel plano, no tienes el registro de cuándo, cómo y bajo qué términos esa persona aceptó. Sin esa «trazabilidad», ante una denuncia, estás indefenso.

    3. ¿Cuánto tiempo puedes mantener la base?

    Este es el error más común: creer que el dato es eterno. La ley impone el Principio de Proporcionalidad.

    • Regla de «Caducidad»: Una vez cumplida la finalidad (se terminó el contrato y pasaron garantías), los datos deben ser suprimidos.
    • Los «No Seleccionados»: Si tienes datos de postulantes que no quedaron, la ley (Art. 14 d) exige eliminarlos. Mantener ese Excel «por si acaso» es infracción.
    • Derecho de Revocación: Si el titular revoca su permiso, debes tener un medio expedito para eliminarlo de inmediato.
  • El estándar mínimo de un modelo de prevención de infracciones

    El estándar mínimo de un modelo de prevención de infracciones

    El «Escudo» de tu Empresa: Los 7 Aspectos Mínimos del Modelo de Prevención

    ¿Quieres dormir tranquilo ante multas de hasta 20.000 UTM? Con la Ley 21.719, la responsabilidad proactiva es la clave para proteger tu negocio.

    Con la nueva Ley 21.719, la responsabilidad de las empresas ha cambiado radicalmente. Ya no basta con reaccionar cuando hay un problema; la ley exige Responsabilidad Proactiva.

    Para demostrar que tu empresa se toma en serio los datos personales, la ley introduce el Modelo de Prevención de Infracciones (MPI). Si tienes este modelo certificado, actúa como una atenuante calificada ante la Agencia, reduciendo drásticamente las multas en caso de error. Pero, ¿qué debe tener para ser válido?

    1. El «Capitán»: Designación del DPD

    El primer requisito es nombrar a un Delegado de Protección de Datos (DPD). Es la persona encargada de supervisar el cumplimiento y actuar como enlace con la Agencia.

    Buena noticia para PyMEs: Si eres una micro, pequeña o mediana empresa, el dueño o la máxima autoridad puede asumir este rol personalmente, siempre que tenga la autonomía suficiente.

    2. El Mapa del Tesoro: Inventario

    No puedes proteger lo que no sabes que tienes. El modelo exige identificar claramente:

    • Qué tipo de información tratas (salud, financieros, básicos).
    • El ámbito territorial (¿dónde están los servidores?).
    • Quiénes son los titulares (clientes, trabajadores, proveedores).

    3. Matriz de Riesgos

    Debes identificar qué procesos (ventas, marketing, RR.HH.) generan riesgo de cometer infracciones graves o gravísimas. El objetivo es detectar dónde es más probable que ocurra un error para poner los controles allí.

    4. Protocolos y Reglas Claras

    No basta decir «cuiden los datos»; debes decir cómo. Debes establecer reglas específicas para borrar datos de ex-clientes, enviar correos masivos o responder a solicitudes de derechos ARCOP.

    5. Canales de Denuncia

    El modelo debe incluir dos tipos de canales obligatorios:

    • Canal Interno: Un sistema seguro y anónimo para que tus empleados reporten malas prácticas.
    • Reporte a la Autoridad: Un protocolo claro para avisar a la Agencia si sufres un hackeo o filtración.

    6. «Dientes» Internos: Sanciones

    El cumplimiento no es opcional. Tu modelo debe establecer claramente qué le pasa a un trabajador o ejecutivo que no respeta las normas (amonestaciones, despidos, multas según reglamento interno).

    7. Integración Legal

    Para que el modelo sea válido, sus reglas deben incorporarse legalmente en los Contratos de Trabajo y en el Reglamento Interno (RIOHS).

    El Sello de Calidad

    Una vez implementado, el modelo debe ser certificado por la Agencia (vigencia de 3 años). Esto te coloca en la «lista blanca» del Registro Nacional de Cumplimiento.

  • La Política de Privacidad no es una mera formalidad: Las Sanciones

    La Política de Privacidad no es una mera formalidad: Las Sanciones

    Política de Privacidad y Términos y Condiciones: El fin de la «Letra Chica»

    Por qué tu sitio web necesita mucho más que un «Copiar y Pegar». Con la Ley 21.719, estos documentos son la cara visible de tu cumplimiento legal.

     

    Durante años, muchas empresas chilenas han tratado a la Política de Privacidad y los Términos y Condiciones como un simple trámite: textos largos, incomprensibles y copiados de otras páginas, escondidos en el pie de página.

    Con la nueva Ley 21.719, esa práctica se acabó. Hoy, estos documentos son la cara visible de tu cumplimiento legal. Si no son claros, transparentes y completos, tu empresa está cometiendo una infracción sancionable desde el primer clic.

     

    1. El Nuevo Estándar: Transparencia

    La nueva ley introduce el Principio de Transparencia e Información. Esto significa que ya no basta con «tener» una política; debes asegurarte de que tus clientes la entiendan.

    El cambio clave: Se acabaron los textos legales oscuros diseñados para confundir. La ley obliga a que las políticas estén accesibles de manera precisa, clara, inequívoca y gratuita.

    2. El Checklist Obligatorio (Art. 14 ter)

    Tu política ya no puede ser genérica; debe ser un traje a la medida de tu negocio que informe al menos:

    • Identidad: ¿Quién eres? Individualizar al Responsable y representante legal.
    • Contacto: Un canal real donde el titular pueda ejercer sus derechos.
    • El «Qué» y el «Para Qué»: Categorías de datos y fines específicos.
    • Base Legal: ¿Por qué es lícito? (Ej: consentimiento, contrato).
    • Destinatarios: ¿A quién se los envías? (Terceros o transferencias internacionales).
    • Tiempos: ¿Por cuánto tiempo guardarás la información?
    • Seguridad: Descripción general de las políticas de protección.
    • Derechos: Explicar claramente los derechos ARCOP.

    3. Visibilidad: No la escondas

    La ley exige disponibilidad permanente. El acceso debe ser directo, visible desde el inicio e, idealmente, presentado en el momento justo en que se capturan los datos (ej: formulario de contacto).

    El Error Común Poner el enlace en un color que no se lee o exigir registro para leerla.
    La Solución Enlaces claros, lenguaje sencillo y accesibilidad «a un clic».

    4. El Riesgo de las Sanciones

    Aquí es donde la transparencia se conecta con tu bolsillo. El incumplimiento del deber de información es una infracción.

    💸 Multas de hasta 10.000 UTM

    La falta de transparencia puede ser una Infracción Leve (hasta 5.000 UTM). Pero cuidado: si tu política es deficiente y el consentimiento no fue «informado», tu tratamiento pasa a ser ilícito, escalando a Infracción Grave (hasta 10.000 UTM).

    Conclusión: La Transparencia Vende

    Más allá de evitar multas, una Política de Privacidad clara genera confianza. En la economía digital, decirle a tu cliente «así cuido tus datos» es una ventaja competitiva.

  • Delegado de Protección de Datos

    Delegado de Protección de Datos

    El Delegado de Protección de Datos (DPD): El «Guardián» de la Información en tu Empresa

    Con la Ley 21.719 surge una figura clave. Muchos empresarios se preguntan: ¿Necesito contratar a alguien nuevo? ¿Es obligatorio? Aquí te explicamos todo.

     

    Con la nueva Ley de Datos Personales, surge una figura clave para el cumplimiento normativo dentro de las organizaciones: el Delegado de Protección de Datos (o DPO, por sus siglas en inglés).

    1. ¿Qué es un DPD?

    El DPD no es un simple administrativo. Es una persona (natural o jurídica) que actúa como el referente interno y externo en materia de privacidad. Es quien informa, asesora y supervisa que la empresa cumpla con la ley, actuando como enlace entre tu organización, los titulares de los datos y la Agencia.

    2. ¿Es obligatorio tener uno?

    Esta es la gran pregunta. La respuesta tiene matices importantes:

    Voluntario Para la mayoría de las empresas del sector privado, la designación es voluntaria.
    Obligatorio Si decides adoptar un Modelo de Prevención de Infracciones (compliance certificado), el DPD es un requisito esencial y obligatorio.
    Obligatorio Para todos los organismos del Sector Público.
    💡 El incentivo clave: Contar con un DPD y un modelo de prevención certificado constituye una circunstancia atenuante ante posibles sanciones. Es decir, puede bajar significativamente una multa en caso de error.

    3. ¿Quién puede ser DPD?

    • Interno o Externo: Un trabajador o una consultora externa.
    • Persona Natural o Jurídica: Puedes contratar a una empresa especialista.
    • El Dueño (PyMEs): En empresas pequeñas, la ley permite que el dueño asuma el rol.
    • Grupos Empresariales: Un solo DPD puede servir para todo el holding.

    4. Requisitos del Cargo

    No cualquiera puede asumir este rol. Debe cumplir con:

    • Idoneidad: Conocimientos especializados en derecho de datos.
    • Autonomía: No puede recibir instrucciones ni ser sancionado por cumplir su función.
    • Acceso a Directorio: Debe rendir cuentas a la máxima autoridad.
    • Sin Conflictos de Interés: Un Gerente de Marketing o TI no puede ser DPD (no puede auditarse a sí mismo).

    5. Sus 8 Funciones Críticas

    1. Informar y asesorar sobre la ley.
    2. Supervisar el cumplimiento normativo.
    3. Capacitación permanente del personal.
    4. Gestión de Riesgos y EIPD.
    5. Atención de derechos ARCOP.
    6. Punto de contacto con la Agencia.
    7. Desarrollar Plan Anual de trabajo.
    8. Mantener estricta confidencialidad.

    6. ¿Por qué le conviene a tu empresa?

    Más allá de lo legal, tener un DPD (interno o externo) reduce riesgos de brechas de seguridad, genera confianza en tus clientes y actúa como un «seguro» atenuante ante la autoridad.

  • Modelo de Prevención de Infracciones

    Modelo de Prevención de Infracciones

    El Modelo de Prevención de Infracciones (MPI): Tu «Seguro» ante la Nueva Ley

    Con multas que pueden llegar a las 20.000 UTM, el MPI no es un gasto, es una inversión indispensable en seguridad y continuidad del negocio.

     

    Con la entrada en vigencia de la Ley 21.719, las multas por mal manejo de datos pueden llegar a cifras astronómicas. Ante este escenario, la ley ofrece una herramienta vital para proteger a tu empresa: el Modelo de Prevención de Infracciones (MPI).

    Aunque la ley dice que su adopción es «voluntaria», en la práctica empresarial moderna se convierte en un mecanismo indispensable de supervivencia y reputación. Aquí te explicamos por qué.

    1. ¿Qué es exactamente el MPI?

    No es solo un manual guardado en un cajón. Es un sistema vivo y organizado de gestión y supervisión. Consiste en un programa de cumplimiento que implementa tu empresa para asegurar que todos los procesos (ventas, RR.HH., marketing) respeten la privacidad.

    Su objetivo es pasar de la teoría a la práctica: demostrar que tu empresa ha tomado medidas concretas y verificables para evitar infracciones.

    2. El Gran Beneficio: Reducción de Multas

    Circunstancia Atenuante

    La ley establece explícitamente que contar con un Modelo de Prevención certificado constituye una circunstancia atenuante. Si cometes un error, tener este modelo le dice a la Agencia: «Esta empresa fue diligente», lo que puede rebajar significativamente la multa.

    3. ¿Qué debe tener tu Modelo para ser válido?

    Para que este «escudo» funcione, debe ser real. Según el artículo 49 de la ley, tu modelo debe incluir obligatoriamente:

    1. Un Delegado de Protección de Datos (DPD) Al adoptar el modelo, la designación de un DPD pasa a ser obligatoria.
    2. Mapa de Riesgos Identificar qué actividades generan peligro (ej: huella digital, mailing masivo).
    3. Protocolos Claros Reglas específicas para que tus empleados sepan cómo actuar.
    4. Canal de Denuncias Un sistema interno, anónimo y seguro para reportar incumplimientos.
    5. Sanciones Internas Un reglamento que castigue a quienes no respeten las normas.

    4. La Certificación: El Sello de Calidad

    Para que el modelo tenga pleno valor ante la autoridad, debe ser certificado por la Agencia.

    • Vigencia: La certificación dura 3 años.
    • Reputación: Entras en el Registro Nacional de Sanciones y Cumplimiento, pero en la lista positiva de «cumplidores».

  • Base de datos de clientes

    Base de datos de clientes

    Tu Base de Datos de Clientes: ¿Activo de Oro o Bomba de Tiempo?

    Para cualquier empresario, la base de datos es el corazón del negocio. Pero con la Ley 21.719, ese Excel puede convertirse en tu mayor riesgo legal si no lo gestionas correctamente.

    Para cualquier empresario, la base de datos de clientes es la historia de sus ventas y la proyección de su futuro. Sin embargo, con la entrada en vigencia de la nueva Ley de Protección de Datos Personales, esa lista de Excel o ese CRM que has alimentado por años puede convertirse en tu mayor riesgo legal.

    Ya no basta con tener los datos; ahora debes cuidarlos, justificarlos y limpiarlos. Aquí te explicamos las claves para evitar multas y generar confianza.

    1. ¿Qué es «Tratar» los datos?

    Derribemos un mito: el tratamiento de datos no es solo lo que hacen los ingenieros. Según la ley, «tratamiento» es cualquier operación:

    • Recolectar RUT
    • Guardar correo
    • Enviar Newsletter
    • Cruzar info
    • Borrar registros

    Si realizas cualquiera de estas acciones, tu empresa es legalmente la «Responsable de Datos» y debe responder ante la ley.

    2. Limpieza: El fin del «Dato Basura»

    Muchas empresas acumulan datos antiguos «por si acaso». La nueva ley impone el Principio de Calidad: los datos deben ser exactos, completos y actuales.

    Tu tarea: Si tienes la dirección de un cliente de hace 10 años y no la has verificado, ese dato no solo es inútil comercialmente, sino que mantenerlo es una infracción. Debes depurar tu base periódicamente.

    3. Finalidad: Úsalos solo para lo que dijiste

    Este es el error más común en marketing. Si le pediste el correo al cliente para enviarle la boleta electrónica, no puedes usarlo para publicidad sin permiso específico (Principio de Finalidad).

    El Riesgo

    Usar datos de facturación para crear perfiles de consumo sin autorización es una infracción grave que puede costarte hasta 10.000 UTM.

    4. Minimización: Menos es Más

    ¿Realmente necesitas saber el estado civil para vender un par de zapatos? Probablemente no. El Principio de Proporcionalidad exige que solo pidas los datos estrictamente necesarios. Pedir datos extra «para futuras campañas» aumenta tu riesgo innecesariamente.

    5. Seguridad: Cierra la puerta

    Si guardas los datos en un Excel sin clave o en una carpeta compartida, estás incumpliendo la ley. Debes tomar medidas técnicas (cifrado, contraseñas) para evitar filtraciones.

    Recuerda: si se filtran los datos, ahora tienes la obligación legal de autodenunciarte a la Agencia.

    6. El Consentimiento

    Olvídate de las casillas pre-marcadas. El consentimiento ahora debe ser una acción afirmativa, libre y específica. El cliente debe hacer «clic» voluntariamente aceptando el uso de sus datos y debe poder revocarlos fácilmente.

    Conclusión: La Higiene es Rentable

    Adecuar tu base de datos no es solo burocracia; es una oportunidad para quedarte con datos de calidad, de clientes que realmente quieren escucharte, y blindar a tu empresa de sanciones millonarias.