Volver al blog
Ley 21.719transferencia internacional datosdatos personalesChilecumplimientocloud

Transferencia internacional de datos: cuándo es legal sacar datos de Chile

Requisitos de la Ley 21.719 para transferir datos personales fuera de Chile: países con nivel adecuado, consentimiento, cláusulas contractuales tipo, normas corporativas vinculantes y excepciones tasadas.

Equipo FideliNorm
Transferencia internacional de datos: cuándo es legal sacar datos de Chile

Cada vez que una empresa chilena usa Google Workspace, Microsoft 365, Salesforce, AWS, HubSpot, Slack o cualquier SaaS global, está transfiriendo datos personales fuera de Chile. Lo mismo cuando comparte una planilla con su matriz en Madrid, cuando contrata un call center en Lima o cuando externaliza desarrollo en India. La Ley 21.719 de Protección de Datos Personales ya no permite tratar estas transferencias como un detalle técnico: las regula expresamente y exige que cada flujo internacional esté amparado en una base legal específica. Esta guía explica cuándo es legal sacar datos de Chile, qué mecanismos habilitan la transferencia y cómo prepararse para fiscalizaciones de la nueva Agencia de Protección de Datos Personales.

🌎 Qué es una transferencia internacional de datos

Una transferencia internacional ocurre cuando datos personales recolectados en Chile se ponen a disposición de un destinatario ubicado en otro país, ya sea para que los procese, los almacene o simplemente los consulte. Incluye situaciones tan distintas como:

  • Almacenar archivos en un servicio cloud cuyo data center está en Estados Unidos, Brasil o Europa.
  • Compartir bases de clientes con la casa matriz en otro país.
  • Tercerizar soporte técnico, contabilidad o desarrollo en empresas extranjeras.
  • Usar plataformas SaaS globales (CRM, ERP, marketing automation).
  • Permitir el acceso remoto desde el extranjero a sistemas alojados en Chile.

En todos los casos, el responsable chileno sigue siendo responsable frente al titular: trasladar el dato no traslada la responsabilidad.

🧩 La regla general bajo la Ley 21.719

La Ley 21.719 adopta un esquema similar al del GDPR europeo: la transferencia internacional está permitida cuando el país de destino otorga un nivel adecuado de protección, o cuando, no existiendo esa adecuación, el responsable acredita garantías suficientes mediante mecanismos específicos.

En orden jerárquico, las vías habilitantes son:

  1. Países con nivel adecuado de protección, declarados por la Agencia de Protección de Datos Personales (APDP).
  2. Mecanismos de garantía previamente reconocidos: cláusulas contractuales tipo, normas corporativas vinculantes y certificaciones.
  3. Excepciones tasadas: consentimiento expreso, ejecución de contrato, interés vital, intereses públicos.

Si tu empresa no logra encajar la transferencia en alguna de estas vías, simplemente no puede ejecutarla legalmente.

✅ Países con nivel adecuado de protección

La APDP publicará un listado de países (y, en su caso, sectores u organizaciones internacionales) que ofrecen un nivel de protección comparable al chileno. Hacia estos destinos, las transferencias serán libres, sin necesidad de mecanismo adicional.

El criterio que se espera aplique la APDP combina:

  • Existencia de una ley general de protección de datos equivalente.
  • Una autoridad de control independiente con facultades efectivas.
  • Recursos judiciales disponibles para los titulares.
  • Compromisos internacionales suscritos por el país de destino.

Es razonable anticipar que los países de la Unión Europea, el Reino Unido, Suiza, Argentina, Uruguay y eventualmente Brasil queden en la lista de adecuación. Estados Unidos es un caso complejo: el GDPR lo trata como tercer país y exige mecanismos adicionales para la mayoría de los flujos. La APDP probablemente adopte un criterio similar.

📑 Mecanismos de garantía cuando no hay adecuación

Cuando el destino no cuenta con declaración de adecuación, la transferencia es posible si el responsable adopta garantías suficientes. Los mecanismos más relevantes son:

1. Cláusulas contractuales tipo (CCT)

Son modelos de contrato que la APDP aprueba y publica, y que las partes incorporan tal cual a su acuerdo de transferencia. Replican la lógica de las Standard Contractual Clauses europeas: imponen al importador (destinatario en el extranjero) obligaciones equivalentes a las que la ley chilena exige al exportador.

Las CCT son la vía más común y práctica para transferencias hacia países sin adecuación. Pueden complementarse con medidas suplementarias (cifrado en tránsito y en reposo, seudonimización, control de accesos) cuando el análisis de riesgo lo recomiende.

2. Normas corporativas vinculantes (BCR)

Conocidas internacionalmente como Binding Corporate Rules, las BCR son políticas internas de un grupo empresarial multinacional que regulan las transferencias intra-grupo. Para ser válidas, deben ser aprobadas previamente por la APDP y aplicarse de manera obligatoria a todas las entidades del grupo.

Son adecuadas para grupos económicos con varias filiales que mueven datos entre matriz y subsidiarias en distintos países. Su aprobación es exigente, pero una vez obtenidas, simplifican enormemente la operativa.

3. Códigos de conducta y certificaciones

La ley contempla la posibilidad de que asociaciones gremiales o sectoriales elaboren códigos de conducta que la APDP apruebe, o que existan certificaciones específicas (similares a EuroPriSe en Europa). Estos mecanismos son aún incipientes, pero pueden ganar peso a medida que el ecosistema madure.

🪪 Excepciones para transferencias puntuales

Cuando no hay adecuación ni mecanismo de garantía aplicable, la Ley 21.719 contempla excepciones tasadas que permiten la transferencia en casos específicos:

  • Consentimiento expreso, libre, informado y específico del titular para esa transferencia, habiendo sido informado de los riesgos.
  • Ejecución de un contrato entre el titular y el responsable, o de medidas precontractuales adoptadas a solicitud del titular.
  • Celebración o ejecución de un contrato en interés del titular entre el responsable y un tercero.
  • Interés público importante reconocido por la legislación chilena.
  • Ejercicio o defensa de reclamaciones legales.
  • Interés vital del titular o de terceros, cuando éste se encuentre física o jurídicamente impedido de prestar consentimiento.
  • Datos extraídos de registros públicos abiertos a consulta.

Estas excepciones son de interpretación restrictiva: están pensadas para situaciones puntuales, no para amparar flujos masivos y permanentes. Apoyar todo el funcionamiento de un CRM global en el "consentimiento" del titular es, en la práctica, un mecanismo frágil que puede caerse ante una fiscalización.

⚠️ Obligaciones adicionales del responsable

Independiente de la vía habilitante, el responsable que transfiere datos al exterior debe:

  • Informar al titular que sus datos pueden ser transferidos a otros países, identificando los destinos o categorías de destinos cuando sea posible.
  • Documentar la base legal de cada transferencia (adecuación, mecanismo, excepción) y conservar la evidencia.
  • Evaluar el riesgo de la transferencia, especialmente cuando el destino tiene legislación de seguridad nacional intrusiva (caso típico: Estados Unidos).
  • Asegurar que el encargado o destinatario asume obligaciones equivalentes mediante el correspondiente contrato de encarguía.
  • Notificar a la APDP los casos en que el reglamento así lo establezca.

🛠️ Cómo abordar el cumplimiento en la práctica

  1. Mapea tus flujos internacionales. Levanta un inventario de qué datos salen de Chile, hacia dónde, por qué medio y con qué finalidad. Casi siempre es más amplio de lo que se cree: el cloud, los SaaS, el correo corporativo, el soporte 24/7, la matriz extranjera, las herramientas de analítica.
  2. Clasifica el destino. Para cada flujo, identifica si el país tiene adecuación, si necesitas CCT, BCR u otra garantía, o si solo te ampara una excepción puntual.
  3. Negocia o adopta CCT. Para los proveedores SaaS globales, exige el adendum de transferencia internacional. La mayoría ya tiene plantillas alineadas con GDPR; conviene complementarlas con un addendum chileno cuando la APDP publique sus modelos.
  4. Aplica medidas suplementarias cuando el riesgo lo amerite: cifrado fuerte, seudonimización, segregación de datos especialmente sensibles.
  5. Actualiza tu política de privacidad y los avisos de captura para informar las transferencias internacionales y sus destinos.
  6. Documenta todo. La trazabilidad es tu defensa frente a una fiscalización.

💸 Riesgos de transferir mal

Las transferencias internacionales son uno de los focos más sensibles del régimen sancionatorio. Los riesgos van desde:

  • Multas de hasta 20.000 UTM por infracciones gravísimas.
  • Órdenes de suspensión de la transferencia, lo que puede dejar inoperativos servicios críticos (un correo corporativo, un ERP) hasta regularizar.
  • Reclamos colectivos de titulares, especialmente cuando el destino sufre una brecha conocida.
  • Pérdida de contratos con clientes corporativos europeos, que exigen garantías equivalentes a GDPR.

Para empresas que dependen de proveedores cloud globales, gestionar bien las transferencias internacionales no es un tema legal accesorio: es continuidad operacional.

💡 Recomendaciones finales

  • Empieza por el cloud. El 80% del volumen de transferencias suele concentrarse en tres o cuatro proveedores grandes.
  • Aprovecha los esquemas internacionales existentes. Si tu proveedor ya cumple GDPR, parte del trabajo está hecho; solo necesitas adaptación a la realidad chilena.
  • Integra el control con tu SGSI. Si tu organización ya cuenta con ISO 27001, las transferencias internacionales deberían formar parte del análisis de riesgos.
  • No dependas exclusivamente del consentimiento. Es la base más débil para flujos permanentes; el titular puede revocarlo en cualquier momento.
  • Anticipa la lista de adecuación. Diseña tu arquitectura priorizando proveedores con presencia regional o en países que probablemente sean declarados adecuados.

📌 Conclusión

La Ley 21.719 convierte a las transferencias internacionales de datos personales en un punto crítico de cumplimiento. La regla es clara: solo se puede sacar datos de Chile cuando existe adecuación, mecanismo de garantía o excepción tasada, y siempre con el titular debidamente informado y el responsable documentando la base legal de la operación.

Para empresas chilenas que operan con cloud, SaaS y proveedores globales, este es probablemente el frente más complejo del nuevo régimen. Empezar a mapearlo hoy, renegociar contratos y adoptar cláusulas contractuales tipo es la forma más eficaz de llegar al cierre de 2026 sin sustos, sin servicios críticos paralizados y sin multas evitables.

🚀 ¿Tu empresa transfiere datos al extranjero sin un marco claro?

En FideliNorm ayudamos a mapear flujos internacionales, identificar el mecanismo de garantía adecuado y negociar las cláusulas con proveedores globales. Si tu organización depende de cloud o SaaS internacional y necesita asegurar el cumplimiento de la Ley 21.719, conversemos.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →