Sectorial12 min de lectura

Ley 21.719 para Fintechs: Open Finance, Pagos Electrónicos y Datos Financieros

Equipo Confidata·
Compartir

El sector financiero chileno opera bajo una de las capas regulatorias más densas de Latinoamérica. Además de la Ley 21.719 de protección de datos personales, las fintechs e instituciones financieras responden a normas de la CMF (Comisión para el Mercado Financiero) y, dependiendo de la actividad, del Banco Central de Chile y la UAF (Unidad de Análisis Financiero). En el campo de la protección de datos, esta superposición crea obligaciones complementarias — algunas que refuerzan la Ley 21.719, otras que generan tensiones que deben gestionarse.

Ley 21.719 y regulación de la CMF: complementariedad, no conflicto

La CMF ha establecido normas propias sobre seguridad de la información y ciberseguridad para instituciones financieras. La Norma de Carácter General (NCG) Nº 461 y las circulares aplicables a bancos, compañías de seguros y entidades de valores exigen que las instituciones mantengan:

  • Política de seguridad de la información con base en principios de confidencialidad, integridad y disponibilidad
  • Plan de acción y respuesta ante incidentes cibernéticos
  • Reporte a la CMF ante incidentes de seguridad relevantes
  • Gobierno de riesgos tecnológicos y de ciberseguridad a nivel de directorio

La Ley Marco de Ciberseguridad (Ley 21.663, publicada en abril de 2024) también establece obligaciones de ciberseguridad para operadores de infraestructura crítica — categoría que incluye a muchas instituciones financieras.

La relación Ley 21.719 (datos personales) y CMF es de complementariedad: la Ley 21.719 establece los derechos de los titulares y los principios de protección de datos personales; la regulación de la CMF define requisitos técnicos y organizacionales específicos para el sector. El cumplimiento de las normas técnicas de la CMF generalmente ya atiende o supera los requisitos de seguridad de la Ley 21.719 — pero no sustituye las obligaciones de transparencia, base de licitud y derechos de los titulares que son exclusivas de la Ley 21.719.

Open Finance Chile y privacidad

El sistema de Finanzas Abiertas (Open Finance) de Chile está regulado por la Ley Fintech (Ley 21.521, publicada en enero de 2023) y la NCG Nº 514 de la CMF (publicada en julio de 2024). El sistema permite el intercambio de datos financieros entre instituciones mediante el consentimiento del cliente. La implementación completa ha sido postergada a julio de 2027.

Desde el punto de vista de la Ley 21.719:

Base de licitud: El intercambio en el Open Finance se sustenta en el consentimiento — el cliente autoriza explícitamente qué datos comparte, con quién y para qué finalidad.

Granularidad: El consentimiento debe ser específico por tipo de dato (cuenta corriente, inversiones, seguros) y por institución destinataria — no es posible obtener un consentimiento genérico.

Revocabilidad: El cliente puede revocar el consentimiento en cualquier momento. La plataforma debe garantizar la revocación efectiva e inmediata para nuevos intercambios.

Tensión práctica: La NCG 514 tiene requisitos de consentimiento propios que en muchos aspectos son más específicos que los de la Ley 21.719. La posición predominante es que el consentimiento regulatorio del Open Finance constituye una forma calificada de consentimiento bajo la Ley 21.719.

Pagos electrónicos y protección de datos

El sistema de pagos electrónicos chileno maneja datos personales a gran escala. Las transferencias electrónicas de fondos (TEF), los pagos con tarjeta vía Transbank y los servicios como CuentaRUT del Banco Estado involucran:

  • RUT del pagador y del receptor
  • Datos de cuenta bancaria (número, banco, tipo)
  • Montos y fechas de transacción
  • Datos de geolocalización (cuando el pago se realiza vía aplicación móvil)

Los RUT y datos bancarios son datos personales protegidos por la Ley 21.719. El historial de transacciones, cuando está vinculado a una persona identificada, forma parte de su perfil financiero.

Incidentes en sistemas de pago: Las fintechs y bancos deben tener un proceso que contemple la notificación de incidentes tanto a la APDP (Agencia de Protección de Datos Personales, que comenzará a operar bajo la Ley 21.719) como a la CMF, con plazos y formatos que pueden diferir entre ambos reguladores.

Datos financieros no son datos sensibles — pero exigen cuidado especial

La Ley 21.719 no incluye "datos financieros" en el catálogo de datos sensibles. Datos de cuenta bancaria, saldo, historial de transacciones, límite de crédito y score crediticio no son, en sí mismos, datos sensibles en el sentido técnico de la ley.

Esto no significa tratamiento sin cuidado especial. Los datos financieros:

  • Frecuentemente revelan información indirectamente sensible: patrones de compra que indican condición de salud, creencia religiosa, orientación política
  • Están sujetos al secreto bancario (DFL 3 de 1997 y normas del Banco Central) — protección específica que coexiste con la Ley 21.719
  • Son blancos prioritarios de ataques y filtraciones, lo que eleva el riesgo residual
  • Cuando se usan para perfiles de crédito y scoring, activan las disposiciones sobre decisiones automatizadas de la Ley 21.719

Scoring de crédito y decisiones automatizadas en la Ley 21.719

La Ley 21.719 establece el derecho del titular de no verse sometido a decisiones que le produzcan efectos jurídicos significativos o que le afecten de manera importante, adoptadas únicamente sobre la base del tratamiento automatizado de datos, incluida la elaboración de perfiles. Las fintechs y bancos que utilizan modelos de scoring de crédito automatizado deben considerar:

  • Tener un canal para revisión humana de las decisiones automatizadas de crédito cuando el cliente lo solicite
  • Ser capaz de informar los criterios del modelo de scoring (no necesariamente revelar el modelo completo, pero sí proporcionar información suficiente para que el titular comprenda la decisión)
  • No poder alegar que la complejidad del modelo algorítmico impide la explicación — la Ley 21.719 no acepta "caja negra" irrecurrible

Atención: El uso de datos de burós de crédito (Equifax Chile, TransUnion, Dicom) para componer modelos de scoring involucra el tratamiento de datos personales obtenidos de terceros. El titular tiene derecho de saber que sus datos de buró se usaron para una decisión de crédito — lo que exige transparencia en la política de privacidad y en la comunicación de la decisión.

KYC, LA/FT y Ley 21.719: cuando la obligación legal prevalece

El proceso de KYC (Know Your Customer) y los reportes a la UAF (Unidad de Análisis Financiero) para la prevención del lavado de activos y financiamiento del terrorismo (LA/FT) tienen base en obligaciones legales específicas — Ley 19.913 y sus modificaciones, más la regulación de la CMF y la UAF.

Base de licitud bajo la Ley 21.719: Cumplimiento de obligación legal. El titular no puede oponerse al tratamiento de sus datos personales exigido por ley para KYC o para reportes de LA/FT.

Retención: Las obligaciones de LA/FT típicamente exigen retención de registros por 5 años (Ley 19.913, Art. 3° bis). Esta obligación prevalece sobre eventuales solicitudes de eliminación del titular.

Transparencia: Aunque el tratamiento sea obligatorio por ley, la Ley 21.719 exige que el titular sea informado sobre el tratamiento — especialmente sobre el reporte a la UAF, que constituye una transferencia de datos a un tercero con fines regulatorios.

Requisito de DPD: el régimen para fintechs

La Ley 21.719 exige la designación de un DPD (Delegado de Protección de Datos) para responsables del tratamiento que realicen operaciones de alto riesgo. En la práctica, la mayoría de las fintechs realiza tratamiento que activa esta obligación.

Una fintech con tratamiento de alto riesgo es aquella que:

  • Usa modelos algorítmicos de scoring o aprobación de crédito (decisión automatizada)
  • Realiza verificación de identidad biométrica en el onboarding (datos biométricos)
  • Trata datos financieros en gran escala
  • Ofrece productos financieros para niños y adolescentes

Para estas fintechs, el DPD formal, el registro de actividades de tratamiento (RAT) completo y la evaluación de impacto en protección de datos (EIPD) son prácticas obligatorias — independientemente del tamaño de la empresa.

Checklist para fintechs e instituciones financieras

Bases de licitud y políticas:

  • Base de licitud mapeada para cada actividad de tratamiento (KYC, scoring, Open Finance, marketing)
  • Política de privacidad actualizada con información sobre Open Finance y pagos electrónicos
  • Consentimiento para Open Finance implementado conforme a los requisitos de la Ley Fintech (Ley 21.521) y NCG 514

Decisiones automatizadas:

  • Canal para revisión humana de decisiones de crédito automatizadas disponible
  • Capacidad técnica de informar los criterios usados en la decisión de scoring cuando sea solicitado
  • Comunicación al cliente sobre la naturaleza automatizada de la decisión cuando corresponde

Seguridad (convergencia Ley 21.719 + regulación CMF):

  • Política de seguridad de la información formalizada y alineada con las normas de la CMF
  • Plan de respuesta a incidentes que contemple notificación a la CMF y a la APDP
  • Plazos de notificación (CMF y APDP, con formatos y plazos distintos) mapeados

Open Finance y pagos electrónicos:

  • Proceso de revocación de consentimiento del Open Finance funcionando en tiempo real
  • Datos de pagos electrónicos y los datos personales asociados mapeados en el RAT
  • Procedimiento para incidentes con datos de pagos con notificación a CMF y APDP

Conclusión

El cumplimiento de la Ley 21.719 en el sector financiero es más complejo que en otros sectores — no porque exija más, sino porque exige coordinación con múltiples regulaciones superpuestas. El riesgo de centrarse solo en la Ley 21.719 e ignorar las normas de la CMF (y viceversa) es dejar brechas que cada regulador puede explotar de forma independiente.

El enfoque eficiente es mapear las obligaciones de forma conjunta: identificar dónde la Ley 21.719 y la regulación de la CMF convergen (seguridad, notificación de incidentes), dónde hay especificidades de cada una (derechos de los titulares son exclusivos de la Ley 21.719; reportes de ciberseguridad son propios de la CMF), y construir procesos que satisfagan ambas exigencias simultáneamente.

Confidata incluye un registro de actividades de tratamiento (RAT) con categorías específicas para datos financieros y módulo de gestión de incidentes con soporte para notificaciones simultáneas a la APDP y a otros reguladores sectoriales, con plazos y formatos diferenciados por destinatario.

Compartir
#Ley 21719 fintech Chile#datos financieros protección#Open Finance CMF privacidad#decisiones automatizadas crédito#CMF ciberseguridad Ley 21719#scoring algorítmico Chile

Artículos relacionados

Ley 21.719 para ONGs y Fundaciones: Guía de Adecuación en ChileSectorial · 13 minLey 21.719 para asociaciones, ONGs y el tercer sector en ChileSectorial · 11 minLey 21.719 en la industria: datos de IoT, supply chain y manufacturaSectorial · 12 minLey 21.719 para contadores y estudios contables en ChileSectorial · 11 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista