Sectorial13 min de lectura

Ley 21.719 para ONGs y Fundaciones: Guía de Adecuación en Chile

Equipo Confidata·
Compartir

La Ley 21.719 se aplica a toda persona jurídica que trate datos personales — y las corporaciones, fundaciones y organizaciones no gubernamentales no son la excepción. El error más frecuente en el tercer sector es suponer que, por no tener fines de lucro, la organización estaría exenta de las obligaciones de protección de datos. No lo está. La ley no distingue entre entidades lucrativas y no lucrativas: si la organización recopila nombre, RUT, domicilio, datos de salud o cualquier información que identifique a una persona, debe cumplir con la Ley 21.719.

Y el tercer sector tiene un agravante: muchas organizaciones tratan datos de poblaciones vulnerables — personas en situación de calle, víctimas de violencia, niños y niñas, personas adultas mayores, personas con discapacidad — cuya filtración o uso indebido puede causar daños particularmente graves.

Por qué las ONGs no pueden ignorar la Ley 21.719

La Ley 21.719 (publicada el 13 de diciembre de 2024, con plazo de adecuación hasta el 1 de diciembre de 2026) aplica a cualquier persona natural o jurídica, de derecho público o privado, que realice tratamiento de datos personales. Las corporaciones y fundaciones constituidas conforme al Título XXXIII del Código Civil son personas jurídicas de derecho privado — y por tanto, destinatarias directas de la ley.

Las razones prácticas son igualmente directas:

  1. Volumen de datos personales: Las ONGs recopilan datos de donantes (nombre, RUT, datos bancarios, historial de donaciones), beneficiarios (datos socioeconómicos, de salud, judiciales), voluntarios (documentos, antecedentes) y socios institucionales.

  2. Datos sensibles frecuentes: Dependiendo de la causa, la organización trata datos de salud (ONGs de salud, organizaciones oncológicas), datos sobre origen étnico (organizaciones de pueblos originarios), datos sobre orientación sexual (organizaciones LGTBIQ+) o datos de niños y niñas (hogares de acogida, programas socioeducativos).

  3. Poblaciones vulnerables: Los beneficiarios de programas sociales frecuentemente no pueden ejercer sus derechos de manera autónoma. La responsabilidad de la organización en proteger esos datos es, por tanto, reforzada.

  4. Fiscalización creciente: La Agencia de Protección de Datos Personales (APDP), creada por la Ley 21.719 como organismo autónomo, tendrá facultades de fiscalización y podrá aplicar multas de hasta 20.000 UTM a quienes infrinjan la ley.

Datos sensibles comunes en organizaciones del tercer sector

El Art. 4 de la Ley 21.719 define como datos sensibles aquellos que revelan origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos relativos a la salud, vida sexual u orientación sexual, datos biométricos, datos genéticos y datos de condenas penales.

Para el tercer sector, los datos sensibles más frecuentes incluyen:

Salud

Organizaciones que actúan en salud — hospitales benéficos, organizaciones contra el cáncer, salud mental, VIH/SIDA — tratan datos de salud en gran escala. La ley exige bases legales específicas para estos datos y medidas de seguridad reforzadas.

Origen étnico y pueblos originarios

Organizaciones de promoción de derechos de pueblos indígenas (mapuche, aymara, rapa nui, entre otros) frecuentemente recopilan datos de origen étnico para identificar a los beneficiarios y rendir cuentas a financiadores.

Datos de niños, niñas y adolescentes

Hogares de acogida, programas socioeducativos, organizaciones de defensa de derechos de la infancia tratan datos amparados por la protección especial que establece la Ley 21.719 para menores. Los niños menores de 14 años requieren el consentimiento de sus padres o representante legal.

Orientación sexual y convicciones religiosas

Organizaciones LGTBIQ+ y entidades confesionales tratan datos cuya exposición indebida puede generar discriminación directa contra el titular.

Bases legales para el tratamiento de datos en el tercer sector

La elección de la base legal correcta es el punto de partida de la conformidad. Para las ONGs, las bases más relevantes del Art. 13 de la Ley 21.719 son:

Consentimiento (Art. 12)

Aplicable cuando el tratamiento no encuadra en otra base legal. Común para:

  • Registro de donantes persona natural
  • Envío de comunicaciones de captación de recursos (newsletters, campañas)
  • Uso de imagen de beneficiarios en materiales de difusión
  • Encuestas de satisfacción o impacto

Atención: el consentimiento puede ser revocado en cualquier momento. Si la organización depende del consentimiento para tratar datos esenciales para su operación, está asumiendo un riesgo operacional.

Ejecución de contrato (Art. 13, c)

Aplicable cuando existe un contrato entre la organización y el titular:

  • Contratos con voluntarios (convenios de voluntariado)
  • Contratos con prestadores de servicios
  • Convenios con beneficiarios que contemplan derechos y obligaciones recíprocos

Cumplimiento de obligación legal (Art. 13, b)

Aplicable cuando una ley obliga a la organización a tratar los datos:

  • Declaraciones tributarias (datos de donantes para emisión de recibos de donación)
  • Obligaciones laborales (datos de funcionarios)
  • Rendición de cuentas ante el Ministerio de Justicia o entidades públicas financiadoras
  • Obligaciones ante el Servicio de Impuestos Internos (SII)

Interés legítimo (Art. 13, d)

Base flexible, pero que exige documentar la evaluación de intereses (Legitimate Interest Assessment). Aplicable para:

  • Prevención de fraudes en donaciones
  • Análisis de perfil de donantes para captación de recursos (con respeto de los límites de la ley)
  • Comunicación institucional para donantes recurrentes

Para datos sensibles: la Ley 21.719 contempla una base legal específica para organizaciones sin fines de lucro: el tratamiento es lícito cuando lo realiza una entidad sin fines de lucro con fines políticos, filosóficos, religiosos, culturales, gremiales o profesionales, y el tratamiento se limita a sus miembros o afiliados, cumple los fines propios de la institución, cuenta con salvaguardas adecuadas y los datos no son comunicados a terceros sin consentimiento.

Donantes: datos financieros, historial y retención

La relación con donantes genera un conjunto específico de datos personales que requiere atención:

Datos recopilados

  • Nombre completo, RUT, domicilio (para recibo de donación con beneficio tributario)
  • Datos bancarios o de tarjeta de crédito (para donaciones recurrentes)
  • Historial de donaciones (montos, fechas, campañas)
  • Correo electrónico y teléfono (para comunicación y rendición de cuentas)

Base legal recomendada

Para donaciones con recibo tributario, la base legal principal es cumplimiento de obligación legal — la normativa tributaria exige que la organización mantenga registros de las donaciones recibidas con identificación del donante. Para comunicaciones de captación, la base debe ser consentimiento o interés legítimo (con evaluación documentada).

Retención de datos de donantes

La normativa tributaria del SII exige conservar documentos por un período mínimo de 6 años. Para donaciones con beneficio tributario, los comprobantes deben mantenerse por ese período. Vencido el plazo legal, la organización debe eliminar o anonimizar los datos.

Seguridad de datos financieros

Datos bancarios y de tarjeta de crédito requieren medidas de seguridad reforzadas:

  • Cifrado en reposo y en tránsito
  • Acceso restringido al equipo de finanzas
  • No almacenar datos de tarjeta de crédito localmente (usar pasarela de pagos certificada PCI DSS)

Beneficiarios: datos de poblaciones vulnerables

Este es el punto más delicado del tercer sector. Los beneficiarios frecuentemente entregan datos en contextos de vulnerabilidad — y la filtración o uso indebido puede causar daños graves.

Principio de minimización de datos

La organización debe recopilar solo los datos estrictamente necesarios para la finalidad del programa. Si un proyecto de capacitación laboral no necesita conocer la orientación sexual del beneficiario, no debe recopilar esa información.

Consentimiento informado

El consentimiento de beneficiarios vulnerables requiere especial cuidado:

  • El lenguaje debe ser accesible (evitar tecnicismos jurídicos)
  • El beneficiario debe entender que puede negarse sin perder el acceso al servicio (cuando sea posible)
  • Para niños y niñas menores de 14 años, el consentimiento lo otorgan los padres o el representante legal

Anonimización para informes

Los informes de impacto y rendición de cuentas a financiadores frecuentemente incluyen información sobre beneficiarios. La organización debe anonimizar los datos siempre que sea posible — usar datos agregados ("120 familias atendidas") en lugar de datos individualizados.

