Ley 21.719 y Ley de Transparencia: cómo compatibilizar privacidad y acceso a la información
El conflicto entre transparencia pública y protección de datos personales no es exclusivo de Chile — pero tiene rasgos propios en el sistema jurídico chileno, donde dos leyes robustas regulan simultáneamente el acceso a la información y la privacidad.
La Ley 20.285 (Ley de Acceso a la Información Pública) y la Ley 21.719 (Ley de Protección de Datos Personales) operan en planos distintos — pero con zonas de intersección que generan dilemas prácticos para el sector público.
La clave es que Ley 20.285 y Ley 21.719 no son opuestas — son complementarias. Pero entender cómo compatibilizarlas exige conocer los límites de cada una y los criterios que el CPLT (Consejo para la Transparencia) ha ido consolidando.
Los dos regímenes: qué protege cada ley
Ley de Acceso a la Información Pública — Ley 20.285/2008
La Ley 20.285 consagra el principio de que la publicidad es la regla y el secreto es la excepción. Su Art. 4° establece que toda persona tiene derecho a solicitar y recibir información de cualquier órgano de la Administración del Estado.
Lo que la Ley 20.285 establece sobre datos personales:
El Art. 21 de la Ley 20.285 establece excepciones al derecho de acceso, entre ellas:
- Art. 21, Nº 2: Cuando la publicidad afecte los derechos de las personas, particularmente tratándose de su seguridad, su salud, su vida privada o su vida familiar
- Art. 21, Nº 4: Cuando la publicidad afecte el interés nacional en materias económicas, financieras o comerciales
Requisito de daño: En Chile, las excepciones de la Ley 20.285 son de aplicación restrictiva. Para que proceda la denegación, debe acreditarse que la divulgación causaría un daño presente, probable y específico al bien jurídico protegido. La invocación genérica de la privacidad sin demostrar el daño concreto no satisface este estándar.
Ley 21.719 — Ley de Protección de Datos Personales
La Ley 21.719 se aplica también al sector público. Para los órganos públicos, los artículos centrales son:
Tratamiento por el sector público: Los órganos públicos pueden tratar datos personales para el ejercicio de sus funciones legales y el cumplimiento de sus fines institucionales. Para esto, deben:
- Informar sobre las actividades de tratamiento en lugar de fácil acceso en su sitio web (transparencia activa sobre el tratamiento)
- Designar un DPD cuando realicen operaciones de tratamiento que lo requieran (art. 41 de la Ley 21.719 y normas concordantes)
Compartición de datos entre organismos públicos: La Ley 21.719 autoriza el intercambio de datos entre órganos del Estado para el cumplimiento de sus funciones legales, con las salvaguardas correspondientes.
Los puntos de tensión en la práctica
Tensión 1 — Remuneraciones de funcionarios públicos
La cuestión: Las remuneraciones de los funcionarios públicos son informaciones personales (relacionadas con personas identificables) pero están sujetas a la obligación de transparencia activa.
Lo que el CPLT ha establecido:
El CPLT ha resuelto reiteradamente que la remuneración de los funcionarios públicos, en cuanto servidores del Estado remunerados con fondos públicos, es información pública. El principio que sustenta esta posición es que el ciudadano tiene derecho a saber cómo se utilizan los recursos fiscales, incluido el gasto en remuneraciones.
Sin embargo, el CPLT ha distinguido entre:
- Nombre, cargo y remuneración del funcionario: público — la Ley 20.285 (Art. 7, letra k) exige su publicación proactiva
- RUT, domicilio particular, datos de salud del funcionario: protegidos — son datos personales que no tienen relevancia para el control del gasto público
Cómo debe aplicar esto el DPD del organismo público:
| Dato | ¿Se puede publicar? | Base |
|---|---|---|
| Nombre del funcionario | Sí | Ley 20.285 Art. 7, letra k |
| Cargo y unidad | Sí | Ley 20.285 + CPLT |
| Remuneración, bonos, viáticos | Sí | Ley 20.285 + CPLT |
| RUT completo del funcionario | No | Ley 21.719 |
| Domicilio particular | No | Ley 21.719 |
| Datos de salud (licencias, enfermedades) | No — secreto médico | Ley 21.719 + Ley 20.584 |
Tensión 2 — RUT de personas naturales en contratos públicos
La cuestión: Los contratos, bases de licitación y resoluciones deben publicarse en transparencia activa (Ley 20.285 y el portal ChileCompra/Mercado Público). Pero los contratos con personas naturales (honorarios, prestadores de servicios) incluyen el RUT.
