Ley 21.719 para asociaciones, ONGs y el tercer sector en Chile
Las organizaciones de la sociedad civil operan frecuentemente con la percepción de que la protección de datos personales fue concebida para empresas tecnológicas o grandes corporaciones. No es correcta esa percepción. La Ley 21.719 se aplica a cualquier persona natural o jurídica que trate datos personales — y las ONGs, asociaciones, fundaciones, corporaciones y entidades religiosas se encuadran plenamente en esa definición.
La particularidad del tercer sector no es una exención, sino un perfil de riesgo diferente. Las entidades que trabajan con poblaciones vulnerables — personas en situación de calle, niños en acogida, pacientes con enfermedades crónicas, personas víctimas de violencia — tratan datos entre los más sensibles que reconoce la ley. Y eso impone obligaciones correspondientes.
La Ley 21.719 se aplica al tercer sector — sin excepciones
La Ley 21.719, publicada el 13 de diciembre de 2024 y con entrada en vigencia el 1 de diciembre de 2026, establece en su articulado que la ley se aplica a cualquier responsable del tratamiento, sea persona natural o jurídica, pública o privada. Las ONGs y asociaciones son personas jurídicas de derecho privado sin fines de lucro — no existe régimen de inaplicabilidad para el tercer sector.
Lo que puede variar es el tipo de tratamiento que realiza la entidad — lo que determinará la intensidad de las obligaciones aplicables. Tratamientos de alto riesgo (datos de salud a gran escala, perfilamiento automatizado, datos de menores) siempre exigen mayor rigurosidad, independientemente del tamaño de la organización.
Los datos del tercer sector: un perfil de riesgo específico
Beneficiarios de los programas: Dependiendo de la misión de la entidad, pueden incluir datos de salud (historial de atención, diagnósticos), datos socioeconómicos detallados (composición familiar, ingresos, situación habitacional), datos sobre situación de violencia o vulnerabilidad, historial judicial en programas de reinserción. Estas son categorías que la Ley 21.719 trata con especial rigor.
Donantes y apoyadores: Nombre, RUT, datos bancarios para recepción de donaciones, historial de donaciones. Para donantes personas jurídicas, datos de representantes legales.
Voluntarios: Datos de identificación, disponibilidad, competencias, examen de salud de ingreso cuando aplique, antecedentes penales en casos de trabajo con niños (con base de licitud adecuada).
Miembros y asociados: Datos de afiliación — que dependiendo de la naturaleza de la entidad pueden incluir afiliación religiosa, afiliación sindical, afiliación política o afiliación a movimiento social — todas categorías de datos sensibles bajo el Art. 16 de la Ley 21.719.
Empleados y colaboradores: Mismas obligaciones que cualquier empleador — datos de nómina, salud ocupacional, conforme a la legislación laboral chilena.
Datos sensibles: el corazón del desafío para el tercer sector
El Art. 16 de la Ley 21.719 establece un régimen especial para los datos sensibles, que solo pueden ser tratados cuando exista base de licitud específica — en general, consentimiento explícito del titular o alguna de las hipótesis excepcionales previstas en la ley.
Afiliación religiosa: Las entidades religiosas tratan datos de afiliación religiosa de sus miembros — dato sensible por definición. La base de licitud más adecuada es el consentimiento explícito del titular. El miembro que ingresa a la organización religiosa consiente implícitamente, pero ese consentimiento debe ser formalizado — especialmente cuando hay transmisión de datos a terceros (como redes denominacionales, seguros colectivos o plataformas de gestión).
Afiliación sindical: Los sindicatos y federaciones tratan datos de afiliación sindical — dato sensible. La base de licitud es el cumplimiento de una obligación legal (descuento en remuneración autorizado por la legislación laboral) y el consentimiento del afiliado para otros usos.
Datos de salud de beneficiarios: Las entidades que ofrecen servicios de salud, apoyo psicosocial o asistencia médica tratan datos de salud. La base de licitud puede ser el consentimiento explícito del titular o la protección de intereses vitales cuando el titular no puede consentir (emergencias médicas).
Datos de niños, niñas y adolescentes: Las entidades que atienden a menores deben seguir el régimen especial que la Ley 21.719 establece para el tratamiento de datos de NNA. El consentimiento debe ser otorgado por sus padres o representantes legales, de forma específica e informada.
Datos sobre violencia y vulnerabilidad: Las entidades que atienden víctimas de violencia doméstica, personas en situación de calle o poblaciones en extrema vulnerabilidad recopilan datos que, por su naturaleza, pueden exponer a los titulares a riesgos graves si son filtrados o mal utilizados. La base de licitud generalmente es el consentimiento (cuando el titular tiene capacidad de otorgarlo) o la protección de intereses vitales en casos de emergencia.
