La APDP: Estructura, Competencias y Poderes de la Autoridad de Protección de Datos de Chile

Una ley de protección de datos sin una autoridad que la fiscalice es una ley sin dientes. La Ley 21.719 lo reconoció creando la Agencia de Protección de Datos Personales (APDP) — el organismo que, a partir del 1 de diciembre de 2026, ejercerá las competencias de regulación, fiscalización, sanción y educación en materia de protección de datos personales en Chile.

Para las organizaciones chilenas, entender qué es la APDP, cómo está estructurada, qué puede hacer y cuál es su relación con otras autoridades no es un ejercicio académico. Es la base para anticipar el entorno regulatorio en el que operarán cuando el reloj corra.

El contexto previo: el CPLT y la Ley 19.628

Antes de la Ley 21.719, la protección de datos personales en Chile se regía por la Ley 19.628 de 1999 — una norma que nunca tuvo una autoridad fiscalizadora dedicada con poderes sancionatorios reales.

El Consejo para la Transparencia (CPLT), creado por la Ley 20.285 de Acceso a la Información Pública, ejercía un rol limitado y marginal en materia de protección de datos: podía recibir reclamaciones de titulares, emitir recomendaciones y pronunciarse sobre casos específicos, pero no podía aplicar sanciones por tratamiento ilícito de datos personales. Sus resoluciones tenían valor orientador, no vinculante para los responsables de datos.

El resultado fue una protección de datos personales prácticamente sin enforcement durante 25 años. La Ley 21.719 cambia esta realidad estructuralmente: crea una autoridad especializada, con mandato claro, poderes sancionatorios reales y presupuesto propio.

El CPLT seguirá existiendo y ejerciendo sus competencias en materia de transparencia y acceso a la información pública — pero la protección de datos personales pasa a la APDP de forma plena.

Naturaleza jurídica: servicio público autónomo

La APDP es un servicio público autónomo con personalidad jurídica y patrimonio propios, vinculado al Ministerio de Economía, Fomento y Turismo a efectos presupuestarios y de coordinación con el Ejecutivo.

La autonomía técnica y decisoria es la característica definitoria: la APDP toma sus decisiones de regulación, fiscalización y sanción con independencia del Ejecutivo. Sus resoluciones en procesos sancionatorios no son revisables jerárquicamente por el Ministerio — solo por los tribunales de justicia.

Esta autonomía es el estándar internacional para las autoridades de protección de datos. Sin ella, sería difícil garantizar que el organismo fiscalice efectivamente a los propios organismos del Estado — uno de los vectores de mayor riesgo en cualquier sistema de protección de datos.

Estructura institucional

El Consejo Directivo

El órgano de gobierno de la APDP es el Consejo Directivo, integrado por tres miembros designados por el Presidente de la República, previo acuerdo del Senado. Los consejeros deben cumplir requisitos de idoneidad, conocimiento especializado y ausencia de conflictos de interés.

Los mandatos son fijos — los consejeros no pueden ser removidos libremente por el Ejecutivo durante su período, lo que garantiza independencia funcional. Los mandatos son escalonados para evitar la renovación simultánea de todos los cargos y asegurar continuidad institucional.

El Consejo Directivo toma las decisiones de mayor relevancia de la APDP: emisión de regulación secundaria, instrucciones generales, resoluciones sancionatorias definitivas y pronunciamientos sobre interpretación de la ley.

El Director Nacional

La gestión operativa de la APDP está a cargo del Director Nacional, quien dirige la institución en su funcionamiento cotidiano: administra el personal, ejecuta el presupuesto, representa a la APDP ante otras instituciones y coordina las unidades técnicas.

El Director Nacional es designado por el Consejo Directivo — no directamente por el Ejecutivo — lo que refuerza la independencia operativa del organismo.

Comparación con autoridades internacionales

Aspecto	APDP (Chile)	ANPD (Brasil)	ICO (Reino Unido)	AEPD (España)
Naturaleza	Servicio público autónomo	Autarquía especial	Autoridad reguladora independiente	Autoridad administrativa independiente
Órgano colegiado	Consejo Directivo (3 miembros)	Consejo Diretor (5 directores)	Comisionado de Información	Directora (1 titular)
Vinculación al Ejecutivo	Ministerio de Economía (presupuestaria)	Presidencia de la República	Parlamento	Ministerio de Justicia (sujeto a Constitución)
Inicio de operaciones	Diciembre 2026	Noviembre 2020	Desde 1984 (renovada 2018)	Desde 1993

La APDP nace como una institución pequeña en términos de escala inicial, pero con un diseño institucional sólido. Los primeros años serán de construcción de capacidad operacional, desarrollo de jurisprudencia administrativa y consolidación de credibilidad regulatoria.

