Ley 21.719 para estudios jurídicos y consultorías
Los estudios jurídicos y consultorías tienen una relación singular con la protección de datos personales. Como prestadores de servicios, tratan datos de sus clientes — e incluyen frecuentemente las informaciones más sensibles que una persona puede tener: disputas familiares, situación patrimonial, historial penal, datos de salud en causas laborales o previsionales. Como empleadores, tratan datos de sus colaboradores. Y en muchos casos actúan como encargados del tratamiento de datos que sus clientes corporativos les confían.
La percepción de que el secreto profesional abogado-cliente resolvería todas las cuestiones de privacidad es incorrecta. El secreto profesional y la Ley 21.719 coexisten — entender cómo interactúan es el primer paso para la adecuación.
El estudio como responsable del tratamiento
A partir del momento en que un estudio jurídico contrata a un cliente, se convierte en responsable del tratamiento de los datos personales de ese cliente y de cualquier otra persona mencionada en los escritos, contratos, documentos y comunicaciones que recibe.
Datos de clientes personas naturales:
- Nombre, RUT, cédula de identidad, domicilio, teléfono, correo electrónico
- Datos financieros y patrimoniales (inmuebles, vehículos, cuentas bancarias — para cobros, sucesiones, planificación patrimonial)
- Datos familiares (cónyuge, hijos, dependientes — en causas de familia, sucesión, previsional)
- Datos de salud (en causas laborales por daños, previsionales, de responsabilidad civil médica)
- Historial judicial (causas anteriores, acuerdos, disputas)
Datos de clientes personas jurídicas:
- Datos de los representantes legales (RUT, cédula, cargo)
- Datos de trabajadores y terceros involucrados en disputas laborales
- Datos de socios, accionistas y administradores
- Información estratégica y contratos confidenciales
Datos de terceros (partes contrarias, testigos):
- Nombre, calificación y datos de contacto
- Información sobre patrimonio y comportamiento que surge en los procesos
- Datos que el estudio recopila en due diligence o investigación preprocesal
Datos operacionales del estudio:
- Datos de colaboradores (abogados, practicantes, personal administrativo)
- Datos de proveedores de sistemas, LegalTech y servicios de soporte
- Comunicaciones internas y externas (correos, actas de reunión, documentos de trabajo)
Secreto profesional y Ley 21.719: la interacción
El Código de Ética Profesional del Colegio de Abogados de Chile establece el deber de guardar secreto sobre lo conocido en el ejercicio de la profesión. A diferencia de Brasil, la membresía al Colegio de Abogados en Chile no es obligatoria para ejercer la abogacía, pero los principios de confidencialidad tienen reconocimiento legal en el Código de Procedimiento Civil, el Código Penal (Art. 247) y las normas deontológicas generalmente aceptadas por la profesión.
El secreto abogado-cliente y la Ley 21.719 se refuerzan mutuamente en la mayoría de los casos: ambos restringen el compartir datos de clientes con terceros sin justificación. La diferencia está en los contornos:
- La Ley 21.719 permite el tratamiento de datos con base en el ejercicio regular de derechos en procesos judiciales o administrativos — situaciones que el secreto profesional también contempla, pero con análisis caso a caso
- La Ley 21.719 exige transparencia activa sobre el tratamiento de datos — el cliente tiene derecho a saber cómo se usan sus datos, lo que requiere una política de privacidad incluso en el contexto de representación jurídica
- La Ley 21.719 garantiza al titular el derecho de acceder a sus propios datos, lo que en el contexto del estudio significa que el cliente puede solicitar copia de los documentos de su propio caso
Bases de licitud para el tratamiento de datos en el estudio
| Actividad | Base de licitud |
|---|---|
| Datos del cliente para prestar el servicio jurídico contratado | Ejecución de contrato |
| Datos de la parte contraria y terceros en procesos | Ejercicio regular de derechos en proceso judicial o arbitral |
| Datos de colaboradores | Obligación legal (Código del Trabajo, AFP, seguridad social) / Ejecución de contrato de trabajo |
| Registros de honorarios y datos fiscales | Obligación legal (tributaria — SII) |
| Base de datos de jurisprudencia y precedentes | Interés legítimo (puede involucrar datos anonimizados) |
| Datos de candidatos en proceso de selección | Interés legítimo / consentimiento para banco de talentos |
Punto importante: La base del ejercicio regular de derechos en proceso judicial o administrativo es una de las más relevantes para estudios jurídicos — permite el tratamiento de datos personales de terceros (partes contrarias, testigos) cuando es necesario para la defensa de intereses de clientes. Esta base reconoce la naturaleza adversarial del proceso legal.
Datos sensibles: el día a día de las prácticas especializadas
Dependiendo del área de actuación, el estudio puede tratar datos sensibles de forma rutinaria:
Derecho laboral: Licencias médicas, informes de incapacidad, datos de accidentes del trabajo (Ley 16.744), informes ergonómicos o de higiene industrial — todos datos de salud.
Familia y sucesiones: Datos sobre discapacidad, datos de menores (que requieren cuidado adicional por su condición de vulnerabilidad), datos de relaciones afectivas.
Previsional: Datos de salud, pericias médicas, historial de tratamientos, datos de incapacidad laboral ante AFP o el Instituto de Previsión Social (IPS).
Penal: Datos sobre infracciones penales, investigaciones, detenciones — categoría especial bajo la Ley 21.719 y con protección adicional en el Código Procesal Penal.
Salud: Causas contra isapres, hospitales o médicos involucran fichas clínicas completas de pacientes.
Para todos estos casos, el tratamiento se apoya principalmente en el ejercicio regular de derechos en proceso judicial o administrativo y en la necesidad de proteger intereses esenciales del titular — fundamentos que reconocen que la actividad jurídica requiere acceso a datos que en otros contextos serían tratados de forma más restrictiva.
Conforme a la Ley 21.719, los datos sensibles (incluidos los de salud, biométricos y penales) tienen protecciones reforzadas bajo su Art. 16 y normas complementarias, y en principio requieren consentimiento explícito o una base de licitud específicamente aplicable a esa categoría.
Seguridad de la información: el principal riesgo de los estudios
La seguridad de la información es la mayor vulnerabilidad práctica de los estudios jurídicos. El volumen de documentos altamente sensibles — estrategias jurídicas confidenciales, dictámenes, contratos no publicados, información sobre litigios inminentes con impacto financiero significativo — convierte a los estudios en blancos de ataques sofisticados.
Riesgos específicos del sector:
Correo electrónico sin cifrado: La mayoría de las comunicaciones jurídicas ocurren por correo electrónico, sin cifrado de extremo a extremo. Un correo interceptado con información sobre una negociación puede tener valor económico para terceros.
WhatsApp para comunicación con clientes: Popular por su practicidad, pero con riesgos significativos: respaldo automático en la nube (Google Drive o iCloud), acceso en múltiples dispositivos, ausencia de control de retención y almacenamiento en servidores de Meta fuera de Chile.
Almacenamiento en nube personal: Google Drive o Dropbox personales con documentos de clientes crean problemas de gobernanza — el estudio no controla quién accede, por cuánto tiempo ni cómo se tratan los datos por el proveedor.
Acceso de practicantes y personal administrativo: Con frecuencia tienen acceso irrestricto a sistemas con datos de todos los clientes, sin control granular por materia o cliente.
BYOD sin política: Abogados que trabajan en dispositivos personales sin MDM (Mobile Device Management) crean riesgos de fuga cuando el dispositivo se pierde, roba o descarta.
Medidas básicas prioritarias:
- Correo corporativo con dominio propio (no @gmail.com o @hotmail.com) y autenticación de dos factores
- Control de acceso granular en los sistemas de gestión del estudio (el abogado accede solo a los procesos en que interviene)
- Política clara de almacenamiento de documentos — prohibición de usar drives personales para archivos de clientes
- Política para comunicación con clientes vía aplicaciones de mensajería — aclarando riesgos y recomendando medios alternativos para documentos muy sensibles
- Retención definida: documentos de causas terminadas no permanecen indefinidamente accesibles para todos los colaboradores
El estudio como encargado del tratamiento: la situación subestimada
En muchos escenarios, el estudio jurídico no es solo responsable del tratamiento — también actúa como encargado de datos personales en nombre de sus clientes corporativos.
Cuando una empresa contrata al estudio para conducir una causa laboral y para ello entrega datos personales de sus trabajadores, los datos pertenecen a la empresa — que es la responsable del tratamiento. El estudio es el encargado: procesa los datos para una finalidad definida por el cliente.
Como encargado, el estudio:
- Debe tratar los datos solo para la finalidad contratada (esa causa específica)
- No puede usar los datos para otros fines (inteligencia de mercado, otros clientes)
- Debe seguir las instrucciones del cliente responsable sobre seguridad y retención
- Debe comunicar de inmediato cualquier incidente de seguridad al cliente responsable
Implicación práctica para los contratos: El contrato de prestación de servicios del estudio con clientes corporativos debe incluir cláusulas de protección de datos (contrato de encargo de tratamiento) que definan las responsabilidades del estudio como encargado. La mayoría de los contratos de abogacía en Chile aún no contemplan esto adecuadamente — lo que crea una brecha tanto para la conformidad del cliente como del estudio bajo la Ley 21.719.
¿El estudio necesita DPD?
La Ley 21.719 exige la designación de un Delegado de Protección de Datos (DPD) para responsables y encargados que realicen tratamiento de datos en ciertas circunstancias. La obligación considera el volumen y naturaleza del tratamiento:
Tratamiento de datos sensibles a gran escala, decisiones automatizadas con efectos significativos, y monitoreo sistemático de personas a gran escala son los principales gatilladores de la obligación de DPD formal.
Para estudios de menor tamaño que no realicen tratamiento en gran escala ni de alto riesgo, la designación de DPD formal puede no ser obligatoria — pero la necesidad de un canal de comunicación funcional para titulares que quieran ejercer sus derechos permanece. Un correo electrónico dedicado publicado en el sitio web del estudio ya cumple con ese requisito mínimo.
Checklist para estudios jurídicos y consultorías
Organización y documentación:
- Inventario de datos personales tratados por área de actuación del estudio
- Bases de licitud definidas para cada categoría de tratamiento
- Política de privacidad publicada en el sitio web con información sobre el tratamiento y los derechos de los titulares
- Canal de comunicación para titulares (clientes) disponible y monitoreado
Seguridad:
- Correo corporativo con dominio propio y autenticación de dos factores
- Control de acceso a los sistemas de gestión con segregación por materia o cliente
- Política de almacenamiento de documentos — prohibición de drives personales para archivos de clientes
- Política para comunicación vía aplicaciones de mensajería documentada y comunicada a los colaboradores
Contratos y relaciones:
- Contratos con clientes corporativos incluyen cláusulas de protección de datos (contrato de encargo de tratamiento)
- Clara definición de cuándo el estudio actúa como encargado vs. responsable de los datos recibidos
- Proceso para comunicar incidentes al cliente responsable de forma inmediata
Retención y eliminación:
- Política de retención de documentos por área de actuación definida
- Proceso para eliminación o anonimización de datos tras el cierre de la causa y el plazo legal aplicable
Conclusión
La Ley 21.719 no entra en conflicto con la esencia de la actividad jurídica — por el contrario, refuerza valores que el Derecho ya reconocía: confidencialidad, transparencia, proporcionalidad y respeto a la autonomía de las partes. Lo que agrega es la necesidad de documentar y formalizar lo que hasta ahora se trataba solo como ética profesional.
Para los estudios jurídicos, los pasos más urgentes son: revisar los contratos de servicios con clientes corporativos para incluir cláusulas de encargo de tratamiento, implementar controles básicos de acceso en los sistemas de gestión, y publicar una política de privacidad que explique el tratamiento de datos de los clientes — incluyendo el uso de correo electrónico y aplicaciones de mensajería.
La Ley 21.719, publicada en diciembre de 2024 y con plena vigencia desde diciembre de 2026, establece el nuevo estándar de protección de datos en Chile. Los estudios que se adelanten a la implementación estarán mejor posicionados ante la fiscalización de la Agencia de Protección de Datos Personales (APDP).
Confidata incluye un registro de actividades de tratamiento (RAT) configurado para estudios jurídicos con las principales actividades por área del derecho, modelo de cláusulas de contrato de encargo de tratamiento para contratos con clientes corporativos y gestión de canal de comunicación con titulares en conformidad con la Ley 21.719.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.