Bases de licitud por actividad en el tercer sector
| Actividad | Base de licitud | Observación |
|---|---|---|
| Registro de beneficiario de programa social | Consentimiento del titular | Preferible para datos sensibles |
| Ficha de atención en salud | Consentimiento explícito / Intereses vitales | Profesional de salud como responsable del tratamiento |
| Datos de afiliación religiosa de miembros | Consentimiento explícito | Formalizar consentimiento al momento de la adhesión |
| Datos de afiliación sindical | Obligación legal / consentimiento | Para descuento en remuneración: obligación legal; para otros fines: consentimiento |
| Donación y datos bancarios de donantes | Ejecución de relación contractual | Vinculado al acuerdo de donación |
| Compartición con financiador público | Cumplimiento de obligación legal | Exige cláusulas de protección de datos en convenios |
| Reclutamiento de voluntarios | Consentimiento | Banco de voluntarios: consentimiento con plazo definido |
| Comunicaciones con miembros y asociados | Consentimiento | Opt-out obligatorio |
| Verificación de antecedentes penales de voluntarios con NNA | Obligación legal / interés legítimo | Proporcional al rol; acceso restringido al resultado |
Compartición con financiadores y rendición de cuentas
Una situación frecuente en el tercer sector es la necesidad de compartir datos de beneficiarios con financiadores — fundaciones, organismos internacionales, ministerios, municipios — como condición para la rendición de cuentas de proyectos financiados.
Esta compartición requiere base de licitud: La rendición de cuentas a un organismo público puede estar amparada en una obligación legal (si existe norma que lo exija) o en la ejecución de un convenio con el Estado. Para financiadores privados, la base es el contrato o el consentimiento de los beneficiarios.
Minimización obligatoria: La compartición debe incluir solo los datos mínimos necesarios para la rendición de cuentas. Los informes de impacto con datos individualizados completos rara vez son necesarios — frecuentemente, datos agregados o pseudonimizados satisfacen las exigencias de los financiadores sin exponer individualmente a los beneficiarios.
Cláusulas de protección en convenios: Los convenios con organismos públicos y acuerdos con financiadores privados deben incluir cláusulas que definan la responsabilidad de cada parte y los límites del uso de los datos compartidos.
El Delegado de Protección de Datos en entidades del tercer sector
La Ley 21.719 establece que la designación de un Delegado de Protección de Datos (DPD) es obligatoria para organismos públicos y para organizaciones cuya actividad principal implique el tratamiento a gran escala de datos sensibles o el monitoreo sistemático y a gran escala de titulares. Para las demás organizaciones, la designación es voluntaria pero fuertemente recomendada.
La mayoría de las ONGs y asociaciones de pequeño y mediano tamaño no están en la categoría de tratamiento a gran escala. Sin embargo, si la entidad atiende a cientos o miles de beneficiarios con datos sensibles (salud, vulnerabilidad, menores), la designación de un DPD es una práctica de gobernanza fundamental.
Independientemente de si se designa DPD formal, toda entidad debe:
- Tener un canal de comunicación para que los titulares ejerzan sus derechos
- Contar con una persona responsable del cumplimiento de la ley
- Documentar las actividades de tratamiento de datos
Modelo práctico para ONGs: En muchos casos, el modelo más viable es designar a un colaborador con capacitación adecuada (interno) o contratar un DPD externo compartido (DPO-as-a-Service), lo que es permitido por la ley siempre que el profesional tenga acceso adecuado a la organización.
Checklist de cumplimiento para el tercer sector
Mapeo y base de licitud:
- Datos sensibles tratados (salud, afiliación religiosa/sindical, NNA) identificados con base de licitud específica
- Consentimiento de beneficiarios (o representantes legales para NNA) formalizado
- Acceso a datos de vulnerabilidad y salud restringido al mínimo necesario de colaboradores
Compartición externa:
- Convenios con organismos públicos incluyen cláusulas de protección de datos
- Acuerdos con financiadores privados definen responsabilidades como responsable/encargado del tratamiento
- Datos mínimos compartidos en las rendiciones de cuentas (datos agregados cuando sea posible)
Infraestructura básica:
- Canal de comunicación para titulares (correo de privacidad) disponible y monitoreado
- Política de privacidad publicada en lenguaje accesible al público atendido
- Delegado de Protección de Datos designado (si aplica la obligación o si la entidad decide designarlo voluntariamente)
- Registro de actividades de tratamiento documentado
Conclusión
El tercer sector no está exento de la Ley 21.719 — y no sería razonable que lo estuviera. Justamente porque trabaja con poblaciones vulnerables y datos sensibles, el cumplimiento es un imperativo ético además de legal.
Los pasos más urgentes para la mayoría de las ONGs y asociaciones chilenas son: identificar si los datos de beneficiarios incluyen categorías sensibles y cuál es la base de licitud para el tratamiento, formalizar el consentimiento en la adhesión de miembros (especialmente para datos de afiliación), y revisar los convenios y acuerdos con financiadores para incluir cláusulas básicas de protección de datos.
La entrada en vigencia de la Ley 21.719 el 1 de diciembre de 2026 marca el inicio de un nuevo estándar para todas las organizaciones que traten datos personales en Chile — incluyendo las del tercer sector.
Confidata ofrece planes específicos para entidades del tercer sector, con registro de actividades de tratamiento pre-configurado para las principales actividades de asociaciones y ONGs, modelos de consentimiento para beneficiarios y canal de titulares.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.