Volver al blog
Ley 21.719datos personalesChilecumplimientoAgencia de Protección de Datos

Registro de Bancos de Datos: ¿quién debe inscribirse y cómo?

Guía práctica del Registro Nacional de Bancos de Datos Personales bajo la Ley 21.719: quién está obligado a inscribirse, qué información declarar, plazos y procedimiento ante la nueva Agencia de Protección de Datos Personales.

Equipo FideliNorm
Registro de Bancos de Datos: ¿quién debe inscribirse y cómo?

Una de las novedades más concretas que trae la Ley 21.719 de Protección de Datos Personales es la creación de un Registro Nacional de Bancos de Datos Personales, administrado por la nueva Agencia de Protección de Datos Personales (APDP). Para muchas empresas chilenas, esta inscripción será el primer trámite obligatorio del nuevo régimen, y también el primer punto de contacto formal con la autoridad. Saber si tu organización está obligada a inscribirse, qué información declarar y en qué plazos hacerlo evita multas innecesarias y entrega un mapa claro de cumplimiento. Esta guía resuelve esas preguntas en lenguaje operativo.

📋 Qué es el Registro Nacional de Bancos de Datos Personales

El Registro es un catálogo público y consultable que contiene la identificación de todos los bancos de datos personales que operan en Chile, sus responsables y las finalidades para las que tratan información. La idea no es nueva: la antigua Ley 19.628 ya contemplaba un registro restringido a organismos públicos, pero la Ley 21.719 lo amplía considerablemente y lo moderniza.

Un banco de datos personales es, según la propia ley, todo conjunto organizado de datos personales (sean automatizados, manuales, físicos o digitales) que permite acceder a información de personas naturales identificadas o identificables. En la práctica, casi cualquier empresa con clientes, trabajadores o proveedores opera al menos un banco de datos.

El Registro tendrá carácter público y gratuito. Cualquier titular de datos podrá consultarlo para saber quién trata su información y con qué finalidad, lo que abre una nueva dinámica de transparencia y control ciudadano.

👥 Quién está obligado a inscribirse

La regla general de la Ley 21.719 es que todo responsable del tratamiento de datos personales debe inscribir sus bancos en el Registro. Esto incluye a:

  • Organismos públicos de la Administración del Estado, municipalidades, empresas públicas y organismos autónomos.
  • Empresas privadas de cualquier tamaño que operen bancos de datos personales para fines comerciales, de gestión interna, de marketing, recursos humanos, fidelización o cualquier otro propósito.
  • Personas jurídicas sin fines de lucro (fundaciones, corporaciones, ONG) que recopilen datos de afiliados, donantes o beneficiarios.
  • Personas naturales que traten datos personales fuera del ámbito doméstico (por ejemplo, profesionales independientes con base de datos de pacientes, clientes o estudiantes).

Excepciones acotadas

La ley contempla algunas excepciones razonables:

  • Tratamientos exclusivamente domésticos o personales, como una agenda de contactos privada.
  • Bancos de datos asociados a la actividad periodística y al ejercicio de la libertad de expresión, en los términos que defina la APDP.
  • Datos disociados o anonimizados de manera irreversible, ya que dejan de ser datos personales.

Si tu empresa procesa datos de trabajadores, clientes, postulantes, contactos comerciales o usuarios de un sitio web, no estás dentro de las excepciones: te corresponde inscribirte.

📝 Qué información se debe declarar

Aunque el reglamento de la APDP terminará de detallar el formato definitivo, la Ley 21.719 fija el contenido mínimo de cada inscripción:

1. Identificación del responsable

  • Razón social o nombre completo.
  • RUT, domicilio legal y datos de contacto.
  • Identificación del representante legal y del Delegado de Protección de Datos (DPO) si corresponde nombrarlo.

2. Identificación del banco de datos

  • Nombre o denominación del banco.
  • Ubicación física o lógica (servidores propios, nube, país de almacenamiento).
  • Si está en manos de un encargado del tratamiento (proveedor externo).

3. Finalidades del tratamiento

  • Qué se hace con los datos: gestión de clientes, marketing directo, evaluación crediticia, prevención de fraude, cumplimiento laboral, etc.
  • Base de licitud invocada (consentimiento, ejecución de contrato, obligación legal, interés legítimo, etc.).

4. Categorías de datos y de titulares

  • Tipos de datos: identificación, contacto, económicos, biométricos, de salud, de geolocalización, etc.
  • Tipos de titulares: clientes, trabajadores, postulantes, menores, etc.

5. Transferencias y comunicaciones

  • A quién se comunican los datos (proveedores, filiales, autoridades).
  • Si existen transferencias internacionales y a qué países.

6. Medidas de seguridad

  • Descripción general (no detallada por razones de seguridad) de las medidas técnicas y organizativas implementadas.
  • Plazos de conservación o criterios para definirlos.

