Se crea la Agencia de Protección de Datos Personales como autoridad autónoma, con facultades que antes simplemente no existían en Chile:

• Fiscalización — Puede iniciar investigaciones de oficio o por reclamo de un titular, requerir información, acceder a instalaciones y sistemas, y exigir la entrega de documentos y evidencia.

• Sanción — Puede aplicar multas graduadas según la gravedad de la infracción (leves, graves y gravísimas), con un techo de 20.000 UTM para las más graves. Puede imponer medidas correctivas, como la suspensión del tratamiento de datos.

• Interpretación normativa — Puede emitir instrucciones generales y criterios de aplicación que orientan el cumplimiento, similar al rol que juegan las autoridades de protección de datos en Europa.

Esto cambia fundamentalmente la dinámica. Bajo la Ley 19.628, un titular que quería hacer valer sus derechos debía acudir a tribunales civiles, un camino lento y costoso. Ahora tiene un canal directo de reclamo ante la Agencia, que puede investigar y sancionar en plazos acotados.

La ley fortalece los derechos existentes y agrega nuevos:

• Acceso — El titular puede solicitar saber qué datos tiene la organización sobre él, con qué finalidad los trata, a quién los ha comunicado y por cuánto tiempo los conservará.

• Rectificación — Corrección de datos inexactos o incompletos.

• Supresión (cancelación) — Eliminación de datos cuando ya no son necesarios para la finalidad original, cuando se revoca el consentimiento o cuando el tratamiento fue ilícito.

• Oposición — El titular puede oponerse al tratamiento en determinadas circunstancias, incluyendo marketing directo.

• Portabilidad — Derecho nuevo. El titular puede solicitar que sus datos se entreguen en un formato estructurado, de uso común y lectura mecánica, para trasladarlos a otro responsable. Esto tiene impacto directo en sectores como banca, telecomunicaciones y servicios digitales.

• Decisiones automatizadas — Derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos significativos, con derecho a solicitar intervención humana.

El plazo para responder solicitudes es de 30 días hábiles, y la organización debe mantener trazabilidad completa de cada solicitud recibida, la verificación de identidad, la respuesta entregada y la evidencia de cumplimiento.

Este es el cambio más profundo. La ley no se conforma con que la organización tenga documentos; exige que pueda demostrar que cumple en la práctica. Esto implica:

Registro de actividades de tratamiento. Obligación de mantener un inventario actualizado con las finalidades, categorías de datos, destinatarios, plazos de retención, bases legales y transferencias internacionales de cada tratamiento.

Políticas y procedimientos operativos. No basta con tener una política de privacidad en el sitio web. Se requieren procedimientos internos documentados para la gestión del consentimiento, la atención de derechos, la evaluación de encargados, la respuesta a vulneraciones, la retención y eliminación de datos.

Evaluación de impacto en privacidad (EIPD). Para tratamientos de alto riesgo — perfilamiento masivo, datos sensibles a gran escala, uso de nuevas tecnologías, vigilancia sistemática — se debe realizar una evaluación formal que identifique riesgos y defina medidas de mitigación antes de iniciar el tratamiento.

Privacy by Design y Privacy by Default. La privacidad debe integrarse desde el diseño de procesos, sistemas y productos. Las configuraciones por defecto deben minimizar el tratamiento de datos. Esto afecta directamente a equipos de desarrollo, arquitectura de sistemas y gestión de proyectos.

Modelo preventivo de infracciones. La ley contempla (Art. 49) que las organizaciones que implementen un programa de cumplimiento serio — con controles, auditorías, capacitación y evidencia de mejora continua — pueden acceder a atenuantes en caso de sanción. Esto es un incentivo directo para invertir en cumplimiento real.

La ley establece tres niveles de infracción con sanciones progresivas:

Infracciones leves — Incumplimientos formales o menores. Ejemplo: no tener actualizado el aviso de privacidad, demoras en responder solicitudes de derechos sin mala fe.

Infracciones graves — Incumplimientos sustantivos. Ejemplo: tratar datos sin base de licitud válida, no notificar vulneraciones a la Agencia, no tener contratos con encargados.

Infracciones gravísimas — Las más serias. Ejemplo: tratar datos sensibles sin consentimiento expreso, obstruir la fiscalización de la Agencia, transferir datos internacionalmente sin garantías adecuadas, reincidencia en infracciones graves. Multas hasta 20.000 UTM.

Además de las multas, la Agencia puede imponer medidas correctivas como la suspensión temporal del tratamiento de datos, lo que para algunas organizaciones puede ser más dañino que la multa misma.

Dueño del programa. La protección de datos necesita un responsable con nombre, apellido, autoridad y presupuesto. No puede ser "un tema de todos" porque en la práctica termina siendo tema de nadie. La ley contempla la figura del Delegado de Protección de Datos (equivalente al DPO europeo), que debe tener independencia funcional y reporte directo a la alta dirección. En organizaciones grandes, esto puede ser un cargo dedicado; en organizaciones medianas o pequeñas, puede ser una función asignada a alguien con el perfil adecuado, pero siempre con designación formal y funciones documentadas.

Comité de privacidad. Un espacio multidisciplinario donde se toman decisiones sobre tratamiento de datos. Debe incluir representantes de las áreas que efectivamente tratan datos: legal, TI, recursos humanos, comercial, marketing, operaciones, compliance. No es un comité decorativo; debe sesionar con frecuencia definida, producir actas, registrar acuerdos y hacer seguimiento de compromisos. La Agencia va a preguntar no solo si existe, sino cuántas veces sesionó, qué decidió y qué evidencia tiene de que esas decisiones se implementaron.

Reporte ejecutivo. El directorio y la gerencia general deben recibir información periódica sobre el estado del programa de protección de datos: avance de implementación, brechas identificadas, incidentes reportados, solicitudes de derechos recibidas, resultados de auditorías internas. Esto no es opcional; es parte de la gobernanza corporativa bajo el nuevo marco. Un directorio que no puede demostrar que fue informado sobre riesgos de datos personales tiene un problema de gobierno corporativo.

Presupuesto asignado. El programa necesita recursos: herramientas, asesoría, capacitación, personal, auditorías. Si no hay presupuesto formal aprobado, el programa no existe en la práctica. La Agencia evaluará si los medios asignados son proporcionales al volumen y riesgo del tratamiento de datos de la organización.

Registro de actividades de tratamiento. Este es probablemente el entregable más importante y el que más organizaciones no tienen. La ley exige un registro actualizado que detalle, para cada actividad de tratamiento: qué datos personales se recolectan, de quién, con qué finalidad, bajo qué base de licitud, dónde se almacenan, quién tiene acceso, con quién se comparten (internamente y con terceros), si se transfieren fuera de Chile, cuánto tiempo se retienen y cuándo se eliminan. Para una organización mediana con múltiples líneas de negocio, este registro puede tener decenas o cientos de entradas.

Inventario de bases de datos. Un catálogo de todos los repositorios donde existen datos personales: sistemas de gestión (ERP, CRM, HRM), bases de datos propias, archivos compartidos, hojas de cálculo, correos electrónicos, plataformas en la nube, sistemas de terceros, respaldos, archivos físicos. La realidad de muchas organizaciones chilenas es que los datos personales están dispersos en lugares que nadie ha mapeado formalmente: un Excel que maneja el área comercial, una base en Google Sheets que usa marketing, un sistema legacy que nadie ha auditado, datos en la nube personal de algún ejecutivo.

Clasificación de datos. No todos los datos personales tienen el mismo nivel de riesgo. La ley distingue entre datos generales y datos sensibles (salud, biometría, orientación sexual, origen étnico, datos de menores, entre otros). Los datos sensibles tienen un régimen reforzado que exige consentimiento expreso y medidas de seguridad adicionales. La organización debe saber exactamente qué datos sensibles tiene, dónde están y quién accede a ellos.

Mapeo de flujos. No basta con saber qué datos tienes; necesitas saber cómo se mueven. Un diagrama de flujo que muestre el ciclo de vida completo: desde la recolección (formulario web, contrato, sistema de RR.HH.) hasta la eliminación o anonimización, pasando por el procesamiento, almacenamiento, uso interno, compartición con terceros y, eventualmente, transferencia internacional. Esto permite identificar puntos de riesgo que no son visibles sin el mapeo.

Política de retención y eliminación. Cada tipo de dato debe tener un plazo de retención definido y justificado por la finalidad del tratamiento. Cuando el dato ya no es necesario, debe eliminarse o anonimizarse. La realidad es que la mayoría de las organizaciones nunca eliminan nada: acumulan datos indefinidamente "por si acaso". Bajo la Ley 21.719, retener datos sin justificación es un incumplimiento.

Fundamentación legal de cada tratamiento. Todo tratamiento de datos personales necesita una base legal que lo justifique. La ley establece varias: consentimiento del titular, ejecución de un contrato, cumplimiento de una obligación legal, protección de intereses vitales, interés legítimo del responsable (con restricciones). La organización debe documentar, para cada actividad del registro de tratamientos, cuál es la base de licitud aplicable. Un tratamiento sin base legal válida es ilícito, sin importar que se haya hecho "siempre así".

Gestión de consentimiento. Cuando la base de licitud es el consentimiento, este debe ser libre, informado, específico e inequívoco. La organización necesita un proceso que cubra el ciclo completo: cómo se obtiene (formulario, checkbox, declaración verbal), cómo se registra (con timestamp y evidencia), cómo se gestiona su vigencia, cómo se permite la revocación y cómo se prueba ante la Agencia que el consentimiento fue válidamente otorgado. Los consentimientos genéricos tipo "acepto los términos y condiciones" probablemente no cumplan el estándar de la nueva ley.

Consentimiento reforzado para datos sensibles. Si la organización trata datos sensibles — y la mayoría lo hace, aunque sea datos de salud en licencias médicas o datos biométricos en control de acceso — el consentimiento debe ser expreso, específico e informado. Esto significa un acto afirmativo del titular para ese tratamiento en particular, no un consentimiento genérico.

Avisos de privacidad. Cada punto de recolección de datos necesita un aviso claro, accesible y completo que informe al titular: quién es el responsable del tratamiento, qué datos se recolectan, con qué finalidad, cuál es la base legal, a quién se comunican, si se transfieren internacionalmente, cuánto tiempo se retienen y cómo ejercer sus derechos. Los avisos deben revisarse para cada canal: sitio web, aplicación móvil, formularios físicos, contratos laborales, procesos de onboarding de clientes.

Proceso documentado para solicitudes ARCO+. La organización necesita un procedimiento formal que cubra todo el ciclo: recepción de la solicitud (con canal definido y accesible), verificación de identidad del titular, evaluación del alcance de la solicitud, ejecución de la acción solicitada (acceso, rectificación, supresión, oposición, portabilidad), respuesta al titular dentro del plazo legal de 30 días hábiles, y registro de toda la trazabilidad.

Capacidad técnica para responder. No basta con tener el procedimiento; la organización debe poder ejecutarlo. Si un titular solicita acceso a todos sus datos, ¿puede la organización localizarlos en todos sus sistemas y entregarlos en un formato comprensible? Si solicita supresión, ¿puede eliminarlos de todas las bases de datos, incluyendo respaldos y sistemas de terceros? Si solicita portabilidad, ¿puede exportarlos en un formato estructurado y de lectura mecánica? Para muchas organizaciones, responder técnicamente a estas solicitudes requiere trabajo previo significativo de integración de sistemas.

Registro y métricas. Cada solicitud debe quedar registrada con fecha de recepción, tipo de derecho ejercido, acciones realizadas, fecha de respuesta y resultado. La Agencia va a evaluar no solo si la organización responde, sino si responde dentro del plazo, de forma completa y con trazabilidad.

Contratos con todos los encargados de tratamiento. Cada proveedor que trate datos personales por cuenta de la organización necesita un contrato que incluya: instrucciones documentadas sobre el tratamiento permitido, obligaciones de seguridad, restricciones sobre subencargo, obligaciones de notificación ante vulneraciones, derechos de auditoría del responsable, condiciones de devolución o eliminación de datos al término del servicio. Los contratos existentes probablemente no incluyen estas cláusulas y deben ser actualizados.

