Cómo implementar la Ley 21.719 en organismos públicos: guía específica

La Ley 21.719 — que reforma la Ley 19.628 sobre Protección de la Vida Privada, publicada el 13 de diciembre de 2024 y con vigencia a partir del 1° de diciembre de 2026 — se aplica a toda organización que trate datos personales en Chile, incluyendo a los organismos y entidades públicas.

Pero la implementación en el sector público tiene especificidades que la hacen sustancialmente diferente del modelo privado. Bases de licitud distintas, obligaciones específicas de transparencia, coexistencia con la Ley 20.285 de Acceso a la Información Pública, reglas particulares para el tratamiento de datos por entidades estatales — ignorar estas diferencias lleva a programas de cumplimiento estructuralmente equivocados.

Esta guía presenta lo que es específico para la administración pública chilena y cómo construir un programa de cumplimiento adecuado a esa realidad.

Por qué el sector público tiene reglas propias en la Ley 21.719

La Ley 21.719 dedica el Título IV al tratamiento de datos por organismos públicos. Este tratamiento diferenciado existe porque el Estado, por naturaleza, trata datos personales de forma compulsoria — el ciudadano no puede negarse a proporcionar sus datos al SII para la declaración de renta o al Registro Civil para obtener su cédula de identidad. En ese contexto, el consentimiento como fundamento jurídico sería una ficción.

Las diferencias estructurales comienzan por las bases de licitud y se extienden hasta el régimen de obligaciones específicas.

Base de licitud central para el sector público: interés público

La Ley 21.719 reconoce el interés público o ejercicio de potestades públicas como una de las bases de licitud para el tratamiento de datos personales. Esta es la base central para la mayoría de los tratamientos realizados por el Estado.

Ejemplos prácticos:

• Registro Social de Hogares (RSH): recopilación de datos de ingresos, vivienda, educación y composición familiar para priorización de beneficios sociales — sin consentimiento
• Sistema de matrículas escolares: datos de alumnos y apoderados para acceso a servicios educacionales
• FONASA y ISAPRE: datos de salud para prestación de servicios médicos y gestión de seguros
• AFP y sistemas previsionales: datos financieros y laborales para gestión de pensiones
• SII: datos tributarios y comerciales para cumplimiento de obligaciones fiscales
• Registro Civil: datos de identidad, estado civil, nacimiento y defunción

Limitación crítica: La dispensa del consentimiento no libera al organismo público de las demás obligaciones de la Ley 21.719. Los principios de finalidad, necesidad, transparencia y seguridad se aplican íntegramente — el Estado no puede recopilar más datos de los que necesita para la política pública específica, ni usarlos para finalidades incompatibles.

Obligaciones específicas del sector público bajo la Ley 21.719

El Título IV de la Ley 21.719 establece condiciones que los organismos públicos deben cumplir al tratar datos personales:

1. Transparencia activa: El organismo debe publicar información clara y actualizada sobre la previsión legal, la finalidad, los procedimientos y las prácticas utilizadas para el tratamiento — preferentemente en su sitio web. Esta obligación se articula directamente con la Ley 20.285 de Acceso a la Información Pública.

2. Designación obligatoria del Delegado de Protección de Datos: La designación del Delegado es obligatoria para los organismos públicos — sin excepción de tamaño. A diferencia del sector privado, donde la designación es obligatoria solo para ciertos tipos de responsables, en la administración pública no existe esa flexibilidad.

3. Canal de atención a los titulares: Los ciudadanos tienen los mismos derechos ARCO+ frente a los organismos públicos. El organismo debe disponer de un canal formal, público y funcional para recibir y responder estas solicitudes.

El Delegado de Protección de Datos en el sector público

Quién puede ser el Delegado

El Delegado debe:

• Tener conocimientos en protección de datos, gestión de riesgos, acceso a la información en el sector público y análisis jurídico
• No acumular funciones con conflicto de interés — no puede ser responsable de los sistemas que trata los datos ni de las decisiones de tratamiento que debe supervisar
• Tener garantía de acceso directo a la alta dirección del organismo
• Tener su identidad y datos de contacto publicados en lugar destacado y fácilmente accesible en el sitio web

Delegado compartido entre organismos

La Ley 21.719 permite que un único Delegado actúe para más de un organismo — lo que es especialmente relevante para municipios de menor tamaño, servicios vinculados y entidades con volumen reducido de datos. La condición es que:

1. Sea posible el pleno cumplimiento de las atribuciones respecto a cada organismo
2. No exista conflicto de interés entre los organismos representados

En la práctica, municipios pequeños u organismos con volumen reducido de datos pueden compartir un Delegado contratado como servicio, reduciendo el costo de cumplimiento.

Lo que el consentimiento significa en el sector público

El consentimiento tiene un rol excepcional en el contexto público — aplica solo para tratamientos que van más allá de las obligaciones y competencias legales del organismo y que el ciudadano genuinamente puede rechazar sin perjuicio de los servicios esenciales.

La base de licitud interés público o ejercicio de potestades públicas cubre la mayoría de los tratamientos típicos de la administración. El consentimiento como regla general sería una ficción jurídica: nadie puede "no consentir" que el SII trate sus datos para la declaración de renta.

Empresas públicas y sociedades del Estado

El régimen aplicable depende de la naturaleza del tratamiento:

• Cuando actúan ejecutando políticas públicas o ejerciendo potestades públicas, aplican las reglas del Título IV de la Ley 21.719
• Cuando actúan en régimen de concurrencia con empresas privadas (prestando servicios en el mercado), aplican las reglas generales de la Ley 21.719 para el sector privado

La naturaleza jurídica de la entidad no determina el régimen — la naturaleza del tratamiento es lo que importa.

Ley 20.285 y Ley 21.719: coexistencia sin conflicto

La Ley 20.285 de Acceso a la Información Pública y la Ley 21.719 actúan en esferas distintas y son complementarias — no opuestas.

Ley 20.285: Regula el acceso a información pública — actos administrativos, contratos, presupuestos, resoluciones, salarios de funcionarios públicos.

Ley 21.719: Protege los datos personales — información vinculada a personas naturales identificadas o identificables.

La regla de coexistencia:

Tipo de información	Régimen aplicable
Acto administrativo sin datos personales	Ley 20.285: transparencia activa
Remuneración de funcionario público	Ley 20.285: divulgable (interés público), pero sin RUT, domicilio ni datos bancarios (Ley 21.719)
Datos sensibles en expediente público	Ley 21.719: protegidos incluso si el expediente es público
Beneficiario de programa social	Datos de ingresos y composición familiar: protegidos por Ley 21.719; datos del beneficio: Ley 20.285

El intento de usar la Ley 21.719 para negar solicitudes de acceso a información sobre actos administrativos — práctica identificada en algunos organismos — constituye uso equivocado de la ley de privacidad, contrario a los principios de ambas normativas.

Comunicación de datos entre organismos públicos

La Ley 21.719 regula cuándo los organismos públicos pueden comunicarse datos entre sí:

Lo que está permitido:

• Comunicación para ejecución de políticas públicas con finalidad específica y determinada
• Datos de acceso público
• Comunicación prevista en ley, decreto, reglamento o instrumento similar
• Prevención de fraudes y protección del titular

Lo que está prohibido:

• Comunicación para una finalidad diferente de la que originó la recopilación (principio de finalidad)
• Transferencia a entidades privadas fuera de los casos expresamente autorizados por la ley

Importante: Cualquier comunicación de datos entre organismos debe realizarse mediante un instrumento formal (convenio, acuerdo de cooperación u otro), con cláusulas que especifiquen la finalidad, base de licitud, medidas de seguridad y derechos de los titulares.

Implementación paso a paso para el sector público

Fase 1 — Formación del equipo y gobernanza (0 a 60 días)

1. Designar al Delegado de Protección de Datos: Formalizar mediante resolución exenta o instrumento equivalente; publicar nombre y contacto en el sitio web del organismo
2. Crear el Comité de Privacidad (recomendado): Delegado + jurídico + TI + áreas finalísticas
3. Mapear la legislación específica que fundamenta las actividades del organismo (la base de interés público requiere previsión en ley, decreto u ordenamiento similar)

Fase 2 — Inventario y mapeo (60 a 120 días)

1. Mapear todas las actividades de tratamiento por área: qué datos, de quién, para qué, con base en qué norma, con quién se comparten
2. Identificar sistemas legados con datos personales sin finalidad actual documentada
3. Verificar contratos con proveedores que traten datos personales como encargados — incluir cláusulas en las renovaciones
4. Construir el RAT (Registro de Actividades de Tratamiento) a partir del mapeo

Fase 3 — Documentación y políticas (120 a 180 días)

1. Publicar el aviso de privacidad en el sitio del organismo — transparencia exigida por el Título IV
2. Publicar el contacto del Delegado en lugar destacado
3. Crear el canal de atención al titular para el ejercicio de los derechos ARCO+
4. Elaborar la Política Interna de Protección de Datos con procedimientos para funcionarios
5. Elaborar la EIPD para tratamientos de alto riesgo (datos sensibles a gran escala, reconocimiento facial, decisiones automatizadas)

Fase 4 — Capacitación y comunicación (permanente)

1. Capacitar a funcionarios sobre protección de datos y cómo identificar y reportar incidentes
2. Capacitar al área de adquisiciones y contratos para incluir cláusulas de encargado de tratamiento en nuevos contratos
3. Establecer el proceso de comunicación de incidentes a la Agencia (plazo: 72 horas, conforme Art. 34 bis)

Fase 5 — Gestión continua (permanente)

1. Mantener el RAT actualizado ante cada cambio en sistemas o procesos
2. Revisar contratos con proveedores que acceden a datos personales
3. Seguir la agenda regulatoria de la Agencia — desde su entrada en operación, la Agencia publicará orientaciones, guías y resoluciones que los organismos deben conocer

El Poder Judicial y la Ley 21.719

El Poder Judicial enfrenta una tensión específica: el principio de publicidad procesal coexiste con la Ley 21.719. La solución consolidada en el derecho comparado es el "sigilo parcial": un expediente puede ser público, pero los datos sensibles de las partes (salud, vida sexual, orientación religiosa o política) pueden ser excluidos de los registros públicos, amparado en el derecho constitucional a la privacidad.

La Corte Suprema de Chile y los tribunales han desarrollado criterios propios para gestionar esta tensión, que deben ser considerados en la implementación de la Ley 21.719 en el ámbito jurisdiccional.

Conclusión

La implementación de la Ley 21.719 en el sector público sigue la misma lógica general — RAT, bases de licitud, Delegado, derechos de los titulares — pero con especificidades que no pueden ignorarse: la base de interés público como fundamento central, la obligatoriedad del Delegado sin excepción de tamaño, la coexistencia con la Ley 20.285 y las reglas de comunicación entre organismos.

El sector público que implementa la Ley 21.719 correctamente no solo está cumpliendo la ley — está construyendo la confianza del ciudadano en el Estado como guardián de sus datos personales.

---

Confidata es utilizado por municipios, servicios públicos y ministerios para la gestión del cumplimiento de la Ley 21.719 en el sector público, con módulo específico para tratamiento de datos con base en interés público y generación automática del aviso de privacidad.