Compliance14 Mar 20268 min de lectura

Transferencia Internacional de Datos: Reglas bajo la Ley 21.719

¿Tu empresa envía datos personales fuera de Chile? La Ley 21.719 establece requisitos estrictos para transferencias internacionales. Conoce los mecanismos permitidos y cómo cumplir.

SS

Equipo StrixSoft

Especialistas en Software, IA y Ciberseguridad

En un mundo donde los servicios cloud, las plataformas SaaS y las operaciones multinacionales son la norma, la transferencia de datos personales fuera de las fronteras de Chile es una realidad cotidiana para la mayoría de las empresas. La Ley 21.719 regula específicamente estas transferencias y establece mecanismos que las organizaciones deben cumplir para enviar datos personales al extranjero de forma lícita.

¿Qué se considera transferencia internacional de datos?

Cualquier comunicación, transmisión o envío de datos personales desde Chile hacia un destinatario ubicado en otro país constituye una transferencia internacional. Esto incluye escenarios que muchas empresas no consideran como transferencias pero que legalmente lo son:

  • Alojar datos en servidores de AWS, Google Cloud o Azure ubicados fuera de Chile
  • Usar un CRM como Salesforce o HubSpot con servidores en Estados Unidos
  • Enviar bases de datos de clientes a una casa matriz ubicada en otro país
  • Compartir datos de empleados con un proveedor de nóminas internacional
  • Utilizar servicios de email marketing como Mailchimp o SendGrid con procesamiento fuera de Chile
  • Contratar soporte técnico remoto donde el proveedor accede a datos desde otro país

Los 3 mecanismos de transferencia permitidos

1. Decisión de adecuación

La Agencia de Protección de Datos Personales publicará y mantendrá una lista de países que cuentan con un nivel adecuado de protección de datos — es decir, estándares similares o superiores a los de la ley chilena. Las transferencias a estos países están permitidas sin requisitos adicionales.

Se espera que países con legislaciones robustas como los miembros de la Unión Europea, Reino Unido, Canadá y Uruguay sean declarados adecuados. Sin embargo, la lista oficial será establecida por la Agencia una vez que inicie sus operaciones.

Estados Unidos no tiene una ley federal integral de protección de datos, por lo que su estatus de adecuación es incierto y dependerá de la evaluación caso a caso o de mecanismos sectoriales.

2. Garantías contractuales

Cuando el país de destino no figure en la lista de adecuación, las transferencias pueden realizarse mediante instrumentos legales que proporcionen garantías apropiadas:

  • Cláusulas contractuales tipo (CCT): Cláusulas estandarizadas aprobadas por la Agencia que se incorporan al contrato entre el emisor y el receptor de los datos. Funcionan de manera similar a las Standard Contractual Clauses (SCCs) del GDPR
  • Normas corporativas vinculantes (BCR): Para grupos empresariales multinacionales que transfieren datos internamente. Son reglas internas vinculantes aprobadas por la Agencia que garantizan un nivel uniforme de protección en toda la organización
  • Otros instrumentos legales: Cualquier acuerdo que demuestre garantías suficientes de protección, siempre que sea verificable por la Agencia

3. Modelos de cumplimiento certificados

Certificaciones o sellos reconocidos que acrediten que el receptor cumple con estándares de protección adecuados. Esto incluye certificaciones de compliance y modelos de prevención de infracciones equivalentes.

Excepciones: cuándo puedes transferir sin garantías formales

La ley establece situaciones donde la transferencia está permitida sin necesidad de adecuación ni cláusulas contractuales:

  • Consentimiento expreso e informado: El titular autoriza la transferencia después de ser informado de que el país de destino puede no tener protección adecuada y de los riesgos que ello implica
  • Ejecución de un contrato: La transferencia es necesaria para cumplir un contrato entre el titular y el responsable (por ejemplo, un pasajero cuyos datos se envían a la aerolínea del país de destino)
  • Obligaciones bancarias y financieras: Transferencias requeridas por la legislación bancaria chilena
  • Tratados internacionales: Cuando un tratado ratificado por Chile lo exija
  • Cooperación entre organismos públicos en el ejercicio de sus funciones
  • Razones médicas o sanitarias urgentes: Protección de la vida o salud del titular

Impacto práctico: la nube y los servicios SaaS

El mayor desafío para las empresas chilenas será regularizar las transferencias asociadas a servicios cloud y SaaS. Prácticamente toda empresa moderna utiliza al menos uno de estos servicios, y en muchos casos los datos se procesan en servidores fuera de Chile.

Pasos concretos para regularizar tu uso de cloud

1. Inventario de flujos transfronterizos:

Identifica todos los servicios y proveedores que procesan datos personales fuera de Chile. Incluye no solo los servicios contratados directamente sino también los subprocesadores (por ejemplo, un proveedor SaaS que a su vez usa AWS).

2. Clasificación por mecanismo:

Para cada flujo, determina qué mecanismo de transferencia aplica: adecuación (si el país está en la lista), cláusulas contractuales (la mayoría de los casos) o consentimiento del titular.

3. Actualización de contratos:

Revisa los términos de servicio y acuerdos de procesamiento de datos (DPA) de tus proveedores cloud. Verifica que incluyan cláusulas de protección equivalentes a las exigidas por la ley chilena. Si no las tienen, solicita adendas o evalúa alternativas.

4. Evaluación de riesgos:

Para cada transferencia, documenta los riesgos y las medidas de mitigación. Considera factores como el tipo de datos transferidos, el marco legal del país de destino y las medidas de seguridad del receptor.

5. Transparencia con los titulares:

Tu política de privacidad debe informar claramente que los datos se transfieren al extranjero, a qué países, con qué finalidad y bajo qué mecanismo de protección.

Sanciones por transferencias no autorizadas

Las transferencias internacionales de datos personales realizadas sin cumplir los mecanismos establecidos por la ley constituyen infracciones graves o gravísimas, dependiendo del tipo de datos y la intencionalidad:

EscenarioClasificaciónMulta máxima
Transferencia sin mecanismo válidoGrave10.000 UTM (~$700M CLP)
Transferencia de datos sensibles sin autorizaciónGravísima20.000 UTM (~$1.400M CLP)
Reincidencia (empresas no pymes)Gravísima agravadaHasta 4% ingresos anuales

Checklist de cumplimiento para transferencias internacionales

  • Inventario completo de transferencias internacionales de datos personales
  • Identificación del mecanismo legal aplicable a cada transferencia
  • Contratos actualizados con cláusulas de protección de datos para cada receptor extranjero
  • Evaluación de riesgos documentada para cada flujo transfronterizo
  • Política de privacidad actualizada con información sobre transferencias internacionales
  • Procedimiento para obtener consentimiento informado cuando sea la base de la transferencia
  • Registro actualizado de subprocesadores internacionales y sus ubicaciones

En StrixSoft ayudamos a empresas a mapear sus flujos de datos transfronterizos, evaluar riesgos y diseñar la estrategia de cumplimiento para transferencias internacionales. Si tu empresa usa servicios cloud o tiene proveedores internacionales, contáctanos para una evaluación inicial sin costo.

¿Necesitas ayuda con este tema?

Nuestro equipo está listo para asesorarte. Agenda una reunión gratuita.

Artículos relacionados

Ethical Hacking5 min

Ethical Hacking en Chile: Por qué tu empresa lo necesita

Desarrollo Software8 min

Software a Medida vs Enlatado: Guía para CEOs

Pentesting7 min

Pentesting Web: 10 vulnerabilidades comunes en Chile