Competencias de la APDP

Las competencias de la APDP se organizan en cuatro grandes dimensiones:

1. Regulación y normativa

La APDP tiene la potestad de emitir regulación secundaria que complemente y desarrolle la Ley 21.719. Esto incluye:

Normas técnicas sobre medidas de seguridad proporcionales al riesgo
Reglamentos sobre categorías especiales de datos y tratamientos específicos
Instrucciones y orientaciones para sectores particulares (salud, educación, finanzas, sector público)
Estándares sobre evaluaciones de impacto (EIPD) y criterios de proporcionalidad
Guías sobre el ejercicio de derechos de los titulares y los plazos de respuesta

Esta regulación se desarrollará de forma progresiva desde diciembre de 2026. Las organizaciones deben anticipar que las obligaciones se precisarán y profundizarán mediante normas secundarias — lo que hace especialmente importante mantenerse informado de la agenda regulatoria de la APDP.

2. Fiscalización y supervisión

La APDP puede iniciar investigaciones y fiscalizaciones de forma reactiva (ante denuncias o reclamaciones) o proactiva (por iniciativa propia, en sectores o prácticas de alto riesgo):

Requerir información a los responsables del tratamiento sobre sus actividades, medidas de seguridad y programas de cumplimiento
Realizar inspecciones y auditorías de los sistemas y procesos de tratamiento
Solicitar la producción de documentos, registros y evidencias de cumplimiento
Recibir y tramitar reclamaciones de titulares contra responsables del tratamiento
Adoptar medidas cautelares cuando exista riesgo de daño inminente para los titulares

La potestad de fiscalización proactiva es especialmente relevante: la APDP no dependerá exclusivamente de denuncias para actuar. Puede diseñar campañas de inspección sectorial o temática, similar a lo que hacen las autoridades europeas.

3. Sanción

La APDP aplica el régimen sancionatorio de la Ley 21.719 mediante procedimiento administrativo que asegura el derecho a defensa del infractor:

Clasifica las infracciones en leve, grave o gravísima
Aplica multas en UTM y, para reincidentes, el tope alternativo del 2%/4% de ingresos anuales
Puede imponer sanciones no monetarias: suspensión del tratamiento, prohibición, publicización de la infracción
Mantiene el Registro Nacional de Sanciones y Cumplimiento

Las resoluciones sancionatorias son recurribles ante los tribunales de justicia. La jurisprudencia judicial que se desarrolle sobre las decisiones de la APDP irá construyendo, progresivamente, el derecho de protección de datos en Chile.

4. Educación y difusión

La APDP tiene un rol activo en la formación de una cultura de protección de datos en Chile:

Campañas de información y sensibilización dirigidas al público general
Orientaciones técnicas para organizaciones sobre cómo implementar la Ley 21.719
Publicación de guías sectoriales y materiales de capacitación
Coordinación con el sistema educativo para incorporar la privacidad como valor ciudadano

El Registro Nacional de Sanciones y Cumplimiento

La APDP administra el Registro Nacional de Sanciones y Cumplimiento, que cumple dos funciones:

Registro de sanciones: las resoluciones firmes quedan inscritas. Para el infractor, el registro genera un historial que activa la reincidencia como agravante en procesos futuros. Para el mercado, la publicidad de las sanciones constituye un incentivo de cumplimiento adicional.

Registro de cumplimiento: las organizaciones que acrediten ante la APDP haber implementado determinados estándares de protección de datos podrán inscribirse en el registro, lo que puede funcionar como señal de confianza para clientes, socios y el mercado en general. Los criterios de acreditación serán definidos por la APDP mediante regulación secundaria.

La APDP y la ANCI: dos autoridades en el ecosistema regulatorio

La Ley 21.719 no opera en un vacío regulatorio. Chile cuenta desde 2024 con la Ley 21.663 (Ley Marco de Ciberseguridad), que creó la Agencia Nacional de Ciberseguridad (ANCI). Para un número significativo de organizaciones, ambas autoridades serán relevantes simultáneamente.

La ANCI fiscaliza a los Operadores de Importancia Vital (OIV) y a los Prestadores de Servicios Esenciales (PSE) — entidades de sectores críticos como energía, agua, telecomunicaciones, salud y servicios financieros — en materia de ciberseguridad. Cuando uno de estos organismos sufre un incidente que involucra datos personales, pueden activarse simultáneamente:

Obligación de notificar a la APDP (Art. 14 sexies, Ley 21.719) — 72 horas
Obligación de notificar a la ANCI (Ley 21.663) — plazos y formatos propios

Las dos agencias tienen mandatos complementarios, no redundantes: la ANCI protege la infraestructura crítica y los sistemas; la APDP protege los derechos de las personas cuyos datos se ven comprometidos. La coordinación entre ambas será esencial para evitar duplicidades innecesarias y garantizar respuestas coherentes ante incidentes de seguridad que afecten datos personales.

Articulación con reguladores sectoriales

Un elemento crucial del diseño de la APDP es su relación con las autoridades reguladoras sectoriales existentes:

Comisión para el Mercado Financiero (CMF) — bancos, seguros, mercado de capitales
Superintendencia de Salud — prestadores de salud, isapres
Subsecretaría de Telecomunicaciones (SUBTEL) — proveedores de telecomunicaciones
Servicio de Impuestos Internos (SII) y demás servicios del Estado

La Ley 21.719 establece que la APDP debe articular su actividad con estos organismos cuando las organizaciones fiscalizadas estén sujetas a regulación sectorial. El objetivo es evitar obligaciones contradictorias o duplicadas — pero la articulación real dependerá de protocolos de coordinación que aún deben desarrollarse.

Para las organizaciones de sectores regulados, esto significa que pueden enfrentar requerimientos conjuntos de la APDP y de su regulador sectorial ante un incidente de datos personales.

Lo que la APDP hará en sus primeros años

La experiencia de autoridades comparables (ANPD en Brasil, establecida en 2020; ICO en su versión post-RGPD desde 2018) ofrece orientación sobre qué esperar en los primeros años de la APDP:

Año 1 (2027): Producción de regulación secundaria prioritaria. Las primeras normas complementarias definirán estándares de seguridad, criterios de EIPD, orientaciones sobre bases legales y guías sectoriales. El foco sancionatorio inicial estará en incumplimientos visibles y de alto impacto reputacional.

Año 2-3 (2028-2029): Consolidación de la jurisprudencia administrativa. Las primeras resoluciones sancionatorias y los pronunciamientos sobre reclamaciones de titulares irán construyendo criterios interpretativos que definirán el estándar de cumplimiento en Chile. Las organizaciones que hayan invertido en sus programas de cumplimiento estarán en mejor posición para adaptarse a estos criterios.

Mediano plazo: La APDP buscará activamente la decisión de adecuación de la Unión Europea — el reconocimiento de que Chile ofrece un nivel de protección equivalente al europeo. Ese reconocimiento facilitaría transferencias de datos personales desde la UE a Chile sin instrumentos adicionales, con impacto directo en la operación de empresas con actividades en ambas regiones.

Por qué importa para las organizaciones

El inicio de operaciones de la APDP en diciembre de 2026 marca el final del período de transición — y el comienzo del enforcement real de la Ley 21.719. Para las organizaciones, esto implica:

El tiempo de preparación se acaba: las organizaciones que inicien su programa de cumplimiento ahora llegan a diciembre 2026 con bases sólidas; las que esperen llegarán sin defensas documentadas.
La APDP sabrá quiénes no están preparados: las primeras fiscalizaciones proactivas probablemente apuntarán a sectores de alto riesgo (salud, finanzas, telecomunicaciones) o a incumplimientos visibles (ausencia de DPD publicado, falta de aviso de privacidad).
El Registro Nacional construye historial: una primera sanción no es solo una multa — es la base del historial que hace que la segunda infracción active el tope del 2%/4% de ingresos. Evitar la primera sanción tiene valor estratégico.
La coordinación con la ANCI es real para sectores críticos: OIVs y PSEs deben desarrollar protocolos de respuesta integrados para ambas autoridades.

Conclusión

La APDP es la pieza institucional que transforma la Ley 21.719 de una norma declarativa en un régimen regulatorio efectivo. Con autonomía técnica, poderes sancionatorios reales, facultad de regulación secundaria y competencias de fiscalización proactiva, la APDP tendrá herramientas equivalentes a las de las autoridades de datos personales más avanzadas del mundo.

Su entrada en operación en diciembre de 2026 no es una fecha abstracta — es el momento en que el cumplimiento pasa de ser un ejercicio de preparación a ser una condición de operación. Las organizaciones que hayan construido su programa con anticipación estarán en posición de demostrar responsabilidad activa desde el día uno. Las que no lo hayan hecho se encontrarán construyendo evidencias de cumplimiento bajo la presión de una autoridad ya operativa.

Confidata prepara a las organizaciones chilenas para la entrada en operación de la APDP: RAT automatizado, gestión de bases legales, canal de titulares, registro de incidentes y documentación de evidencias de cumplimiento — todo lo que la APDP necesitará ver. Conozca nuestra plataforma.