⏱️ Plazos de inscripción

La Ley 21.719 establece una vacancia legal de 24 meses desde su publicación oficial. Como la ley se publicó en diciembre de 2024, el régimen completo entra en plena vigencia en diciembre de 2026. Sin embargo, algunas obligaciones (incluida la inscripción en el Registro) podrán activarse en plazos intermedios fijados por la propia APDP a través de sus instrucciones generales.

La recomendación práctica es no esperar al último minuto:

  • 2026 (primer semestre): levantar el inventario interno de bancos de datos.
  • 2026 (segundo semestre): completar la inscripción inicial.
  • Permanente: actualizar la inscripción ante cualquier modificación material (nuevas finalidades, cambio de responsable, nuevas transferencias internacionales).

Las inscripciones deben mantenerse vigentes y actualizadas. La omisión o inexactitud sustancial constituye una infracción y puede ser sancionada con multa.

🛠️ Procedimiento de inscripción

Si bien la APDP definirá la plataforma electrónica final, la lógica del trámite es la siguiente:

  1. Inventariar bancos de datos. Identifica internamente cada base de datos personal: sistemas CRM, ERP, planilla de remuneraciones, sistemas de control de acceso, plataformas de e-commerce, mailing comercial, registros de visitantes, formularios web, etc.
  2. Mapear flujos. Para cada banco, documenta de dónde provienen los datos, dónde se almacenan, quiénes acceden, con quién se comparten y por cuánto tiempo se conservan.
  3. Definir base de licitud. Para cada finalidad, identifica si se trata de consentimiento, contrato, obligación legal, interés legítimo, vital o de interés público.
  4. Completar el formulario electrónico que disponga la APDP. Se espera firma electrónica avanzada del representante legal o DPO.
  5. Pagar el arancel si la ley o el reglamento lo establecen (en regímenes comparables, suele ser bajo o nulo para entidades pequeñas).
  6. Conservar el acuse de recibo y el código de inscripción.

El registro deberá actualizarse cada vez que cambien condiciones materiales del tratamiento, y al menos una vez por ejercicio si el reglamento así lo exige.

⚠️ Consecuencias de no inscribirse

La Ley 21.719 establece un régimen sancionatorio escalonado, con multas que van desde 1 UTM hasta 20.000 UTM dependiendo de la gravedad. El incumplimiento de la obligación de inscripción puede ser calificado como infracción leve, grave o gravísima, considerando factores como la cantidad de titulares afectados, el carácter sensible de los datos o la reincidencia.

Más allá de la multa, no estar inscrito implica:

  • Imposibilidad de demostrar cumplimiento ante un cliente corporativo, una licitación o una auditoría de un tercero.
  • Mayor exposición ante reclamos de titulares, ya que el banco no aparece declarado y la autoridad puede presumir tratamiento informal.
  • Daño reputacional en caso de filtración: estar fuera del registro suele agravar la valoración de culpa.

💡 Recomendaciones prácticas

  • No subestimes el inventario inicial. Es la fase más subestimada y la que más demora; muchas empresas descubren entre 15 y 40 bancos de datos que no tenían identificados.
  • Designa un responsable interno. Idealmente el Delegado de Protección de Datos (DPO) o, en su defecto, un Comité de Cumplimiento que coordine legal, TI, RRHH y comercial.
  • Documenta el racional. Cada decisión sobre la base de licitud, los plazos de conservación y las transferencias debe quedar respaldada por escrito (principio de accountability o responsabilidad proactiva).
  • Aprovecha el ejercicio para actualizar políticas. La inscripción es una excelente excusa para revisar avisos de privacidad, contratos con encargados del tratamiento y cláusulas en contratos de trabajo.
  • Integra el cumplimiento con tu SGSI. Si tu empresa ya tiene o está en camino a ISO 27001, gran parte del inventario y del análisis de riesgos ya está hecho.

📌 Conclusión

El Registro Nacional de Bancos de Datos Personales será, en pocos meses, el documento que defina si una empresa chilena cumple o no con la Ley 21.719. La inscripción no es un mero trámite administrativo: es la radiografía pública de cómo tratas la información de personas, y será la primera referencia que consultarán clientes, autoridades y eventuales reclamantes. Empresas que arranquen tarde se enfrentarán a un cuello de botella documental, multas y desventajas comerciales evitables.

Quienes anticipen el proceso, en cambio, llegarán al cierre de 2026 con un inventario claro, contratos de encarguía actualizados y un Registro vigente que les abrirá puertas en lugar de cerrarlas.

🚀 ¿Necesitas preparar la inscripción de tus bancos de datos?

En FideliNorm acompañamos a empresas chilenas en el levantamiento del inventario, la definición de bases de licitud y la inscripción ante la Agencia de Protección de Datos Personales. Si quieres llegar a la entrada en vigor de la Ley 21.719 con tus bancos correctamente declarados y tu cumplimiento documentado, conversemos.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →