Ley 21.719 vs GDPR: Diferencias Clave para Empresas
Comparación detallada entre la ley chilena de protección de datos (Ley 21.719) y el GDPR europeo. Multas, derechos, consentimiento y obligaciones para empresas que operan en ambos mercados.
Equipo StrixSoft
Especialistas en Software, IA y Ciberseguridad
La Ley 21.719 de Chile y el Reglamento General de Protección de Datos (GDPR) europeo comparten el objetivo de proteger los datos personales, pero presentan diferencias significativas en alcance, sanciones, derechos y obligaciones. Para empresas que operan en ambos mercados —o que aspiran a hacerlo— entender estas diferencias es fundamental para diseñar un programa de compliance eficiente.
Panorama general
El GDPR entró en vigencia en mayo de 2018 y se ha convertido en el estándar global de referencia en protección de datos. La Ley 21.719, publicada en diciembre de 2024 con vigencia plena el 1 de diciembre de 2026, se inspiró significativamente en el modelo europeo pero incorpora particularidades adaptadas a la realidad chilena. Ambas normas representan un cambio radical respecto a las leyes previas de sus respectivos territorios.
Comparativa general
| Aspecto | Ley 21.719 (Chile) | GDPR (Europa) |
|---|---|---|
| Vigencia | Diciembre 2026 | Mayo 2018 |
| Autoridad de control | Agencia de Protección de Datos Personales | Autoridades nacionales de cada país UE |
| Multa máxima | 20.000 UTM (~$1.400M CLP) | €20M o 4% ingresos globales |
| Multa por reincidencia | Hasta 4% ingresos anuales | Incluido en multa máxima |
| Derechos del titular | ARCO + Portabilidad + Bloqueo | ARCO + Portabilidad + Limitación |
| Plazo de respuesta | 30 días corridos (prorrogable 30 días) | 1 mes (prorrogable 2 meses) |
| DPO obligatorio | No (voluntario, Art. 50) | Sí, en ciertos casos (Art. 37 GDPR) |
| Notificación de brecha | Sí, a la Agencia | Sí, 72 horas a la autoridad |
| Transferencia internacional | Requiere nivel adecuado o garantías | Requiere decisión de adecuación o garantías |
Diferencias clave en detalle
1. Sanciones y multas
El GDPR establece multas de hasta €20 millones o el 4% de los ingresos anuales globales (lo que sea mayor) desde el primer incumplimiento. La Ley 21.719 escala las multas según gravedad: leves (5.000 UTM), graves (10.000 UTM) y gravísimas (20.000 UTM). Solo aplica el porcentaje de ingresos (2% para graves, 4% para gravísimas) en caso de reincidencia de empresas no-PYME. Esto hace que el régimen chileno sea inicialmente menos severo, pero igualmente significativo para empresas grandes reincidentes.
2. Delegado de Protección de Datos (DPO)
El GDPR obliga a designar un DPO cuando la organización realiza tratamiento a gran escala de datos sensibles o monitoreo sistemático (Art. 37). La Ley 21.719 establece la figura del Delegado como voluntaria (Art. 50), aunque es un requisito del Modelo de Prevención de Infracciones (Art. 49). En la práctica, cualquier empresa chilena que quiera el beneficio del modelo de prevención como atenuante necesitará designar un delegado.
3. Consentimiento
Ambas leyes exigen consentimiento libre, específico, informado e inequívoco. La diferencia está en la granularidad: el GDPR prohíbe expresamente condicionar un servicio al consentimiento para tratamientos no necesarios (Art. 7.4). La Ley 21.719 establece requisitos similares pero con menor jurisprudencia interpretativa al ser una norma nueva.
4. Bases de licitud del tratamiento
El GDPR define 6 bases de licitud (Art. 6): consentimiento, ejecución de contrato, obligación legal, interés vital, interés público e interés legítimo. La Ley 21.719 contempla bases similares en los Artículos 12 al 16: consentimiento, ejecución contractual, interés legítimo del responsable, tratamiento por organismos públicos y fuentes de acceso público. El interés legítimo en Chile tiene condiciones más estrictas de documentación.
5. Notificación de brechas de seguridad
El GDPR exige notificar a la autoridad de control dentro de las 72 horas de tener conocimiento de una brecha que ponga en riesgo los derechos de las personas (Art. 33). La Ley 21.719 establece la obligación de comunicar las vulneraciones que afecten datos personales a la Agencia y a los titulares afectados, pero el reglamento aún debe definir plazos específicos.
6. Transferencias internacionales de datos
Ambas normas restringen las transferencias de datos personales fuera de su territorio. El GDPR usa decisiones de adecuación, cláusulas contractuales tipo y normas corporativas vinculantes (BCR). La Ley 21.719 permite transferencias a países con nivel adecuado de protección, cláusulas contractuales autorizadas por la Agencia, o consentimiento expreso del titular. Chile aún no tiene lista de países con nivel adecuado.
7. Modelo de prevención de infracciones
Esta es una innovación de la Ley 21.719 sin equivalente directo en el GDPR. El Art. 49 permite a las empresas adoptar un programa de cumplimiento certificable por la Agencia que funciona como atenuante de responsabilidad. El GDPR no tiene un mecanismo de certificación equivalente que reduzca sanciones directamente, aunque contempla códigos de conducta y certificaciones (Arts. 40-43) como elementos a considerar.
Similitudes importantes
- Ambas aplican a organizaciones fuera del territorio que traten datos de residentes locales (aplicación extraterritorial)
- Ambas requieren evaluaciones de impacto para tratamientos de alto riesgo
- Ambas exigen medidas de seguridad técnicas y organizativas apropiadas
- Ambas reconocen el derecho a la portabilidad de datos
- Ambas establecen categorías especiales de datos sensibles con protección reforzada
¿Qué deben hacer las empresas que operan en ambos mercados?
Cumplir con el GDPR primero. Si ya cumples con el GDPR, cumplir con la Ley 21.719 requerirá ajustes menores, no una reestructuración completa. El estándar europeo es generalmente más estricto.
Unificar políticas de privacidad. Mantener una política base que cumpla con ambas normativas, con secciones específicas para cada jurisdicción cuando sea necesario.
Documentar bases de licitud por jurisdicción. El tratamiento de datos en Chile puede basarse en una base de licitud diferente a la usada para los mismos datos en Europa.
Implementar el modelo de prevención chileno. Es una oportunidad única de obtener un atenuante de responsabilidad que el GDPR no ofrece directamente.
En StrixSoft ayudamos a empresas a navegar el cumplimiento de ambas normativas. Nuestro equipo combina conocimiento técnico en ciberseguridad con expertise en la Ley 21.719 y el GDPR para diseñar programas de compliance eficientes y sostenibles. Consulta con nuestros especialistas para evaluar tu situación actual.