Compartición con financiadores

Los financiadores institucionales (empresas, fundaciones, organismos internacionales) frecuentemente exigen datos individualizados para comprobar la ejecución del proyecto. En ese caso:

  • La compartición debe tener base legal documentada
  • El financiador debe comprometerse contractualmente con la protección de los datos recibidos
  • Los datos compartidos deben ser los mínimos necesarios para la comprobación

Rendición de cuentas vs. Ley 21.719

La tensión entre transparencia y protección de datos es real en el tercer sector:

Corporaciones y fundaciones con financiamiento público

Las organizaciones que reciben recursos del Estado (SENADIS, Ministerio de Desarrollo Social y Familia, municipalidades, GORE) deben rendir cuentas sobre el uso de esos fondos. Esta rendición puede involucrar datos personales de beneficiarios y donantes. La base legal es cumplimiento de obligación legal, pero la organización debe limitar los datos compartidos al estrictamente necesario.

Organizaciones reconocidas como Entidades sin Fines de Lucro (ESFL)

Las organizaciones inscritas en el Registro Nacional de Personas Jurídicas sin Fines de Lucro (Ley 20.500) tienen obligaciones específicas de transparencia cuando gestionan recursos públicos. Esto no autoriza la exposición de datos personales de beneficiarios.

Informes para financiadores internacionales

Organismos internacionales (ONU, Banco Interamericano de Desarrollo, fundaciones extranjeras) pueden exigir datos detallados de beneficiarios. La organización debe verificar si la transferencia configura una transferencia internacional de datos bajo la Ley 21.719 y adoptar las garantías aplicables.

Organizaciones pequeñas: ¿existen reglas simplificadas?

A diferencia de Brasil, la Ley 21.719 no establece un régimen simplificado específico para "pequeños agentes de tratamiento" equiparable al sistema brasileño. Sin embargo, la ley sí contempla proporcionalidad:

  • Encargado de Protección de Datos (EPD): su designación es obligatoria solo para organismos públicos, empresas que traten datos sensibles a gran escala y entidades que realicen monitoreo sistemático. Para ONGs pequeñas, es voluntario — aunque recomendado.

  • Registro de actividades de tratamiento: la ley exige documentar las operaciones de tratamiento, pero el nivel de detalle puede ser proporcional al tamaño y riesgos de la organización.

  • Evaluación de impacto (EIPD): obligatoria cuando el tratamiento supone un alto riesgo para los titulares. Una ONG pequeña que trate datos de salud de niños en situación de vulnerabilidad puede estar obligada a realizarla, independientemente de su tamaño.

La clave es la proporcionalidad al riesgo, no al tamaño. Una corporación pequeña que trate datos sensibles de cientos de beneficiarios puede tener más obligaciones que una empresa grande que solo trata datos de sus empleados.

Captación de recursos y Ley 21.719

Transferencias bancarias y plataformas digitales

Las donaciones por transferencia bancaria o mediante plataformas digitales generan datos personales del donante (nombre, RUT, correo electrónico). La organización debe:

  • Informar la finalidad de la recopilación al momento de la donación
  • Registrar la base legal (obligación legal para recibo tributario, consentimiento para comunicaciones futuras)
  • No compartir datos de donantes con terceros sin base legal

Plataformas de crowdfunding que procesan datos en nombre de la organización actúan como encargados de tratamiento — es necesario formalizar un contrato de tratamiento de datos.

Redes sociales y campañas

Las campañas en redes sociales que recopilan datos (formularios, landing pages) deben:

  • Presentar aviso de privacidad antes de la recopilación
  • Obtener consentimiento para el envío de comunicaciones de marketing
  • No usar datos recopilados en una campaña para una finalidad distinta (principio de finalidad)

Eventos benéficos

Los eventos presenciales que recopilan datos de asistentes (listas de asistencia, fotografías) deben:

  • Informar a los asistentes sobre la recopilación y la finalidad
  • Obtener consentimiento para uso de imagen, si corresponde
  • Definir plazo de retención (no conservar listas de asistencia indefinidamente)

Cómo estructurar la adecuación con presupuesto limitado

El tercer sector raramente cuenta con presupuesto dedicado a protección de datos. Un enfoque práctico y progresivo:

Fase 1 — Mapeo básico (meses 1-2)

  • Listar todas las actividades que involucran datos personales (beneficiarios, donantes, voluntarios, funcionarios)
  • Identificar qué datos se recopilan en cada actividad
  • Identificar datos sensibles (salud, etnia, religión, niños)
  • Documentar dónde se almacenan los datos (planillas, sistemas, papel)

Fase 2 — Bases legales y documentación (meses 3-4)

  • Definir la base legal para cada actividad de tratamiento
  • Crear aviso de privacidad (documento simple y accesible)
  • Crear formulario de consentimiento para las situaciones que lo requieren
  • Definir política de retención (cuánto tiempo conservar cada tipo de dato)

Fase 3 — Seguridad y procesos (meses 5-6)

  • Implementar controles básicos de acceso (quién puede ver qué)
  • Crear procedimiento de respuesta a solicitudes de titulares
  • Crear procedimiento básico de respuesta a incidentes
  • Capacitar al equipo sobre las reglas básicas

Checklist de conformidad para corporaciones, fundaciones y ONGs

  • Mapeo de todas las actividades de tratamiento (beneficiarios, donantes, voluntarios, funcionarios)
  • Base legal documentada para cada actividad (consentimiento, obligación legal, contrato, interés legítimo)
  • Aviso de privacidad publicado (sitio web y/o disponible físicamente)
  • Formularios de consentimiento específicos (imagen, datos sensibles, niños)
  • Canal de comunicación con el titular disponible (correo, formulario, teléfono)
  • Política de retención de datos definida (plazos legales y operacionales)
  • Controles de acceso implementados (quién accede a qué datos)
  • Datos de donantes con medidas de seguridad reforzadas (especialmente financieros)
  • Datos de beneficiarios vulnerables con protección especial
  • Anonimización de datos en informes para financiadores (cuando sea posible)
  • Contratos con plataformas de captación que incluyan cláusulas de protección de datos
  • Política de privacidad para redes sociales y campañas digitales
  • Procedimiento de respuesta a incidentes de seguridad
  • Capacitación básica del equipo sobre protección de datos
  • Evaluación de la necesidad de designar Encargado de Protección de Datos (EPD)
  • Verificación de cumplimiento del plazo de adecuación: 1 de diciembre de 2026

Conclusión

El tercer sector enfrenta un desafío singular en la adecuación a la Ley 21.719: la responsabilidad de proteger datos frecuentemente sensibles de poblaciones vulnerables, con recursos financieros limitados y una cultura organizacional que, comprensiblemente, prioriza la misión social por sobre los requisitos regulatorios. Pero la protección de datos no es burocracia — es parte de la misión. Una organización que expone datos de salud de sus beneficiarios o comparte información de niños atendidos sin criterio está fallando en la misma misión que se propone cumplir.

La Ley 21.719 no establece un régimen simplificado como el brasileño, pero sí reconoce la proporcionalidad al riesgo: las obligaciones se calibran según la naturaleza y volumen de los datos tratados, no solo por el tamaño de la organización. El camino de la adecuación no necesita ser caro — necesita ser consciente, documentado y progresivo. Y el plazo para lograrlo es claro: 1 de diciembre de 2026.

Confidata ofrece funcionalidades adaptadas al tercer sector: mapeo de actividades de tratamiento con clasificación de datos sensibles, registro de bases legales por actividad y gestión de solicitudes de titulares — permitiendo que organizaciones con equipos reducidos mantengan conformidad documentada sin complejidad innecesaria.

Compartir
#Ley 21.719#tercer sector#ONG#fundación#corporación#datos sensibles#protección de datos#Chile

Artículos relacionados

Ley 21.719 para asociaciones, ONGs y el tercer sector en ChileSectorial · 11 minLey 21.719 para contadores y estudios contables en ChileSectorial · 11 minLey 21.719 en Condominios — Cámaras, Control de Acceso y Datos de CopropietariosSectorial · 14 minLey 21.719 en el e-commerce: datos de clientes, cookies y marketing digitalSectorial · 12 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista