Ley 21.719 y filtraciones de datos: obligaciones del encargado y derechos del titular

La Ley 21.719 establece el marco regulatorio para la protección de datos personales en Chile. Si tu empresa recopila, almacena o procesa información de clientes, trabajadores o proveedores, eres responsable de protegerla y de responder ante cualquier filtración.

En este artículo explicamos las obligaciones específicas que la ley impone cuando ocurre un incidente de seguridad, así como los derechos que tiene cada persona cuyos datos fueron comprometidos.

Qué constituye una filtración según la ley

La ley define una filtración como cualquier incumplimiento de la seguridad que ocasione la destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales transmitidos, almacenados o tratados de cualquier forma.

Esto incluye:

• Ciberataques (ransomware, phishing, malware).
• Configuraciones incorrectas de bases de datos expuestas a internet.
• Pérdida o robo de dispositivos con información no cifrada.
• Envío erróneo de información a destinatarios no autorizados.
• Acceso interno no autorizado por parte de empleados.

Si ocurrió alguna de estas situaciones, probablemente estás ante una filtración que debe ser notificada.

Obligación de notificar a la autoridad

El encargado del tratamiento debe informar a la Agencia de Protección de Datos Personales dentro de las 24 horas siguientes al conocimiento del incidente.

Contenido de la notificación a la autoridad

La notificación debe ser completa y precisa. Debe incluir:

• Descripción general del incidente y sus circunstancias.
• Categorías de datos personales comprometidos.
• Número aproximado de titulares afectados.
• Consecuencias probables del incidente.
• Medidas adoptadas o propuestas para hacer frente al incidente.
• Medios de contacto para obtener más información.

Plazo extendido para información adicional

Si no puedes entregar toda la información dentro de las 24 horas, debes enviar una notificación inicial con los datos disponibles y una segunda comunicación con la información faltante tan pronto como sea posible.

Obligación de notificar a los titulares afectados

Además de la autoridad, debes informar a cada persona cuyos datos fueron comprometidos. La ley exige que esta comunicación sea:

• Clara y comprensible: evita lenguaje técnico excesivo.
• Oportuna: sin demoras injustificadas.
• Completa: con toda la información necesaria para que el titular tome decisiones informadas.

Contenido de la notificación al titular

• Descripción del incidente y sus circunstancias.
• Datos de contacto del encargado o responsable del tratamiento.
• Descripción de las consecuencias probables del incidente.
• Medidas adoptadas para hacer frente al incidente.
• Medidas que el titular puede adoptar para protegerse.
• Medios para ejercer los derechos que la ley le otorga.

Derechos de los titulares de datos personales

La Ley 21.719 consagra los derechos ARCO, que se mantienen y se refuerzan incluso después de una filtración:

Derecho de acceso

Puedes solicitar en cualquier momento que el encargado te informe si trata tus datos personales, cuáles son y para qué fines los utiliza.

Derecho de rectificación

Si tus datos son inexactos, desactualizados o incompletos, puedes exigir que se corrijan.

Derecho de cancelación

Puedes solicitar la eliminación de tus datos personales cuando ya no sean necesarios para los fines para los que fueron recolectados, o cuando hayas revocado tu consentimiento.

Derecho de oposición

Puedes oponerte al tratamiento de tus datos personales por motivos legítimos, salvo que exista una obligación legal que lo impida.

En contexto de una filtración, estos derechos adquieren especial relevancia. Si tus datos fueron expuestos, tienes derecho a saber exactamente qué información se vio comprometida y a exigir que se tomen medidas correctivas.

Multas y sanciones por incumplimiento

La ley establece un régimen sancionatorio proporcional a la gravedad del incumplimiento:

Tipo de infracción	Multa
Leve	Hasta 100 UTM (~$7 millones CLP)
Grave	Hasta 1.000 UTM (~$70 millones CLP)
Muy grave	Hasta 10.000 UTM (~$700 millones CLP)

Las infracciones muy graves incluyen:

• Tratamiento de datos personales sin habilitación legal.
• Incumplimiento de las obligaciones de seguridad que resulte en una filtración.
• No notificar una filtración a la autoridad o a los titulares afectados.
• Obstaculizar el ejercicio de los derechos ARCO.

Registro de actividades de tratamiento

La ley exige que mantengas un registro de todas las actividades de tratamiento de datos personales. Este registro debe incluir:

• Identidad y datos de contacto del encargado.
• Finalidades del tratamiento.
• Descripción de las categorías de titulares y de datos personales.
• Categorías de destinatarios a quienes se comunicaron o comunicarán los datos.
• Información sobre las transferencias internacionales de datos.
• Plazos previstos para el borrado de las distintas categorías de datos.
• Descripción general de las medidas de seguridad implementadas.

Este registro es el primer documento que la autoridad solicitará en caso de una inspección o investigación por una filtración.

Cómo prepararse antes de que ocurra

La mejor respuesta a una filtración es la prevención. Las empresas que mantienen registros actualizados, políticas de privacidad claras y controles de seguridad robustos no solo reducen la probabilidad de un incidente, sino que también demuestran diligencia ante una eventual investigación regulatoria.

En FideliNorm te ayudamos a:

• Generar tu política de privacidad adaptada a la Ley 21.719.
• Implementar controles de seguridad basados en ISO 27001.
• Documentar tus actividades de tratamiento de datos.
• Preparar un plan de respuesta a incidentes.

Genera tu política de privacidad gratuitamente o contáctanos para una consultoría personalizada.