Ley 21.719 y el sector público chileno: guía práctica de adecuación para organismos del Estado
El 1 de diciembre de 2026 entra en vigor la Ley 21.719, que moderniza completamente el marco de protección de datos personales en Chile. Para los organismos del Estado —ministerios, servicios públicos, municipalidades, instituciones autónomas y empresas del Estado—, la fecha no es solo un horizonte regulatorio: es un plazo concreto con consecuencias jurídicas, reputacionales y ciudadanas.
La Ley 21.719 dedica su Título IV específicamente al tratamiento de datos en el sector público, estableciendo obligaciones que van más allá de las que aplican al sector privado. El principio es que los organismos del Estado deben ser un modelo de buenas prácticas en el manejo de datos personales de los ciudadanos que sirven.
Esta guía analiza las obligaciones específicas del sector público bajo la nueva ley, identifica las dimensiones más críticas de adecuación y ofrece un plan de acción de 90 días para organismos que necesitan acelerar su preparación antes de diciembre de 2026.
Lo que la Ley 21.719 exige al sector público
El Título IV: obligaciones específicas para órganos del Estado
A diferencia de la Ley 19.628 —que prácticamente ignoraba las particularidades del sector público—, la Ley 21.719 reconoce que el Estado es el mayor tratador de datos personales en Chile. El Título IV establece un régimen específico para los órganos de la Administración del Estado, con obligaciones que incluyen:
-
Designación del delegado de protección de datos: Los organismos públicos deben designar un delegado de protección de datos personales, responsable de asesorar, supervisar y actuar como punto de contacto con la APDP. A diferencia del sector privado, donde la designación puede ser voluntaria según el volumen de tratamiento, en el sector público la obligación es más amplia.
-
Registro de tratamientos (equivalente al ROPA): Todos los organismos deben mantener un registro actualizado de sus operaciones de tratamiento de datos, incluyendo categorías de datos, finalidades, bases de licitud, destinatarios y plazos de retención.
-
Bases de licitud en el sector público: El Estado generalmente trata datos en ejercicio de sus funciones legales. La nueva ley exige que cada operación de tratamiento esté expresamente vinculada a una competencia legal o reglamentaria, no basta una habilitación genérica.
-
Derechos de los ciudadanos como titulares: Los ciudadanos que interactúan con el Estado tienen los mismos derechos que cualquier titular: acceso, rectificación, supresión, oposición y portabilidad. Los organismos deben implementar canales efectivos para su ejercicio.
-
Seguridad de la información: La ley exige medidas técnicas y organizativas proporcionales al riesgo. En el sector público, donde se tratan datos de salud, datos tributarios, datos de seguridad social y biométricos, el estándar de seguridad debe ser elevado.
La interacción con la Ley 20.285 de Transparencia
Uno de los mayores desafíos operacionales para los organismos públicos es la tensión entre dos obligaciones legales que pueden entrar en conflicto:
- Ley 20.285 (Transparencia y Acceso a la Información Pública): obliga a los organismos a publicar información y a responder solicitudes de acceso.
- Ley 21.719 (Protección de Datos Personales): protege los datos personales de divulgación no autorizada.
La resolución de esta tensión no es automática: requiere que el organismo analice cada solicitud de transparencia que involucre datos personales, aplicando el principio de proporcionalidad. La Secretaría de Gobierno Digital está preparando orientaciones integradas que guíen a los organismos en esta compatibilización.
Las dimensiones críticas de adecuación en el sector público
1. Mapeo de tratamientos: el punto de partida
La mayoría de los organismos públicos procesan datos en docenas de sistemas distintos: registros administrativos, sistemas de atención ciudadana, plataformas de pagos, bases de datos de beneficiarios, sistemas de RRHH, cámaras de vigilancia. Muchos de estos sistemas fueron implementados antes de que existiera un marco robusto de protección de datos.
El primer paso es construir o actualizar el registro de tratamientos: un inventario que responda para cada operación de tratamiento las preguntas de qué datos se procesan, con qué finalidad, sobre qué base legal, por cuánto tiempo y con quién se comparten.
