LegalDatos

Categoría: Temas generales

  • ¿Qué es la Base de Licitud?

    ¿Qué es la Base de Licitud?

    ¿Qué es la Base de Licitud? La «Llave Maestra» para usar Datos Personales

    En el mundo de los negocios, solíamos pensar que si teníamos un dato, podíamos usarlo. Bajo la Ley 21.719, esa lógica se acabó. Entiende las reglas del juego.

     

    la Base de Licitud (o legitimación) es la justificación jurídica que te autoriza a «tocar» un dato personal. Imagínala como una llave: sin la llave correcta, entrar a la base de datos es un allanamiento ilegal.

    El Artículo 13 de la nueva Ley establece que todo tratamiento de datos debe tener una causa legal que lo habilite. Si no tienes una de estas bases identificadas, estás cometiendo una infracción grave.

    Conceptos Clave

    • No todas las llaves sirven: No siempre necesitas pedir consentimiento. A veces la ley te obliga o el contrato te habilita.
    • El riesgo de no tenerla: Procesar datos sin base de licitud es una infracción grave con multas de hasta 10.000 UTM.

    Las 4 Bases + 1 Alerta Crítica

    A continuación, las bases más importantes que tu empresa podrá usar y cómo identificarlas:

    1 El Consentimiento (La Regla de Oro)

    Ya no puede ser tácito ni letra chica. Debe ser libre, informado, específico e inequívoco (Art. 12).

    Ejemplo Marketing: Un cliente debe marcar activamente «Acepto recibir correos» para enviarle un newsletter.

    2 Ejecución de un Contrato

    La base ideal para vender. Si necesitas el dato para cumplir lo prometido, no necesitas pedir permiso extra.

    Ejemplo E-commerce: Usar la dirección del cliente para despachar el producto comprado.

    3 Cumplimiento de Obligación Legal

    No tratas datos porque quieres, sino porque el Estado te obliga (Art. 13 letra b).

    Ejemplo RRHH: Procesar licencias médicas porque el Código del Trabajo y seguridad social lo exigen.

    4 Interés Legítimo

    El «comodín» con cuidado. Permite tratar datos para objetivos propios si no afectan derechos del titular.

    Ejemplo Seguridad: Cámaras de vigilancia en la tienda o análisis bancario para prevención de fraude.

    5 ⚠️ Fin de Fuentes de Acceso Público

    ¡Alerta de Cambio Crítico!

    La nueva ley elimina las fuentes públicas como base autónoma. Ya no puedes hacer «scraping» de LinkedIn o webs públicas sin otra justificación.

    Resumen para el Gerente

    Si quieres vender y despachar: Ejecución de Contrato.
    Si quieres enviar publicidad: Consentimiento.
    Si quieres poner cámaras: Interés Legítimo.
    Si quieres pagar sueldos: Obligación Legal.

    *Consejo de LegalDatos: En tu inventario de datos, escribe al lado de cada base cuál de estas «llaves» estás usando. Si no tienes llave, borra el dato.

  • Qué son realmente los Datos Personales bajo la nueva Ley 21.719

    Qué son realmente los Datos Personales bajo la nueva Ley 21.719

    Qué son realmente los Datos Personales bajo la nueva Ley 21.719

    Muchos empresarios creen que «dato personal» es solo el Nombre y el RUT. Error. La nueva ley transforma el dato de un recurso comercial a un Derecho Humano.

    Cuando preguntas a un gerente qué datos personales maneja su empresa, la respuesta suele ser rápida: «Solo tenemos nombres, correos y RUTs de clientes». Bajo la antigua normativa, esa respuesta podría haber sido aceptable.

    Pero con la Ley 21.719, el universo de lo que se considera un dato personal se ha expandido radicalmente, y con ello, tus obligaciones legales. Para cumplir, primero debes entender que el «chip» mental debe cambiar. Antes, los datos se veían como un recurso libre, como el aire o el agua en tiempos antiguos. Hoy, la ley viene a proteger eso con dientes afilados.

    1. El Cambio Cultural: De «Activo» a Derecho Constitucional

    Lo primero que debes saber es que un dato personal ya no es «cualquier cosa» que puedas guardar en un Excel. Ahora está anclado en el núcleo de la Constitución (Art. 19 N° 4). ¿Qué significa esto para tu negocio?
    Autodeterminación Informativa

    El dato pertenece al titular (la persona), no a la empresa. El titular tiene el poder de controlar quién tiene su información, para qué la usa y cuándo debe dejar de usarla.
    Dignidad Humana

    Cuando manipulas un RUT o una huella, tocas un derecho fundamental. Si no respetas esto, no cometes una falta administrativa, estás vulnerando un derecho constitucional.

    2. No es solo quién eres, es quién «podrías ser»

    La ley define Dato Personal como cualquier información vinculada a una persona natural identificada o identificable. Aquí está la trampa para muchas empresas.

    Ya no se trata solo de tener el nombre. Si tienes un dato que por sí solo no dice nada (ej: una dirección IP, datos de geolocalización o un perfil de compra), pero que al cruzarlo con otra información te permite saber quién es esa persona, eso ES un dato personal.

    💡 Para tu negocio digital: Si usas cookies para rastrear comportamiento o identificadores de dispositivos móviles (IDFA/AAID), estás tratando datos personales, aunque técnicamente no tengas el «nombre» del usuario en tu base de datos.

    3. Los «Datos Sensibles»: Un Campo Minado

    La ley ha ampliado la categoría de Datos Sensibles. Estos requieren un cuidado extremo (ciberseguridad reforzada y consentimiento expreso). Tratarlos sin las bases legales correctas es una infracción gravísima. La nueva lista incluye:

    Datos Biométricos: Huella digital, reconocimiento facial, iris o voz. Ojo: Si usas huelleros para asistencia o cámaras inteligentes, estás tratando datos sensibles.
    Situación Socioeconómica: Datos que revelen el estado económico real. Crítico para empresas de riesgo comercial o marketing segmentado.
    Salud y Perfil Biológico: Información médica, genética o psíquica (incluyendo licencias médicas en RRHH).

    Zonas Grises reguladas: La ley también pone lupa sobre la Geolocalización (debes informar para qué rastreas) y los datos de Niños, Niñas y Adolescentes, cuyo estándar de protección es superior.

    4. El Fin de las Fuentes de «Acceso Público»

    Esta es quizás la modificación más disruptiva para los modelos de negocios basados en marketing y ventas B2B. Bajo la antigua ley, se creía que si un dato estaba en internet (Google, LinkedIn, Diario Oficial), era de «libre uso». Eso se acabó.
    🚫Prohibición de facto al «Scraping»

    Que el dato sea público no te da derecho a tomarlo y guardarlo. Las empresas que «raspan» webs para armar bases de datos quedan en ilegalidad si no tienen un interés legítimo probado.
    📢Nueva Regla de Transparencia

    Aunque el dato sea público, ahora debes informar al titular: «Señor usuario, obtuve sus datos de tal fuente pública y los estoy usando para X fin». Ya no se puede recopilar a escondidas.

    5. ¿Por qué importa para tu bolsillo?

    La ley se basa en el Principio de Responsabilidad. Las consecuencias financieras son reales y severas:

    Uso de fuentes públicas sin base legal: Infracción grave (hasta 10.000 UTM).
    Tratamiento indebido de datos sensibles (huellas/salud): Infracción gravísima (hasta 20.000 UTM).

    La Regla de Oro

    «Antes de recolectar un dato, pregúntate: ¿Realmente necesito saber esto? Si la respuesta es no, aplica el principio de minimización y no lo pidas. Menos datos, menos riesgo.»

  • Agencia de Protección de Datos Personales

    Agencia de Protección de Datos Personales

    Conoce al nuevo «Árbitro» de tus datos: La Agencia de Protección de Datos

    Se acabó la letra muerta: Chile estrena un organismo fiscalizador con dientes. Descubre las facultades que impactarán tu negocio.

     

    Durante años, la protección de datos en Chile fue una normativa sin un «padre» que la hiciera cumplir. Si una empresa usaba mal los datos, el proceso judicial era lento y costoso. Eso se acabó.

    La Ley 21.719 crea la Agencia de Protección de Datos Personales, una institución poderosa diseñada para vigilar, investigar y sancionar. Ya no solo respondes ante tus clientes, sino ante un organismo técnico del Estado.

    ¿Qué es la Agencia?

    • No es un ministerio: Es una corporación autónoma con personalidad jurídica y patrimonio propio.
    • Es un órgano colegiado: Dirigida por un Consejo Directivo de expertos, elegidos con acuerdo del Senado para garantizar independencia técnica.

    Las 5 Super-Facultades que impactarán a tu empresa

    Según el Artículo 30 bis, la Agencia no es un mero observador. Estas son sus atribuciones:

    1 Facultad Normativa

    La Agencia dicta las reglas del juego mediante Instrucciones Generales obligatorias.

    Lo que significa para ti: Deberás estar atento a las circulares técnicas (ej: uso de biometría) porque son ley.

    2 Facultad Fiscalizadora

    Puede auditar tu negocio y requerir la entrega de cualquier documento o base de datos.

    Lo que significa para ti: Pueden tocar a tu puerta. Si no tienes la documentación en regla, estás en problemas.

    3 Facultad Sancionadora

    Esta es la facultad más temida.

    Puede aplicar multas de hasta 20.000 UTM o suspender tus actividades de tratamiento de datos.

    4 Facultad Resolutiva

    Actúa como tribunal ante reclamos de clientes por derechos ARCOP.

    Lo que significa para ti: Si no respondes a un cliente, este escalará el reclamo a la Agencia y te exigirán explicaciones.

    5 Facultad de Certificación

    Administra el Registro Nacional de Sanciones y Cumplimiento.

    Lo que significa para ti: La Agencia validará si tu modelo de compliance es serio. Estar certificado es tu mejor «seguro».

    El Cambio de Panorama

    Antes, el riesgo era bajo. Ahora, con una Agencia dedicada exclusivamente a esto, el riesgo es inminente. La Agencia tiene el mandato de interpretar qué se entiende por «seguridad adecuada».

  • Derechos ARCO o ARCOP

    Derechos ARCO o ARCOP

    Entendiendo los Derechos ARCOP: El nuevo poder de tus clientes y trabajadores

    Esto no es un simple juego de siglas. Representa el control real que tiene cualquier persona sobre la información que tu empresa maneja. Bajo la Ley 21.719, estos derechos son irrenunciables.

     

    Como empresario, seguramente has escuchado hablar de los «Derechos ARCO». Sin embargo, con la nueva Ley 21.719, este concepto ha evolucionado y se ha ampliado. Ahora hablamos de ARCOP.

    Estos derechos son irrenunciables, intransferibles y gratuitos. A continuación, te explicamos didácticamente qué significa cada letra y qué obligación genera para tu empresa.
    A  Acceso (El derecho a saber)

    Es la puerta de entrada. Cualquier persona tiene derecho a preguntarle a tu empresa: «¿Tienen datos míos? ¿Cuáles son? ¿Para qué los usan? ¿De dónde los sacaron?».
    Tu obligación: Si un titular te lo pide, debes confirmar si procesas sus datos y entregarle una copia de ellos, explicando la finalidad, el tiempo de retención y a quién se los has enviado. Ojo: No basta con decir «sí»; debes dar detalles.
    R Rectificación (El derecho a corregir)

    Si los datos que tienes están mal, la persona puede exigir que los arregles. Esto aplica cuando la información es inexacta, desactualizada o incompleta.
    Tu obligación: Si tienes un cliente con una deuda ya pagada que sigue apareciendo como moroso, o un trabajador con una dirección antigua, debes corregir ese dato en tus sistemas de inmediato al recibir la solicitud.
    C Supresión (El derecho al olvido)

    Tradicionalmente llamado «Cancelación». Es la facultad de pedir que elimines sus datos cuando ya no son necesarios, cuando se retira el consentimiento o cuando están caducos.
    Importante para la empresa: No es un derecho absoluto. Si tienes un contrato vigente o una obligación legal (ej: guardar facturas para el SII), no estás obligado a borrarlos, pero debes bloquearlos para otros usos.
    O Oposición (El derecho a decir «No»)

