Ley 21.719 y GDPR: cómo funciona la transferencia de datos entre Chile y Europa
Empresas chilenas que usan servicios europeos de software, filiales de multinacionales europeas operando en Chile, startups que envían datos de usuarios a servidores en Frankfurt o Dublín — todas enfrentan la misma pregunta: dos legislaciones de protección de datos se aplican simultáneamente, y cada una tiene sus propias exigencias para que la transferencia sea lícita.
La relación Chile-Europa en materia de datos es compleja precisamente porque ambos lados tienen regulación robusta. Entender cómo la Ley 21.719 y el GDPR interactúan es esencial para cualquier organización que opere en los dos mercados.
El problema de la doble regulación
Cuando datos personales de titulares chilenos se envían a Europa — o cuando datos de titulares europeos son procesados por empresas chilenas — dos legislaciones inciden simultáneamente:
La Ley 21.719 exige que la transferencia de datos personales de titulares chilenos al exterior esté respaldada por uno de los mecanismos previstos en la ley (adecuación, garantías contractuales, excepciones específicas).
El GDPR (Reglamento General de Protección de Datos de la Unión Europea) exige que cualquier exportación de datos personales de titulares europeos a países fuera del EEE (Espacio Económico Europeo) esté autorizada por un mecanismo del Capítulo V del GDPR (decisión de adecuación, salvaguardas adecuadas, o excepciones).
El resultado: una empresa chilena que importa datos de usuarios europeos debe cumplir el GDPR aunque esté domiciliada en Chile — y el envío de datos chilenos a servidores europeos debe cumplir la Ley 21.719. Ambos análisis son necesarios e independientes.
El estado actual: Chile no tiene decisión de adecuación de la UE
A diferencia de otros países de la región (Argentina fue el primero en Latinoamérica en obtener adecuación de la UE), Chile no cuenta aún con una decisión de adecuación de la Comisión Europea al momento de publicación de esta guía.
La Ley 21.719, publicada en diciembre de 2024, fue diseñada explícitamente con la expectativa de que Chile pudiera obtener en el futuro una decisión de adecuación de la UE. La ley se alinea estrechamente con el GDPR en principios, bases de licitud, derechos de los titulares y creación de una autoridad de control independiente (la APDP). Pero la adecuación es una decisión política y técnica de la Comisión Europea — no se produce automáticamente por el hecho de tener una ley compatible.
Lo que esto significa en la práctica:
- Las transferencias de datos de titulares europeos hacia Chile siguen requiriendo mecanismos de salvaguarda del GDPR (cláusulas contractuales tipo — SCCs europeas, normas corporativas vinculantes, o excepciones específicas del Art. 49 GDPR)
- Chile aspira a obtener esta adecuación, posiblemente en los próximos años, pero aún no la tiene
Desde el lado chileno: las CCT aprobadas
El Ministerio de Economía de Chile ha aprobado Cláusulas Contractuales Tipo (CCT) basadas en los modelos de la Red Iberoamericana de Protección de Datos (RIPD). Estas CCT constituyen el mecanismo estándar de garantía para transferencias internacionales desde Chile a países que no han sido declarados con nivel adecuado de protección.
Cuando la APDP entre en operación (a partir de la plena vigencia de la Ley 21.719 en diciembre de 2026), le corresponderá declarar qué países ofrecen nivel adecuado de protección equivalente al chileno.
La sentencia Schrems II y sus consecuencias para Chile
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) dictó la sentencia Schrems II (Caso C-311/18) — una de las decisiones más impactantes en la historia de la protección de datos global. El tribunal anuló el mecanismo EU-EE.UU. Privacy Shield y estableció que las SCCs, por sí solas, no son suficientes si la legislación del país de destino no ofrece protección equivalente.
Qué cambió con Schrems II
Antes de Schrems II: usar SCCs para transferir datos a los EE.UU. era suficiente — bastaba firmar el contrato.
Después de Schrems II: quien usa SCCs debe realizar una Transfer Impact Assessment (TIA) — análisis del contexto legal del país de destino para verificar si las garantías contractuales pueden cumplirse en la práctica. Si la legislación del país de destino permite acceso gubernamental irrestricto a los datos, pueden ser necesarias medidas técnicas complementarias.
Impacto para empresas chilenas
Para empresas chilenas que importan datos de titulares europeos:
- Están sujetas al GDPR (Art. 3° — aplicación extraterritorial cuando tratan datos de residentes europeos)
- Deben garantizar que el exportador europeo cuente con respaldo legal para la transferencia (SCCs europeas u otra salvaguarda)
- Deben estar preparadas para recibir auditorías de sus socios europeos y cooperar con autoridades europeas de protección de datos
Para empresas chilenas que exportan datos de titulares chilenos a Europa:
- La Ley 21.719 exige mecanismos de garantía para transferencias internacionales
- En la práctica, pueden utilizar las CCT aprobadas por el Ministerio de Economía o cláusulas contractuales específicas
- Como los países europeos tienen protección robusta, el riesgo regulatorio de esta dirección es menor
El EU-US Data Privacy Framework: referencia para entender el escenario global
En julio de 2023, la Comisión Europea adoptó la decisión de adecuación para el EU-US Data Privacy Framework — el sucesor del Privacy Shield invalidado por Schrems II. El mecanismo permite que empresas estadounidenses certificadas en el DPF reciban datos de titulares europeos sin necesidad de SCCs.
El DPF es relevante para empresas chilenas porque:
- Demuestra que las decisiones de adecuación son políticamente posibles — y que Chile puede aspirar a una futura adecuación
- Empresas chilenas que también operan en EE.UU. necesitan entender qué mecanismo usan sus socios americanos para importar datos europeos
Mecanismos disponibles para la relación Chile-Europa hoy
Para exportar datos de chilenos a Europa (Ley 21.719)
| Mecanismo | Base legal | Situación actual |
|---|---|---|
| Decisión de adecuación (países europeos) | Ley 21.719 (transferencias a países adecuados) | No disponible aún — la APDP no ha declarado a la UE como territorio adecuado (lo hará tras su entrada en operación en dic. 2026) |
| Cláusulas Contractuales Tipo (CCT) chilenas | Ley 21.719 | Disponible — CCT aprobadas por el Ministerio de Economía, basadas en modelos de la RIPD |
| Cláusulas contractuales específicas | Ley 21.719 | Disponible — más usadas actualmente |
| Normas corporativas vinculantes (BCR) | Ley 21.719 | Disponible para grupos multinacionales |
| Excepción por consentimiento | Ley 21.719 | Disponible con limitaciones |
Para importar datos de europeos a Chile (GDPR)
| Mecanismo | Base legal | Situación actual |
|---|---|---|
| Decisión de adecuación (Chile) | Art. 45 GDPR | No disponible — la Comisión Europea no ha declarado a Chile como adecuado |
| SCCs europeas (Decisión 2021/914) | Art. 46 GDPR | Principal mecanismo utilizado |
| Normas corporativas vinculantes (BCR) | Art. 47 GDPR | Disponible para grupos multinacionales |
| Excepciones específicas | Art. 49 GDPR | Disponible en situaciones específicas |
Lo que el DPD debe hacer en la práctica
1. Mapear todas las transferencias Chile-Europa
Identificar en el registro de actividades de tratamiento (RAT) qué flujos cruzan el Atlántico — incluyendo transferencias "invisibles" (servidores de SaaS europeos que procesan datos de chilenos, o viceversa). Servicios cloud comunes como Microsoft Azure (con regiones en Europa), Google Cloud y AWS tienen datacenters en el EEE.
2. Determinar el rol de la empresa en cada transferencia
¿La empresa es exportadora o importadora? ¿De qué tipo de titulares (chilenos o europeos)? El análisis regulatorio es diferente para cada combinación.
3. Asegurar el instrumento correcto para cada dirección
Para transferencias de datos chilenos a Europa, las CCT aprobadas por el Ministerio de Economía son el mecanismo más accesible. Para transferencias de datos europeos a Chile, las SCCs europeas (Decisión 2021/914) son el estándar habitual.
4. Realizar la TIA para transferencias con SCCs europeas
Para las SCCs europeas, conducir la Transfer Impact Assessment considerando la legislación chilena — y documentar la evaluación. La TIA debe considerar si la Ley de Inteligencia (Ley 19.974) u otras normas permiten acceso gubernamental irrestricto a los datos de los titulares.
5. Prepararse para la futura adecuación
Cuando la APDP entre en operación y evalúe qué países tienen nivel adecuado de protección, es probable que declare a los estados miembros de la UE/EEE como adecuados (dada la robustez del GDPR). Las organizaciones que ya tengan sus CCT en orden podrán migrar fácilmente a un esquema de adecuación cuando esté disponible.
Conclusión: la conformidad bilateral es el estándar mínimo
La transferencia de datos entre Chile y Europa no es unilateral — involucra obligaciones simultáneas de dos ordenamientos jurídicos robustos. Las organizaciones que operan en esta relación necesitan mantener conformidad con ambos: Ley 21.719 del lado chileno, GDPR del lado europeo, con instrumentos contractuales que satisfagan las exigencias de cada regulador.
La aspiración de Chile a obtener una decisión de adecuación de la UE es un incentivo adicional para que las organizaciones chilenas se adecuen a la Ley 21.719 con rigor: una empresa que ya opera bajo los estándares de la ley chilena estará mejor posicionada cuando la relación bilateral se simplifique con una eventual decisión de adecuación.
Para el DPD que necesita entender el escenario completo de fiscalización de la APDP — incluyendo las prioridades regulatorias para transferencias internacionales — el material más actualizado está disponible en nuestros recursos de cumplimiento.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.