La APDP: la nueva Agencia de Protección de Datos Personales de Chile
La APDP: la nueva Agencia de Protección de Datos Personales de Chile
La Ley 21.719, publicada en el Diario Oficial el 13 de diciembre de 2024, crea la Agencia de Protección de Datos Personales (APDP) — la primera autoridad regulatoria independiente de protección de datos en la historia de Chile. La agencia comenzará a operar el 1 de diciembre de 2026, cuando la ley entre en plena vigencia.
Este artículo explica qué es la APDP, cuáles son sus poderes, cómo se diferencia de la estructura actual, y qué deben hacer empresas y organismos públicos para estar preparados.
De la Ley 19.628 a la Ley 21.719: el salto regulatorio
Hasta la entrada en vigencia de la Ley 21.719, la protección de datos en Chile se regía por la Ley 19.628 de Protección de la Vida Privada, promulgada en 1999. Una norma anticuada, diseñada antes del auge de internet, las redes sociales, el big data y la inteligencia artificial.
El Consejo para la Transparencia (CPLT), creado por la Ley 20.285 de 2008, ejercía algunas funciones relacionadas con la protección de datos, especialmente en el sector público. Sin embargo, el CPLT tenía una limitación fundamental: no podía imponer sanciones económicas. Podía emitir recomendaciones y órdenes de cese de infracciones, pero sin la facultad de multar, su poder disuasivo era limitado.
La Ley 21.719 cambia este escenario de forma estructural. Chile pasa de un modelo sin autoridad sancionatoria a un modelo con una agencia autónoma, técnica y con facultades punitivas reales.
Qué es la APDP
La APDP es un organismo público autónomo, con personalidad jurídica propia y patrimonio propio, que no estará subordinado a ningún ministerio. Esta independencia — similar a la de organismos como la Comisión para el Mercado Financiero (CMF) o la Fiscalía Nacional Económica (FNE) — es esencial para que la autoridad pueda actuar sin presiones políticas.
Estructura de gobernanza
La APDP será dirigida por un Consejo Directivo integrado por miembros con mandato fijo, lo que garantiza continuidad e independencia. Los directivos no podrán ser removidos arbitrariamente — una garantía de estabilidad institucional que permite decisiones técnicas sin interferencia política.
La agencia contará también con una Secretaría Ejecutiva, unidades técnicas especializadas y un cuerpo de fiscalizadores.
Los poderes de la APDP
Las facultades de la APDP son sustancialmente mayores que las del CPLT bajo la legislación anterior.
Facultades normativas
- Emitir instrucciones y directrices de aplicación general sobre protección de datos
- Dictar normas técnicas sobre medidas de seguridad
- Establecer procedimientos para evaluaciones de impacto (EIPD) y consultas previas
- Representar a Chile ante organismos internacionales de protección de datos
Facultades de fiscalización
- Solicitar auditorías y realizar visitas de inspección a responsables y encargados
- Exigir la presentación de documentos, registros y evidencias de cumplimiento
- Iniciar investigaciones de oficio (por iniciativa propia) o por denuncia de titulares
- Acceder a sistemas y datos necesarios para verificar el cumplimiento
Facultades sancionatorias
La APDP podrá imponer sanciones en tres niveles:
| Infracción | Multa máxima |
|---|---|
| Leve | 5.000 UTM |
| Grave | 10.000 UTM o 2% de ingresos anuales (reincidentes) |
| Gravísima | 20.000 UTM o 4% de ingresos anuales (reincidentes) |
Además de las multas, la APDP puede:
- Ordenar la suspensión del tratamiento de datos cuando exista riesgo grave e inminente
- Ordenar la eliminación de datos tratados de forma ilícita
- Emitir amonestaciones públicas ante infracciones sistémicas o generalizadas — un impacto reputacional frecuentemente más costoso que la propia multa
Atribuciones especiales
- Aprobar transferencias internacionales de datos (decisiones de adecuación, BCRs)
- Conocer y resolver reclamaciones de titulares
- Emitir opiniones sobre proyectos normativos de otros organismos que involucren protección de datos
Diferencias clave respecto al modelo anterior
| Aspecto | Antes (CPLT + Ley 19.628) | Después (APDP + Ley 21.719) |
|---|---|---|
| Autoridad regulatoria | CPLT (no especializado, sin poder sancionatorio) | APDP (especializada, autónoma, sancionatoria) |
| Facultad para multar | No | Sí (hasta 20.000 UTM o 4% de ingresos) |
| Cobertura | Principalmente sector público | Sector público y privado |
| Alcance de la ley | Limitado (Ley 19.628, de 1999) | Moderno (Ley 21.719, basada en RGPD) |
| Fiscalización de oficio | Limitada | Amplia y sistemática |
| DPD obligatorio | No existía | Sí (sector público y casos calificados) |
| EIPD (evaluación de impacto) | No existía | Obligatoria para alto riesgo |
| Derechos de los titulares | Básicos (ARCO) | Ampliados (ARCOP + decisiones automatizadas) |
El calendario de implementación
| Fecha | Hito |
|---|---|
| 13 de diciembre de 2024 | Publicación de la Ley 21.719 en el Diario Oficial |
| Junio de 2025 | Plazo para promulgar los reglamentos de implementación |
| 1 de diciembre de 2026 | Plena entrada en vigencia de la ley y operación de la APDP |
| 2027 en adelante | Primeras decisiones de adecuación, cláusulas estándar contractuales y regulaciones sectoriales |
Transición del CPLT: El Consejo para la Transparencia continuará ejerciendo sus funciones de transparencia y acceso a la información pública bajo la Ley 20.285. En el ámbito de la protección de datos, la APDP asumirá la competencia exclusiva a partir del 1 de diciembre de 2026.
Qué significa para empresas y organismos públicos
La fase educativa termina, empieza la fase de responsabilización
Hasta diciembre de 2026, Chile está en un período de transición. La APDP no existe todavía como entidad operativa. Ese período es la ventana para prepararse — construir la documentación, los procesos y la cultura organizacional antes de que lleguen las primeras fiscalizaciones.
La experiencia comparada es instructiva: en Brasil, donde la LGPD entró en vigencia en 2020 y la ANPD comenzó a sancionar en 2022, las organizaciones que esperaron para actuar enfrentaron procesos sancionatorios con plazos comprimidos y sin haber construido ninguna evidencia de cumplimiento. En Chile, aún hay tiempo para hacer las cosas bien.
Capacidad sancionatoria que no existía antes
El cambio más significativo no es la existencia de la ley — es la existencia de una autoridad con dientes. Las multas de hasta 20.000 UTM o 4% de los ingresos anuales son comparables, en términos proporcionales, a las multas del RGPD europeo (4% de la facturación global).
Para las organizaciones que han operado durante años bajo la Ley 19.628 sin temor real a sanciones, el cambio cultural es profundo: a partir del 1 de diciembre de 2026, el incumplimiento tiene un costo financiero concreto.
Fiscalización proactiva, no solo reactiva
La APDP no será solo un organismo que responde denuncias. Tendrá facultades para iniciar fiscalizaciones de oficio — es decir, por propia iniciativa, sin necesidad de que un titular denuncie primero. Seleccionará sectores y organizaciones para auditorías programadas, igual que lo hacen la CMF o la Superintendencia de Bancos en sus respectivos sectores.
Esto significa que ninguna organización puede asumir que "nadie la va a fiscalizar". Las probabilidades de una fiscalización proactiva aumentan con el tamaño de la organización y el volumen de datos tratados.
Sector público bajo la misma exigencia
Una de las características más importantes de la Ley 21.719 es que se aplica al sector público con el mismo rigor que al sector privado. Los organismos públicos están obligados a designar DPD, mantener RAT, elaborar EIPDs y comunicar incidentes.
La experiencia de Brasil muestra que el sector público es, históricamente, el más sancionado — no porque sus infracciones sean más graves, sino porque trata volúmenes masivos de datos sensibles con estructuras de TI frecuentemente desactualizadas.
Lo que la APDP esperará de las organizaciones
Con base en la estructura de la Ley 21.719 y la experiencia de las autoridades regulatorias en jurisdicciones comparables, las organizaciones deben prepararse para que la APDP verifique:
- DPD designado (para quienes estén obligados) con acto formal y datos publicados en el sitio web
- RAT actualizado que refleje todas las actividades de tratamiento reales
- EIPDs elaboradas para tratamientos de alto riesgo
- Canal de atención al titular efectivo y probado
- Contratos con encargados (proveedores) con cláusulas de protección de datos
- Plan de respuesta a incidentes documentado
- Política de privacidad publicada en lenguaje accesible
- Registros de capacitación como evidencia de cultura organizacional
La documentación es la línea de defensa principal en una fiscalización. La APDP no inspeccionará los sistemas de TI en el primer contacto — solicitará documentos. Y la ausencia de documentación es, por sí sola, una infracción.
Chile en el contexto latinoamericano
Con la APDP, Chile se suma al grupo de países latinoamericanos con autoridades de protección de datos:
| País | Ley | Autoridad | ¿Con poder sancionatorio? |
|---|---|---|---|
| Argentina | Ley 25.326 (2000) | AAIP | Limitado |
| Brasil | LGPD (2020) | ANPD | Sí (desde 2022) |
| Colombia | Ley 1581 (2012) | SIC | Sí |
| México | LFPDPPP (2010) | INAI | Sí |
| Chile | Ley 21.719 (2024) | APDP | Sí (desde dic. 2026) |
La APDP nacerá con una ventaja que la ANPD brasileña o la AAIP argentina no tuvieron: la posibilidad de aprender de la experiencia acumulada en otras jurisdicciones. Se espera que sus primeras regulaciones y prioridades de fiscalización reflejen las lecciones del RGPD europeo y de las autoridades latinoamericanas más avanzadas.
Conclusión
La creación de la APDP es el cambio institucional más relevante en la protección de datos de Chile desde la promulgación de la primera ley de privacidad hace más de 25 años. Por primera vez, Chile contará con una autoridad especializada, autónoma y con poder real de enforcement.
Para DPDs, profesionales de cumplimiento y gestores públicos, el período hasta diciembre de 2026 es el más valioso: hay tiempo para construir la estructura de cumplimiento antes de que lleguen las primeras fiscalizaciones. Las organizaciones que actúen ahora tendrán evidencias documentadas de cumplimiento; las que esperen, improvisarán bajo presión.
Confidata centraliza la documentación de cumplimiento que la APDP exigirá: RAT, EIPD, gestión de incidentes, atención a titulares y contratos con proveedores — todo organizado y trazable, listo para presentar cuando llegue la primera fiscalización.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.