    Es el derecho a exigir que no se realice un tratamiento específico, aunque tengas los datos legítimamente. El caso clásico es el Marketing.
    Tu obligación: Debes tener sistemas capaces de segregar los datos. Si un cliente dice: «Úsalos para facturarme, pero no para publicidad», debes sacarlo de la lista de envíos inmediatamente.
    P Portabilidad (La gran novedad)

    Esta es la «P» que moderniza nuestra normativa al estándar europeo. Es el derecho del titular a pedirte una copia de sus datos en un formato electrónico estructurado y de uso común (como Excel o CSV).
    Tu obligación: El objetivo es que el cliente pueda llevarse su «historia» a la competencia. Si el tratamiento es automatizado, no puedes retener la data como un rehén.

    ¿Qué pasa si no respondo?

    La ley establece plazos estrictos. Tienes 30 días corridos (prorrogables por otros 30) para responder a estas solicitudes.

    Si no respondes, o deniegas sin razón legal, el titular puede denunciarte ante la Agencia. Esto inicia un procedimiento de Tutela de Derechos que puede derivar en multas millonarias.

  • Tratamiento de Datos Personales

    Tratamiento de Datos Personales

    ¿Qué es el «Tratamiento de Datos»? (Y por qué lo haces todo el tiempo)

    Existe una confusión habitual: creer que esto es solo para empresas tecnológicas. Si guardas un CV o pagas un sueldo, ya estás bajo la lupa de la Ley 21.719.

    Existe una confusión habitual en el mundo empresarial: creer que el tratamiento de datos es algo complejo, reservado para empresas de tecnología o big data. La realidad es mucho más simple y abarcadora.

    Si tu empresa guarda el currículum de un postulante en un cajón, envía un correo a un cliente o paga la nómina de sueldos, estás realizando tratamiento de datos personales.

    1. La Definición Legal: Todo cuenta

    • Bajo la Ley 21.719, el concepto de tratamiento es sumamente amplio. Se define como cualquier operación, automatizada o no, que permita:
      Recolectar
      Procesar
      Almacenar (guardar)
      Comunicar o transmitir
      Utilizar
      Suprimir (borrar)

    La implicancia práctica: No importa si usas un software avanzado o una planilla Excel. Desde el momento en que un dato entra a tu organización hasta que lo eliminas, estás «tratando» datos y la ley te aplica por completo.

    2. Tu Nuevo Rol: «Responsable de Datos»

    Al realizar estas acciones, la ley te asigna automáticamente el rol de Responsable de Datos. Esto significa que eres quien decide los fines (para qué) y los medios (cómo) del tratamiento.
    La responsabilidad no se delega

    Aunque contrates a una empresa externa para procesar los sueldos o gestionar el marketing (quienes serían «Encargados»), tú sigues siendo el responsable legal ante la Agencia de Protección de Datos y ante los titulares.

    3. Tus Responsabilidades Críticas (Accountability)

    La nueva normativa se basa en el Principio de Responsabilidad Proactiva. Ya no basta con ser cuidadoso; debes demostrar que cumples la ley.

    • Acreditar la Licitud: No puedes tratar datos «por si acaso». Debes probar una base legal (consentimiento, contrato o ley).
    • Deber de Seguridad: Debes adoptar medidas técnicas (ciberseguridad) para evitar fugas o accesos no autorizados.
    • Deber de Confidencialidad: Obligación de secreto que subsiste incluso después de terminada la relación laboral.
    • Responder a Derechos ARCOP: Debes tener canales para Acceso, Rectificación, Supresión, Oposición y Portabilidad.

    4. Las Implicancias del Incumplimiento

    El tratamiento de datos indebido ha dejado de ser una falta menor para convertirse en un riesgo financiero y operacional crítico.

    Multas Millonarias

    Una infracción gravísima puede ser sancionada con hasta 20.000 UTM.

    Reincidencia (Grandes Empresas)

    La multa puede calcularse como un porcentaje de tus ingresos anuales (hasta el 4%), elevando el castigo a cifras estratosféricas.

    Suspensión de Actividades
    La Agencia tiene la facultad de suspender tus operaciones de tratamiento de datos, lo que podría paralizar tu negocio.

  • El abc de los datos personales

    El abc de los datos personales

    Datos Personales para Principiantes: El ABC de la nueva Ley

    Todo lo que necesitas saber para entender la Ley 21.719 sin ser abogado. Una guía para dueños de empresa y emprendedores.

    Si eres dueño de una empresa o gerente, es probable que hayas escuchado que «las reglas del juego cambiaron» con la nueva Ley de Datos Personales. Y es cierto. Pero entre tecnicismos legales y amenazas de multas, es fácil perderse.

    Como expertos en LegalDatos, hemos preparado esta guía esencial —el verdadero ABC— para que entiendas los conceptos básicos que definirán el futuro de tu negocio a partir de diciembre de 2026.

    A ¿Qué es (y qué no es) un Dato Personal?

    Lo primero es entender la materia prima:

    • Dato Personal Cualquier información referida a una persona natural identificada o identificable. No es solo el RUT. Es el correo, la huella, la geolocalización o hábitos de compra.
    • Dato Sensible Una categoría especial que requiere cuidado extremo (y consentimiento explícito). Incluye salud, vida sexual, opiniones políticas, y huellas biométricas.
    💡 Ojo: Los datos de personas jurídicas (empresas) NO son datos personales bajo esta ley.

    B Los Protagonistas: ¿Quién es quién?

    En esta «película» legal, es vital que sepas tu rol:

    • El Titular: La persona dueña de los datos (tu cliente, empleado, proveedor). La ley lo protege a él.
    • El Responsable (Probablemente TÚ): Quien decide qué se hace con los datos. Si recolectas datos para vender o facturar, eres el Responsable ante la ley.
    • El Encargado: Un tercero que procesa datos por ti (ej: la empresa de software de RRHH). Ellos siguen instrucciones, pero tú eres el responsable final.

    C Las Reglas de Oro: Los Principios

    La ley te da «Principios» que debes respetar siempre:

    Finalidad

    Úsalo solo para lo que dijiste. Si pediste el mail para la boleta, no envíes publicidad sin permiso.

    Proporcionalidad

    Pide lo justo. ¿Necesitas la religión para vender zapatos? No. Entonces no la pidas.

    Seguridad

    Obligación de tomar medidas técnicas (ciberseguridad) para que los datos no se filtren.

    Licitud

    Necesitas una «base legal». Usualmente Consentimiento o Contrato.

    D El Poder del Cliente: Derechos ARCOP

    Tu cliente tiene un kit de herramientas poderoso. Debes poder responder a:

    • Acceso: «¿Qué datos tienes de mí?»
    • Rectificación: «Corrige mi dirección».
    • Cancelación (Supresión): «Borra mis datos».
    • Oposición: «No me envíes más publicidad».
    • Portabilidad (¡Nuevo!): «Dame una copia de mis datos para llevarme a tu competencia».

    E El Árbitro: La Agencia

    Se acabó la letra muerta. La nueva Agencia de Protección de Datos Personales es un organismo autónomo con «dientes».

    Las Multas

    Pueden llegar hasta 20.000 UTM (aprox. $1.300 millones) o el 4% de tus ingresos anuales si eres una gran empresa reincidente.

    Conclusión: No es miedo, es orden

    Entender este ABC es el primer paso para dejar de ver los datos como un archivo de Excel y empezar a tratarlos como un activo de riesgo y valor. La ley entra en plena vigencia en 2026, pero cambiar la cultura toma tiempo.

  • Datos personales sensible

    Datos personales sensible

    Datos Sensibles: El «Campo Minado» de la Nueva Ley 21.719

    Si los datos personales son el «petróleo», los datos sensibles son material radiactivo. Descubre por qué su mal manejo puede destruir la reputación y finanzas de tu empresa.

    Si los datos personales son el «petróleo» de la economía digital, los datos sensibles son material radiactivo: tienen un valor inmenso, pero si no los manejas con protocolos de seguridad extremos, pueden destruir la reputación y las finanzas de tu empresa.

    Como empresario, es vital que identifiques si estás tratando esta categoría de datos, porque la Ley 21.719 impone las restricciones más severas y las multas más altas por su mal uso.

    1. ¿Qué son los Datos Sensibles? (La lista creció)

    Bajo la antigua ley, la definición era acotada. La nueva normativa amplía el concepto drásticamente. Un dato sensible es aquel que se refiere a las características físicas o morales de las personas o a hechos de su vida privada e intimidad. La nueva lista incluye:

    • NUEVO
      Datos Biométricos: Huella digital, reconocimiento facial (rostro), iris, voz o cualquier rasgo físico/conductual que permita la identificación única.
    • NUEVO
      Situación Socioeconómica: Información que revele el estado económico. Impacta directamente a empresas que perfilan clientes por ingresos o capacidad de pago.
    • Salud y Perfil Biológico: Historiales médicos, recetas, licencias, datos genéticos.
    • Origen étnico o racial, afiliación política/sindical, convicciones religiosas y vida sexual.

    2. La Regla de Oro: Consentimiento Expreso

    Aquí radica el cambio más fuerte. Para un dato normal, el consentimiento puede ser inequívoco. Pero para un dato sensible, la ley exige Consentimiento Expreso.

    No sirve un «visto bueno» tácito o una casilla pre-marcada. Debe ser una declaración donde el titular diga explícitamente: «SÍ, autorizo el tratamiento de este dato sensible para esta finalidad específica».

    3. Casos Críticos en la Empresa

    👆 El Reloj Control con Huella

    Estás tratando un dato sensible biométrico. Requiere consentimiento expreso y una Evaluación de Impacto (EIPD) previa, pues es una actividad de alto riesgo.

    🏥 Las Licencias Médicas en RR.HH.

    Son datos de salud. Solo pueden usarse para gestión de beneficios o cumplimiento legal, con medidas de seguridad reforzadas.

    📊 Evaluación de Riesgo Comercial

    Si perfilas clientes por su situación socioeconómica, estás tratando datos sensibles y necesitas una base legal sólida.

    4. ¿Cuándo puedo usarlos sin pedir permiso?

    La ley permite excepciones muy específicas:

    • Cuando la ley lo mandata expresamente.
    • Para salvaguardar la vida o salud (emergencias).
    • Para la defensa de un derecho en juicio.
    • Para determinar beneficios de salud o laborales (seguridad social).

    ⚠️ Advertencia Final: Infracción Gravísima

    Tratar datos sensibles indebidamente (sin consentimiento expreso o desviando su finalidad) se clasifica como Infracción Gravísima.

    • • Multas de hasta 20.000 UTM (aprox. $1.300 millones).
    • • Reincidencia en grandes empresas: hasta el 4% de ingresos anuales.
  • El responsable de datos

    El responsable de datos

    ¿Qué significa ser «Responsable de Datos» hoy?

    Bajo la Ley 21.719, este es el concepto más importante que debes entender. Ya no basta con no hacer mal uso de la información; ahora debes demostrar activamente que la cuidas.

    Si tu empresa recolecta información de personas (clientes, trabajadores, proveedores), la ley te asigna automáticamente el rol de Responsable de Datos. En términos simples, eres quien decide el «por qué» y el «cómo» se usan esos datos.

    🚫 La responsabilidad no se delega

    Aunque contrates a una agencia de marketing o una empresa de software para procesar esa información (ellos son los «Encargados»), tú sigues siendo el Responsable legal ante la Agencia de Protección de Datos. Si ellos se equivocan, la multa principal es para ti.

    Tus Principales Obligaciones: El Decálogo del Cumplimiento

    La Ley 21.719 establece un catálogo de deberes proactivos. Estas son las 8 obligaciones críticas que debes implementar:

    1 Principio de Licitud (Probar que es legal)

    No puedes tratar datos «porque sí». Debes acreditar una base legal válida: consentimiento expreso, obligación legal o ejecución de un contrato.

    2 Deber de Transparencia (Art. 14 ter)

    Se acabó la «letra chica». Debes publicar una política de privacidad clara que informe:

    • Quién eres (identificación).
    • Qué datos recolectas y para qué.
    • Por cuánto tiempo los guardarás.
    • Cómo ejercer derechos.

    3 Deber de Secreto (Art. 14 bis)

    Tú y tus empleados están obligados a la confidencialidad, incluso tras terminar la relación laboral. Debes establecer controles de acceso internos.

    4 Seguridad y Ciberseguridad

    No existe una medida única, pero la ley obliga a aplicar seguridad técnica (cifrado, firewalls) acorde al riesgo y volumen de datos que manejas.

    5 Reportar Hackeos o Fugas

    Si sufres un incidente de seguridad, tienes la obligación legal de reportarlo a la Agencia «sin dilaciones indebidas». Si afecta datos sensibles, también debes avisar a los afectados.

    6 Privacidad desde el Diseño

    Tus sistemas deben estar configurados para recolectar, por defecto, solo los datos estrictamente necesarios (minimización).

    7 Evaluaciones de Impacto (EIPD)

    Si harás un tratamiento de alto riesgo (biometría, perfiles masivos), debes realizar obligatoriamente un estudio técnico de riesgos previo.

    8 Responder a Derechos ARCOP

    Debes tener un canal expedito para que las personas ejerzan sus derechos. Tienes plazos estrictos (30 días) para responder.

    ¿Por qué esto es vital para tu negocio?

    El incumplimiento de estas obligaciones no es una falta administrativa menor. Bajo el Principio de Responsabilidad, tú debes indemnizar cualquier daño causado a los titulares.

    Te expones a multas gravísimas que pueden llegar a las 20.000 UTM.

  • Compliance de Datos o Data compliance

    Compliance de Datos o Data compliance

    ¿Qué es el Compliance de Datos? Más allá de la Ciberseguridad

    Si eres empresario, probablemente ya inviertes en antivirus y firewalls. Sin embargo, con la Ley 21.719, eso ya no es suficiente.

    Hoy, el desafío no es solo que no te roben la información, sino demostrar que usas los datos de manera legal y ética. Aquí es donde entra el Compliance de Datos.

    No es un software que instalas; es una nueva forma de operar tu empresa para evitar multas millonarias y ganar la confianza de tus clientes.

    1. ¿Qué es exactamente?

    Muchas organizaciones confunden protección de datos con ciberseguridad. La ciberseguridad es el blindaje técnico para que no te hackeen. El Compliance de Datos es la estructura legal que garantiza que el uso que haces de esa información cumple con la ley.

    «La ciberseguridad cierra la puerta con llave; el Compliance asegura que lo que haces dentro de la casa es legal.»

    Bajo la nueva ley, esto se materializa en el Modelo de Prevención de Infracciones (MPI), un sistema organizado de gestión para prevenir delitos contra la privacidad.

    2. Los 3 Pilares de un Buen Compliance

    Para que este sistema sea reconocido por la autoridad, tu modelo debe tener «vida» y contar con al menos:

    • El «Capitán» (DPD) Es el Delegado de Protección de Datos. Encargado de supervisar que todo funcione. En PyMEs puede ser el dueño, pero en grandes empresas requiere un perfil técnico.
    • Mapa de Riesgos Identificar qué actividades (ej: ventas online, control biométrico) generan peligro. No puedes proteger lo que no sabes que es peligroso.
    • Protocolos y Canales Reglas claras y un sistema de denuncia (anónimo) para que tus empleados reporten errores antes de que escalen a una denuncia externa.

    3. El Incentivo Económico

    La Ley 21.719 trae incentivos inteligentes. Las multas pueden llegar a 20.000 UTM. Sin embargo, contar con un Modelo de Prevención certificado actúa como una circunstancia atenuante.

    Si cometes un error, tener este modelo le dice a la Agencia: «Hice todo lo posible por cumplir, fue un accidente, no negligencia». Esto reduce drásticamente la multa.

    4. Certificación y Responsabilidad

    Para ser válido, el modelo debe ser certificado por la Agencia (vigencia de 3 años). Esto te coloca en el Registro Nacional de Cumplimiento, mejorando tu reputación frente a bancos y clientes.

    El Compliance te obliga a pasar de una actitud reactiva a una Responsabilidad Proactiva: acreditar en todo momento que tus datos son lícitos y seguros desde el diseño.

    Conclusión

    El Compliance de Datos no es burocracia; es la licencia para operar en la economía digital moderna. Las empresas que se adapten rápido tendrán una ventaja competitiva al proyectar confianza.

  • El Fin de los Rutificadores(edita)

    El Fin de los Rutificadores(edita)

    ¿Qué pasará con los «Rutificadores» y las Bases de Datos Públicas en 2026?

    Durante décadas operaron bajo la lógica de «si está en internet, es de todos». Con la Ley 21.719, este modelo de negocio enfrenta su extinción legal.

    Durante décadas, en Chile operó una lógica permisiva: «Si el dato está en internet o en un registro público, es de todos». Bajo esta premisa, florecieron sitios web conocidos como «Rutificadores» (NombreRutYFirma, Rutificador.cl, entre otros), que permiten a cualquiera buscar el RUT, la dirección y hasta la situación electoral de una persona con un clic.

    A partir de diciembre de 2026, con la plena vigencia de la Ley 21.719, este modelo de negocio quedará en una posición de ilegalidad estructural. Aquí te explicamos por qué y, lo más importante, cómo esto afecta a tu empresa si usas estos servicios.

    1. Lo «Público» ya no es «Libre»

    El cambio más disruptivo de la nueva ley es la eliminación de las fuentes de acceso público como una base de licitud autónoma para tratar datos.

    Antes Bastaba con decir que el dato se sacó de una «fuente accesible al público» (como el padrón del SERVEL o el Diario Oficial) para poder recolectarlo, publicarlo y lucrar con él sin pedir permiso.
    Ahora El artículo 2° letra i) establece que «El tratamiento de datos provenientes de fuentes de acceso público se someterá a las disposiciones de esta ley». Aunque el dato sea público, necesitas una base legal adicional (consentimiento o interés legítimo) para procesarlo.

    2. El Caso de los «Rutificadores»: Un Negocio en Jaque

    Los sitios «buscapersonas» operan extrayendo masivamente (scraping) información del SERVEL, quien la publica por transparencia electoral. Bajo la nueva ley, estos sitios enfrentan tres barreras insalvables:

    A Violación al Principio de Finalidad (Art. 3 letra b)

    El dato del domicilio en el SERVEL tiene una finalidad electoral (votar). Cuando un Rutificador lo publica para que un tercero averigüe dónde vive una persona por curiosidad o cobranza, está desviando la finalidad original.

    B Falta de Base de Licitud (Art. 13)

    Sin la «fuente pública» como excusa, necesitarían consentimiento (¿le han pedido permiso a 15 millones de chilenos?) o Interés Legítimo, el cual difícilmente prevalece sobre el derecho a la privacidad de los domicilios particulares.

    C El Nuevo Derecho de Oposición (Art. 8)

    Cualquier ciudadano podrá exigir al Rutificador que elimine sus datos. Si el sitio no lo hace, la Agencia de Protección de Datos podrá ordenar el bloqueo del sitio y multas.

    3. Las Sanciones: ¿Por qué desaparecerán?

    Operar un sitio de estas características sin base legal constituirá una Infracción Grave o Gravísima.

    20.000 UTM Pueden alcanzar las multas (más de $1.300 millones), además de la facultad de la Agencia para suspender las operaciones del sitio.
    Advertencia Empresas

    ⚠️ Cuidado con lo que integras a tu empresa

    Muchos empresarios usan estos «Rutificadores» para validar clientes o buscar deudores. La recomendación experta es detener esta práctica.

    Al usar estos sitios, tu empresa está nutriendo sus procesos internos (CRM, ERP) con datos ilícitos. La ley exige (Art. 14 letra b) que asegures que tus fuentes sean lícitas. Si te alimentas de un sitio ilegal, contaminas tu base de datos y te expones a sanciones directas.

    En resumen: A partir de diciembre de 2026, la privacidad recupera terreno. La re-publicación masiva y comercial de nuestra vida privada tiene fecha de vencimiento.