La posición del CPLT:
El CPLT ha señalado que el nombre y honorarios de los consultores contratados a honorarios son públicos, en cuanto se refieren al uso de recursos fiscales. Sin embargo, el RUT completo de personas naturales no debe exponerse en documentos publicados, cuando su divulgación no sea estrictamente necesaria para los fines de control público.
Solución técnica: Antes de publicar contratos con datos de personas naturales, tachar o truncar el RUT (mostrando solo los primeros dígitos), manteniendo los demás datos que identifican al contratista para fines de control.
Tensión 3 — Microdatos de estudios y programas públicos
La cuestión: Bases de datos de programas públicos (beneficiarios del FONASA, matriculados en establecimientos educacionales, usuarios del Registro Civil) contienen datos personales pero son de interés para investigadores, periodistas y la ciudadanía.
El criterio del CPLT:
El CPLT ha establecido que la Ley 21.719 (y antes, la Ley 19.628) no autoriza a los órganos públicos a bloquear el acceso a información de interés público invocando la protección de datos personales, cuando es posible proteger la privacidad a través de técnicas de anonimización o pseudonimización que mantengan el valor informativo de los datos.
Resultado práctico: El organismo debe primero intentar la solución técnica (anonimizar, agregar, truncar identificadores) antes de negar el acceso. Solo cuando la protección técnica sea imposible sin desvirtuar la información puede procederse a la denegación.
Tensión 4 — Portal de transparencia activa y datos identificables
La cuestión: Los portales de transparencia activa de los servicios públicos (accesibles desde el sitio institucional o a través del Servicio de Información del Estado) publican información sobre gastos, contratos, beneficiarios de programas y funcionarios. Algunas de estas informaciones, combinadas, pueden permitir la re-identificación de personas.
Principio aplicado:
El CPLT ha señalado que la restricción de acceso a la información no puede invocarse cuando la privacidad puede garantizarse a través de la anonimización. El organismo debe siempre intentar la solución técnica antes de negar el acceso.
Soluciones técnicas prácticas:
- Agregación: en lugar de publicar valores individuales de beneficios, publicar totales por municipio o por rango
- Anonimización: para microdatos, eliminar identificadores directos (nombre, RUT) e impedir la re-identificación
- Pseudonimización: sustituir identificadores por códigos, permitiendo control interno pero impidiendo identificación externa
- Términos de uso diferenciados: para acceso a datos más granulares, exigir registro y compromiso formal de uso adecuado
Los criterios del CPLT en la tensión transparencia-privacidad
El Consejo para la Transparencia ha ido consolidando un conjunto de criterios interpretativos para resolver los conflictos entre Ley 20.285 y protección de datos:
Criterio 1: Publicidad de actos de administración del Estado
Los actos de la Administración — contratos, licitaciones, resoluciones, gastos — son públicos por principio. La sola invocación de que un documento contiene datos personales no basta para denegarlo: debe identificarse el daño concreto que la divulgación causaría.
Criterio 2: Protección de la vida privada
Los datos que corresponden a la esfera privada de las personas — salud, familia, domicilio, creencias — tienen protección reforzada tanto bajo la Ley 20.285 (Art. 21 Nº 2) como bajo la Ley 21.719. La denegación en estos casos es más fácil de sostener.
Criterio 3: Solución técnica como opción previa a la denegación
Antes de negar el acceso, el organismo debe evaluar si puede proporcionar la información con protección técnica (anonimización, eliminación de identificadores, versiones diferenciadas). Solo si la protección técnica es imposible puede denegarse el acceso.
El CPLT y la futura APDP
Con la plena entrada en vigor de la Ley 21.719 en diciembre de 2026, la APDP (Agencia de Protección de Datos Personales) comenzará a ejercer sus funciones. El CPLT y la APDP serán las dos autoridades con competencia en las materias que hoy son objeto de tensión entre transparencia y privacidad.
La cooperación entre ambas instituciones — en la línea del Acuerdo CPLT-Ministerio Secretaría General de Gobierno (SEGEGOB) que ya existe para la coordinación de transparencia activa — será clave para generar interpretaciones uniformes que los organismos públicos puedan seguir con seguridad jurídica.
El rol del DPD en el sector público
DPD obligatorio para órganos públicos
La Ley 21.719 establece que los responsables del tratamiento que cumplan ciertos criterios (tratamiento a gran escala, datos sensibles, vigilancia sistemática) deben designar un DPD. Los órganos públicos que traten datos sensibles de personas son generalmente responsables de designar un DPD.
Funciones específicas del DPD público en la tensión Ley 20.285-Ley 21.719
El DPD del organismo público debe coordinar con la estructura de acceso a la información (OIRS — Oficina de Información, Reclamos y Sugerencias, u Oficina de Transparencia) en las siguientes situaciones:
Clasificación de solicitudes Ley 20.285 con datos personales de terceros:
Cuando una solicitud de acceso pide documentos que contienen datos personales de terceros (no del propio solicitante), el DPD debe ser consultado para evaluar:
- Qué datos pueden entregarse íntegramente
- Cuáles deben suprimirse o anonimizarse antes de entregar el documento
- Cuáles documentos deben denegarse completamente (cuando no es posible proteger sin desvirtuar el documento)
Publicación de datos en el portal de transparencia activa:
Antes de publicar nuevos conjuntos de datos en el portal de transparencia, el DPD debe evaluar:
- Si hay datos personales sensibles que necesitan protección especial
- Si es posible publicar una versión anonimizada o agregada
- Si es necesario elaborar una EIPD (Evaluación de Impacto en Protección de Datos) para la actividad de publicación
Atención a derechos de los titulares:
Los ciudadanos pueden ejercer sus derechos bajo la Ley 21.719 (acceso, rectificación, supresión) ante organismos públicos. El DPD debe definir los flujos internos para atender estas solicitudes, coordinando con la estructura de OIRS cuando corresponda.
Criterios prácticos para la decisión
Cuando un organismo público se enfrente a una solicitud de acceso o a una decisión de publicar datos, la siguiente secuencia de decisión aplica:
1. ¿La información es sobre un acto de administración o responsabilidad pública?
→ SÍ: Ley 20.285 prevalece. Divulgar. Verificar si hay datos personales de terceros.
→ NO: Continuar análisis.
2. ¿La información es estrictamente personal (RUT, domicilio, datos de salud, vida privada)?
→ SÍ: Ley 21.719 prevalece. Restringir o anonimizar antes de entregar.
→ NO: Continuar análisis.
3. ¿Es posible entregar la información de interés público con protección técnica
(anonimización, pseudonimización, agregación, supresión de identificadores)?
→ SÍ: Aplicar la protección y entregar la versión protegida.
→ NO: Evaluar el interés público preponderante.
4. ¿El interés público en la divulgación es preponderante sobre la privacidad?
→ SÍ: Entregar con justificación documentada.
→ NO: Denegar con fundamento en Art. 21 de la Ley 20.285 y en la Ley 21.719.
Checklist para DPDs del sector público
Estructura:
- DPD designado formalmente y publicado en el sitio institucional
- Coordinación establecida entre DPD y la OIRS/Oficina de Transparencia del organismo
- Proceso definido para clasificar solicitudes Ley 20.285 que contienen datos personales de terceros
Publicación de datos:
- Mapeo de los conjuntos de datos publicados en el portal de transparencia activa
- EIPD elaborada para actividades de publicación de datos personales
- Procedimiento para publicar versiones anonimizadas de microdatos
Atención a solicitudes:
- Flujo definido para solicitudes Ley 20.285 que involucran datos personales de terceros
- Flujo para ejercicio de derechos del titular (Ley 21.719) por ciudadanos
- Entendimiento sobre cuáles plazos y procedimientos aplicar en cada caso
Conclusión
La Ley 21.719 y la Ley 20.285 no son enemigas. Son dos regímenes complementarios que sirven a propósitos distintos: la Ley 20.285 garantiza el control ciudadano sobre el Estado; la Ley 21.719 protege los datos personales que circulan en esa información de interés público.
El desafío para los DPDs del sector público es precisamente navegar esa complementariedad: garantizar que la transparencia obligatoria ocurra, sin exponer datos personales que la Ley 21.719 protege. La solución casi siempre está en la tecnología — anonimización, pseudonimización, versiones diferenciadas — y no en la restricción total del acceso.
Bloquear el acceso invocando la Ley 21.719 cuando la protección técnica era posible no es solo contrario a la Ley 20.285 — es un uso indebido de la legislación de protección de datos que socava la confianza pública en ambos regímenes.
Confidata incluye módulo de inventario de actividades de tratamiento especialmente configurado para organismos públicos, con soporte para la compatibilización entre las obligaciones de la Ley 20.285 y la Ley 21.719 en el mapeo de datos personales en documentos e información pública.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.