2. Designación del delegado de protección de datos
El delegado (equivalente funcional al DPO europeo y al Encarregado de la LGPD brasileña) es la figura central del cumplimiento. Sus funciones incluyen:
- Asesorar al organismo en la correcta aplicación de la Ley 21.719
- Supervisar los procesos de tratamiento de datos
- Actuar como punto de contacto con la APDP
- Coordinar la respuesta a solicitudes de titulares
- Realizar o supervisar evaluaciones de impacto (EIPD)
Para ser efectivo, el delegado necesita:
- Acceso directo a la autoridad máxima del organismo
- Recursos humanos y técnicos de apoyo
- Autonomía para objetar operaciones de tratamiento no conformes
- Capacitación continua en la evolución regulatoria
3. Canales de ejercicio de derechos
Los ciudadanos tienen derecho a solicitar acceso a sus datos, corregir información errónea, eliminar datos procesados sin base legal o ejercer su derecho de oposición. Los organismos públicos deben implementar canales efectivos —que pueden integrarse con sistemas existentes como la Plataforma Única de Atención Ciudadana— y definir procedimientos internos para responder en los plazos legales.
4. Compartición de datos entre organismos
El sector público tiene una característica que lo diferencia del sector privado: los datos fluyen estructuralmente entre organismos para la ejecución de políticas públicas. El SII comparte datos tributarios con el SERNAC; el Registro Civil comparte datos de identidad con múltiples servicios; el Ministerio de Salud comparte información epidemiológica con municipalidades.
La Ley 21.719 no prohíbe este compartición —lo reconoce como necesario—, pero exige que esté formalizado: con base legal específica, con convenios que establezcan las condiciones del tratamiento y con publicidad ante los ciudadanos.
5. Seguridad e incidentes
Los organismos públicos manejan algunos de los datos más sensibles de Chile: historial médico, situación tributaria, antecedentes penales, datos biométricos, información de vulnerabilidad social. Un incidente de seguridad en estos sistemas puede afectar a millones de ciudadanos y tiene impacto sistémico.
La ley exige implementar medidas de seguridad proporcionales al riesgo, mantener planes de respuesta a incidentes y notificar a la APDP cuando una vulneración de seguridad pueda poner en riesgo los derechos de los titulares.
El rol de la Secretaría de Gobierno Digital
La Secretaría de Gobierno Digital (parte del Ministerio Secretaría General de la Presidencia) es el organismo coordinador de la transformación digital del Estado y ha asumido un rol central en la preparación del sector público para la Ley 21.719.
Entre las iniciativas en curso:
- Guía Práctica de Implementación: La Secretaría publicó una guía específica para facilitar la adecuación de los organismos de la Administración del Estado, disponible en su Wiki de Guías.
- Estándares técnicos: Normas técnicas de seguridad de la información para el sector público.
- Capacitación: Programas de formación para funcionarios que manejan datos personales.
Los organismos que se anticipen a los requisitos de la Secretaría no solo cumplirán con la Ley 21.719, sino que también estarán alineados con los estándares digitales del Estado chileno.
El rol de la Contraloría General de la República
La Contraloría General de la República, como órgano superior de fiscalización de la Administración del Estado, tiene competencias que se superponen con las de la APDP en el sector público:
- Fiscalización de legalidad: La Contraloría puede tomar razón (o representar) actos administrativos que no cumplan con la Ley 21.719.
- Auditorías: Puede auditar el cumplimiento de las obligaciones legales de los organismos, incluyendo las de protección de datos.
- Dictámenes: Puede emitir pronunciamientos sobre la compatibilidad entre la Ley de Transparencia y la Ley 21.719.
Esta superposición de competencias significa que los organismos públicos pueden enfrentar fiscalización simultánea de la APDP (en materia de protección de datos) y de la Contraloría (en materia de legalidad). La coherencia entre ambos regímenes será clave.
Plan de acción de 90 días para organismos públicos
Este plan fue estructurado considerando las dimensiones críticas identificadas en la Ley 21.719 para el sector público. Adapte los plazos a la realidad de su organismo.
Días 1 a 30 — Diagnóstico y fundaciones
| Acción | Responsable | Dimensión | Entregable |
|---|---|---|---|
| Designar o formalizar el delegado de protección de datos con acto administrativo publicado | Jefatura máxima | Gobernanza | Resolución o decreto de designación |
| Conformar comité de protección de datos (o reactivar si existe solo en el papel) | Delegado + Gabinete | Gobernanza | Acto administrativo del comité, calendario de reuniones |
| Mapear todos los sistemas que procesan datos personales de ciudadanos y funcionarios | Delegado + TI | Registro de Tratamientos | Lista de sistemas con clasificación de datos |
| Identificar todos los convenios de transferencia de datos con otros organismos | Delegado + Jurídico | Compartición | Lista de convenios con base legal |
| Verificar existencia y vigencia de la Política de Seguridad de la Información | TI + Delegado | Seguridad | PSI vigente o plan de creación |
| Revisar si existe canal de atención ciudadana para derechos de titulares | Delegado + Atención | Derechos | Diagnóstico del canal existente |
Días 31 a 60 — Implementación de controles prioritarios
| Acción | Responsable | Dimensión | Entregable |
|---|---|---|---|
| Iniciar registro de tratamientos (priorizar áreas críticas: salud, seguridad, beneficios sociales) | Delegado + áreas | Registro de Tratamientos | Registro parcial con tratamientos de alto riesgo |
| Documentar base legal para cada operación de tratamiento mapeada | Delegado + Jurídico | Licitud | Registro de bases legales por tratamiento |
| Elaborar o actualizar la Política de Protección de Datos del organismo | Delegado + Jurídico | Gobernanza | Borrador para aprobación |
| Formalizar convenios de compartición de datos pendientes | Delegado + Jurídico | Compartición | Borradores de convenios/adendas |
| Implementar o mejorar canal de atención para ejercicio de derechos | Delegado + Atención | Derechos | Canal funcional con flujo documentado |
| Elaborar plan de respuesta a incidentes de seguridad | Delegado + TI | Seguridad | Plan aprobado por la autoridad máxima |
| Realizar primera capacitación obligatoria sobre Ley 21.719 | Delegado + RRHH | Capacitación | Lista de asistencia, material disponibilizado |
Días 61 a 90 — Consolidación y evidencias
| Acción | Responsable | Dimensión | Entregable |
|---|---|---|---|
| Completar registro de tratamientos (todas las áreas) | Delegado + áreas | Registro de Tratamientos | Registro completo |
| Elaborar EIPD para los tratamientos de alto riesgo identificados | Delegado + TI + Jurídico | Evaluación de Impacto | EIPD(s) aprobada(s) |
| Implementar controles de acceso basados en perfil en sistemas críticos | TI | Seguridad | Informe de controles implementados |
| Publicar información de privacidad en el sitio web institucional | Delegado + Comunicaciones | Transparencia | Página de privacidad actualizada |
| Realizar simulación de incidente de seguridad (ejercicio tabletop) | Delegado + TI | Seguridad | Informe de la simulación |
| Compilar evidencias de adecuación para eventual fiscalización | Delegado | Todas | Dossier de evidencias |
| Presentar informe de avance a la autoridad máxima | Delegado | Gobernanza | Informe con indicadores antes/después |
Checklist de adecuación para el sector público
Gobernanza y liderazgo
- Delegado de protección de datos designado formalmente con acto administrativo
- Comité de protección de datos constituido y con reuniones periódicas documentadas
- Política de Protección de Datos Personales aprobada por la autoridad máxima
- Política de Seguridad de la Información vigente y actualizada
- Plan de adecuación a la Ley 21.719 con cronograma, metas y responsables
Registro de tratamientos y mapeo
- Registro completo de operaciones de tratamiento (equivalente al ROPA)
- Flujos de datos personales mapeados en todos los procesos del organismo
- Bases legales documentadas para cada operación de tratamiento
- Identificación de tratamientos conjuntos con otros organismos públicos
- EIPD elaborada para tratamientos de alto riesgo
Compartición y transferencia
- Registro formal de todos los convenios de intercambio de datos con otros organismos
- Convenios formalizados con cláusulas de protección de datos
- Contratos con proveedores (encargados) con cláusulas Ley 21.719
- Publicidad de los intercambios de datos conforme a la normativa vigente
Derechos de los titulares y transparencia
- Canal de atención al titular operativo y accesible (integrado con plataformas de atención ciudadana)
- Procedimiento documentado para respuesta a solicitudes en los plazos legales
- Información sobre tratamiento de datos publicada en el sitio web institucional
- Avisos de privacidad actualizados en todos los puntos de recolección de datos
Seguridad e incidentes
- Controles de acceso basados en perfil en sistemas que procesan datos personales
- Plan de respuesta a incidentes aprobado y probado
- Proceso de comunicación de incidentes a la APDP definido
- Registros de acceso habilitados en sistemas críticos
Capacitación
- Programa de capacitación en Ley 21.719 para funcionarios que manejan datos personales
- Campañas de sensibilización realizadas periódicamente
- Registro de capacitaciones realizadas (listas de asistencia, certificados)
Las implicaciones para municipalidades y servicios de menor tamaño
La Ley 21.719 aplica a todos los organismos del Estado, sin distinción de tamaño. Una municipalidad rural con treinta funcionarios tiene las mismas obligaciones en materia de derechos de titulares que un ministerio con miles de empleados.
La diferencia está en la proporcionalidad de las medidas: el estándar de seguridad de una municipalidad no puede ser idéntico al del Servicio de Impuestos Internos. La ley reconoce esta realidad al exigir medidas "proporcionales al riesgo", lo que permite que organismos más pequeños implementen controles acordes a su escala.
Para municipalidades y servicios pequeños, la prioridad debe ser:
- Designar el delegado (puede ser un cargo compartido con otras funciones)
- Registrar los tratamientos de datos más relevantes (padrón vecinal, beneficios sociales, personal)
- Implementar un canal básico de atención de derechos
- Capacitar a los funcionarios que manejan datos personales
La convergencia regulatoria que se avecina
La Ley 21.719 marca el inicio de un nuevo ciclo de fiscalización en el Estado chileno. Hasta ahora, no existía un régimen robusto de protección de datos con una autoridad supervisora con poder sancionatorio. La creación de la APDP cambia esto.
Las siguientes fuerzas convergen para los organismos públicos:
- APDP — fiscalización y sanciones por incumplimiento de la Ley 21.719
- Contraloría General — dictámenes y auditorías sobre legalidad de los actos administrativos que involucren datos personales
- Secretaría de Gobierno Digital — estándares técnicos y supervisión de la transformación digital del Estado
- Consejo para la Transparencia — compatibilización entre transparencia pública y protección de datos
Los organismos que se preparen antes de diciembre de 2026 tendrán ventaja frente a esta convergencia. Los que esperen hasta el último momento enfrentarán múltiples frentes de fiscalización simultáneos.
Conclusión
La Ley 21.719 transforma la protección de datos en el sector público de una obligación abstracta en un deber concreto, con plazos definidos, una autoridad supervisora con poder sancionatorio y ciudadanos cada vez más conscientes de sus derechos.
El plan de 90 días presentado en esta guía no requiere presupuestos extraordinarios ni reestructuraciones profundas. Requiere decisión, priorización y ejecución disciplinada.
La pregunta para cada organismo público no es si debe adecuarse, sino con qué velocidad logrará hacerlo antes de que la APDP, la Contraloría o un ciudadano exija una respuesta.
Confidata es una plataforma especializada en gestión de cumplimiento con la Ley 21.719. Con módulos para registro de tratamientos, gestión de riesgos, EIPD, canal del titular y auditoría continua, Confidata ayuda a organismos públicos a evolucionar de la adecuación formal a la protección efectiva de los datos personales de los ciudadanos. Conozca nuestras soluciones para el sector público.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.