Due diligence precontractual. Antes de contratar a un encargado, la organización debe evaluar si tiene las capacidades de seguridad y cumplimiento adecuadas. No se trata de un checklist superficial; se trata de verificar que el proveedor puede cumplir efectivamente con las obligaciones que la ley impone al encargado.

Control de subencargados. Si el encargado subcontrata parte del tratamiento a un tercero (subencargado), esto debe estar autorizado por el responsable y sujeto a obligaciones equivalentes. La organización debe saber quiénes son los subencargados en su cadena de tratamiento.

Transferencias internacionales. Si los datos salen de Chile — almacenamiento en nube extranjera, procesamiento por casa matriz, proveedores offshore — se deben cumplir los requisitos de los Arts. 27-28: verificar si el país destinatario ofrece protección adecuada o, en su defecto, implementar garantías contractuales como cláusulas tipo o normas corporativas vinculantes.

Supervisión periódica. El contrato no es el final del proceso; es el inicio. La organización debe supervisar periódicamente que los encargados cumplen con sus obligaciones, mediante auditorías, reportes de cumplimiento o revisiones documentadas.

Medidas técnicas proporcionales al riesgo. Cifrado de datos en tránsito y en reposo, control de accesos basado en necesidad de conocer, registros de actividad (logs), segmentación de redes, gestión de vulnerabilidades, seudonimización donde sea factible. Las medidas deben ser proporcionales al volumen y sensibilidad de los datos tratados.

Medidas organizacionales. Políticas de escritorio limpio, gestión de accesos con revisión periódica de permisos, procedimientos de seguridad para trabajo remoto, clasificación de información, gestión de dispositivos móviles. La seguridad técnica sin cultura organizacional es insuficiente.

Privacy by Design y by Default. La privacidad debe integrarse desde el diseño de nuevos procesos, sistemas y productos. Las configuraciones por defecto deben minimizar el tratamiento de datos. Esto requiere que los equipos de desarrollo, arquitectura y gestión de proyectos incorporen la privacidad como requisito funcional, no como un parche posterior.

Procedimiento de respuesta a vulneraciones. Documentado, probado y con roles asignados antes de que ocurra un incidente. Debe cubrir: detección, contención, evaluación de impacto, notificación a la Agencia dentro de plazos legales, comunicación a titulares cuando corresponda, registro de todo el proceso y lecciones aprendidas. Los simulacros periódicos son esenciales para validar que el procedimiento funciona en la práctica.

Evaluación de impacto en privacidad (EIPD). Para tratamientos de alto riesgo — perfilamiento masivo, datos sensibles a gran escala, nuevas tecnologías, videovigilancia, decisiones automatizadas — se requiere una evaluación formal documentada antes de iniciar el tratamiento.

Repositorio centralizado de evidencia. Toda la documentación del programa debe estar organizada, accesible y actualizada: políticas, procedimientos, registros de tratamiento, consentimientos, contratos con encargados, actas de comité, resultados de auditorías, registros de capacitación, reportes de incidentes, solicitudes ARCO atendidas. Si la Agencia solicita evidencia, la organización debe poder entregarla de forma ordenada y sin demora.

Programa de capacitación. Formación periódica en protección de datos para todo el personal, con contenido diferenciado por área: RR.HH. necesita entender la gestión de datos laborales, marketing necesita entender consentimiento y perfilamiento, TI necesita entender medidas técnicas y respuesta a incidentes. Con registro de asistencia y evaluación de comprensión.

Auditoría interna. Revisiones programadas del programa de protección de datos, con hallazgos documentados, planes de acción y seguimiento de cierre. La auditoría interna es la herramienta que demuestra que la organización no solo implementó controles, sino que verifica que funcionan y los mejora continuamente.

Indicadores y métricas. KPIs operativos que permitan medir el desempeño del programa: número de solicitudes ARCO recibidas y porcentaje respondido en plazo, incidentes de seguridad con datos personales, avance en capacitación, hallazgos de auditoría abiertos, contratos con encargados pendientes de actualización.

Revisión por la dirección. El directorio o la gerencia general debe revisar periódicamente el estado del programa con base en datos concretos y tomar decisiones documentadas sobre recursos, prioridades y ajustes. Esta revisión es evidencia directa de gobernanza efectiva ante la Agencia.