Ley 21.719 vs GDPR: diferencias y similitudes que realmente importan
La Ley 21.719 fue explícitamente inspirada en el GDPR — su estructura, principios y mecanismos de control lo evidencian. Pero inspiración no significa copia. Hay diferencias estructurales entre ambos regímenes que tienen consecuencias prácticas concretas, especialmente para organizaciones que operan en Chile y Europa simultáneamente, o que transfieren datos entre ambas regiones.
Este artículo compara los dos regímenes en los aspectos que más importan para la práctica: bases legales, derechos de los titulares, plazos, sanciones, transferencias internacionales y obligaciones del encargado de protección de datos. El plazo de adecuación a la Ley 21.719 vence el 1 de diciembre de 2026 — entender estas diferencias es urgente para las empresas que ya operan bajo GDPR.
Contexto y origen
| Ley 21.719 | GDPR | |
|---|---|---|
| Instrumento | Ley nº 21.719/2024 (Chile) | Reglamento (UE) 2016/679 |
| Publicación | 13 de diciembre de 2024 | 25 de mayo de 2016 |
| Vigencia | 1 de diciembre de 2026 (plazo de adecuación) | 25 de mayo de 2018 |
| Autoridad de control | Agencia de Protección de Datos Personales (APDP) — organismo autónomo | Autoridades de protección de datos de los Estados Miembros (ej.: CNIL en Francia, BfDI en Alemania, AEPD en España) |
| Ámbito territorial | Tratamiento realizado en Chile; o dirigido a residentes en Chile; o que monitoree el comportamiento de personas en Chile | Tratamiento de datos de personas en la UE/EEE; o actividad de establecimiento en la UE; o oferta de bienes/servicios a personas en la UE |
Bases legales: la diferencia más importante
Esta es probablemente la diferencia estructural más relevante entre los dos regímenes — y la que más impacta en el día a día del programa de conformidad.
GDPR: 6 bases legales (Art. 6)
El GDPR prevé seis hipótesis para el tratamiento lícito de datos personales:
- Consentimiento — manifestación libre, específica, informada e inequívoca
- Ejecución de contrato — necesario para la ejecución o medidas precontractuales
- Obligación legal — cumplimiento de obligación legal o reglamentaria
- Intereses vitales — protección de intereses vitales del titular o de un tercero
- Interés público — ejercicio de funciones de interés público o de autoridad pública
- Intereses legítimos — intereses legítimos del responsable o de un tercero, salvo que prevalezcan los intereses del titular
Ley 21.719: 6 bases legales (Arts. 12 y 13)
La Ley 21.719 estructura las bases de licitud en dos artículos: el consentimiento en el Art. 12 y cinco fuentes adicionales en el Art. 13:
- Consentimiento del titular (Art. 12) — libre, informado, específico, previo e inequívoco
- Datos sobre obligaciones económicas, financieras, bancarias o comerciales (Art. 13, a) — base específica chilena sin equivalente directo en el GDPR
- Cumplimiento de obligación legal (Art. 13, b) — cuando la ley impone al responsable la obligación de tratar los datos
- Ejecución de contrato (Art. 13, c) — tratamiento necesario para la ejecución de un contrato del que el titular es parte, o para medidas precontractuales
- Interés legítimo del responsable o de un tercero (Art. 13, d) — siempre que no prevalezcan sobre los derechos del titular
- Formulación o ejercicio de una acción judicial o administrativa (Art. 13, e) — defensa de derechos ante tribunales o autoridades públicas
Lo que esta diferencia significa en la práctica
Para organizaciones que operan solo en Chile: aunque ambos regímenes tienen 6 bases, la estructura chilena es distinta. La Ley 21.719 incluye una base específica para datos económico-comerciales (sin equivalente en el GDPR) y otra para defensa judicial. En cambio, no contempla "interés público" ni "intereses vitales" como categorías autónomas — esos supuestos se encuadran en "obligación legal" o "interés legítimo" según el caso.
Para organizaciones que operan en ambos regímenes: una actividad que en Europa se apoya en "interés público" deberá ser justificada bajo "obligación legal" o "interés legítimo" en Chile, con la evaluación documentada correspondiente. El inventario de actividades de tratamiento debe indicar la base legal en cada régimen.
Datos sensibles: categorías y protección reforzada
Ambos regímenes reconocen una categoría especial de datos que merece protección reforzada, con diferencias menores de alcance.
GDPR: "Categorías especiales de datos" (Art. 9)
- Origen racial o étnico
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos para identificación única
- Datos de salud
- Vida sexual u orientación sexual
Ley 21.719: "Datos sensibles" (Art. 4)
- Origen étnico
- Salud (incluyendo estado de salud, historial clínico)
- Datos biométricos para identificación única
- Datos genéticos
- Vida sexual u orientación sexual
- Convicciones religiosas o filosóficas
- Opiniones políticas
- Afiliación sindical o gremial
- Condenas penales e infracciones
Diferencia práctica: La Ley 21.719 incluye explícitamente las condenas penales como categoría de datos sensibles, integrándola en el régimen de protección reforzada. El GDPR trata los datos sobre condenas penales en el Art. 10, separado del Art. 9 de categorías especiales. En la práctica, el nivel de protección es equivalente, pero la estructura es distinta.
Derechos de los titulares
Ambos regímenes garantizan derechos amplios a los titulares, con un alto grado de superposición.
Cuadro comparativo
| Derecho | Ley 21.719 | GDPR (Arts. 15-22) |
|---|---|---|
| Acceso a los datos | ✅ | ✅ |
| Rectificación | ✅ | ✅ |
| Cancelación/eliminación | ✅ | ✅ (derecho al olvido) |
| Bloqueo | ✅ | ✅ (limitación del tratamiento, Art. 18) |
| Portabilidad | ✅ | ✅ |
| Oposición al tratamiento | ✅ | ✅ (Art. 21 GDPR) |
| No ser sujeto a decisión automatizada | ✅ | ✅ (Art. 22 GDPR) |
| Información sobre compartición | ✅ | ✅ (incluido en el derecho de acceso) |
Plazos de respuesta
Este es uno de los puntos de mayor paridad entre los dos regímenes:
Ley 21.719:
- Plazo estándar: 30 días corridos desde la recepción de la solicitud, con posibilidad de prórroga justificada
GDPR (Art. 12(3)):
- Plazo estándar: un mes desde la recepción de la solicitud
- Prórroga: dos meses adicionales cuando sea necesario por complejidad o número de solicitudes
Implicación práctica: ambos regímenes tienen el mismo plazo estándar de 30 días / un mes. Una política unificada de atención a titulares que adopte 30 días como estándar cumple con los dos regímenes. Esto simplifica significativamente la gestión para organizaciones binacionales.
Notificación de incidentes de seguridad
| Aspecto | Ley 21.719 | GDPR |
|---|---|---|
| Plazo a la autoridad | "Sin demora injustificada" — sin plazo fijo explícito en la ley (regulación APDP pendiente) | 72 horas (Art. 33) |
| Plazo a los titulares | Requerida para incidentes que involucren datos sensibles, datos de niños, financieros o bancarios | "Sin demora injustificada" cuando existe alto riesgo (Art. 34) |
| Umbral | Incidentes que puedan ocasionar daño relevante a los titulares | Violación con riesgo para derechos y libertades |
Diferencia crítica: La Ley 21.719 no establece un plazo fijo en horas para notificar a la APDP, a diferencia del GDPR que exige 72 horas. La regulación específica de la APDP sobre incidentes está pendiente y podría establecer plazos más precisos. Para organizaciones que ya cumplen el plazo de 72 horas del GDPR, este será el estándar más exigente a mantener.
Encargado de Protección de Datos (EPD / DPO)
| Aspecto | Ley 21.719 | GDPR |
|---|---|---|
| Obligatoriedad | No para todos los responsables. Obligatorio para organismos públicos, quienes traten datos sensibles a gran escala, y quienes realicen monitoreo sistemático | Solo en 3 casos: (1) autoridad pública, (2) monitoreo sistemático a gran escala, (3) tratamiento a gran escala de categorías especiales (Art. 37 GDPR) |
| Puede ser persona natural o jurídica | Sí | Sí |
| Publicación de contacto | Requerida cuando se designa | Obligatoria (Art. 37(7) GDPR) |
| Independencia | La ley exige que quien ejerza la función tenga autonomía | Art. 38 GDPR: no recibe instrucciones sobre el ejercicio de sus funciones |
| Protección contra despido | No explícita en la ley | Protegido contra despido en razón del ejercicio de la función (Art. 38(3) GDPR) |
Diferencia relevante: A diferencia del GDPR, la Ley 21.719 no exige el EPD para todos los responsables del tratamiento. Los casos de obligatoriedad en Chile (organismos públicos, tratamiento a gran escala de datos sensibles, monitoreo sistemático) coinciden sustancialmente con los supuestos del GDPR — lo que significa que quien está obligado en Europa probablemente también lo estará en Chile.
Recomendación para organizaciones binacionales: Si ya tienen un DPO designado bajo el GDPR, extender su función para cubrir las obligaciones de la Ley 21.719 es la opción más eficiente.
Transferencias internacionales de datos
Ambos regímenes imponen restricciones a las transferencias de datos personales a países sin un nivel de protección adecuado.
GDPR: mecanismos disponibles (Art. 46 y siguientes)
- Decisión de adecuación de la Comisión Europea
- Cláusulas contractuales estándar (SCCs) aprobadas por la Comisión Europea
- Normas corporativas vinculantes (BCRs)
- Códigos de conducta y mecanismos de certificación aprobados
Ley 21.719: mecanismos disponibles
- Decisión de adecuación de la APDP
- Cláusulas contractuales estándar aprobadas por el Ministerio de Economía (ya disponibles)
- Normas corporativas vinculantes (BCRs)
- Certificación APEC CBPR (Cross-Border Privacy Rules)
Estado actual de adecuación mutua: Chile no tiene una decisión de adecuación de la Comisión Europea, lo que significa que las transferencias de datos desde la UE hacia Chile requieren SCCs u otro mecanismo del Art. 46 del GDPR. El Ministerio de Economía de Chile publicó modelos de cláusulas contractuales estándar para transferencias desde Chile al exterior. Para transferencias en sentido UE→Chile, las SCCs del GDPR siguen siendo el mecanismo estándar. Una decisión de adecuación UE-Chile podría estar en discusión en los próximos años, pero no es inminente para 2026.
Sanciones: comparativo de penalidades
| Aspecto | Ley 21.719 | GDPR (Art. 83) |
|---|---|---|
| Advertencia | ✅ | ✅ |
| Infracción leve | Hasta 5.000 UTM (~$349M CLP aprox.) | Hasta €10M o 2% del volumen de negocios anual global |
| Infracción grave | Hasta 10.000 UTM | Hasta €10M o 2% del volumen de negocios anual global |
| Infracción muy grave | Hasta 20.000 UTM | Hasta €20M o 4% del volumen de negocios anual global |
| Reincidencia (no PyME) | Hasta 2% (graves) o 4% (gravísimas) del volumen de negocios anual local, si supera el tope en UTM | Ya incluido en el cálculo base |
| Base de cálculo de la multa | UTM fijas; porcentaje solo en reincidencia y sobre volumen local | Porcentaje del volumen de negocios global desde la primera infracción |
| Bloqueo de datos | ✅ | ✅ |
| Prohibición de tratamiento | ✅ | ✅ |
Diferencia estructural: El GDPR aplica el porcentaje sobre el volumen de negocios global desde la primera infracción. La Ley 21.719 establece multas en UTM como base, y el porcentaje sobre volumen de negocios local (Chile) solo se aplica en casos de reincidencia para empresas que no son PyME — si el monto resultante supera el tope en UTM. Para empresas multinacionales, esto puede significar una exposición de multa significativamente mayor bajo el GDPR que bajo la Ley 21.719.
UTM en cifras: 1 UTM equivale aproximadamente a $69.800 pesos chilenos (valor abril 2026). 20.000 UTM representan aproximadamente $1.396 millones de pesos (~USD 1,5 millones). En reincidencia, la cláusula de porcentaje sobre volumen de negocios puede superar ese techo para empresas de gran tamaño.
Datos de niños y adolescentes
| Aspecto | Ley 21.719 | GDPR (Art. 8) |
|---|---|---|
| Edad de referencia | Menores de 14 años requieren consentimiento del representante legal | Menores de 16 años (los Estados Miembros pueden reducir hasta 13) |
| Consentimiento | Menores de 14: consentimiento parental. Adolescentes: pueden consentir con cautela | Servicios de la sociedad de la información: consentimiento del responsable si menor de 16 |
| Publicidad dirigida | Principio del interés superior del niño — prohibición de perfilamiento comercial | Sin prohibición expresa, pero alto riesgo — autoridades europeas han aplicado sanciones significativas |
| Ley complementaria | Ley 21.430 (Garantías y Protección Integral de los Derechos de la Niñez y Adolescencia) | Sin equivalente directo de ley complementaria específica |
Resumen ejecutivo: principales diferencias y similitudes
Principales similitudes
- Principios fundamentales equivalentes: finalidad, minimización, exactitud, integridad, confidencialidad, responsabilidad proactiva
- Derechos de los titulares ampliamente equivalentes
- Obligación de documentación y accountability
- Restricciones al tratamiento de datos sensibles
- Obligación de notificar incidentes relevantes
- Control de transferencias internacionales
- Ámbito territorial extraterritorial análogo
Principales diferencias
| Aspecto | Ley 21.719 | GDPR |
|---|---|---|
| Bases legales | 6 (estructura distinta: Arts. 12 y 13) | 6 (Art. 6 GDPR) |
| EPD/DPO | Obligatorio solo en 3 supuestos específicos | Obligatorio solo en 3 supuestos específicos (mismos casos) |
| Plazo de respuesta a titulares | 30 días | 1 mes (prorrogable 2 meses) |
| Notificación de incidentes | Sin plazo fijo explícito | 72 horas |
| Multa: base de cálculo | UTM fijas; % solo en reincidencia (local) | % volumen global desde primera infracción |
| Multa: techo | 20.000 UTM; hasta 4% volumen local en reincidencia | €20M o 4% volumen global |
| Adecuación Chile-UE | No reconocida por la UE | SCCs necesarias para transferencias UE→Chile |
| Edad de referencia para menores | 14 años | 16 años (reducible a 13) |
Lo que esto significa para organizaciones binacionales
Las organizaciones que operan tanto en Chile como en la Unión Europea necesitan:
-
Mantener inventario con doble base legal: para cada actividad, identificar la base de la Ley 21.719 (Arts. 12-13) y la base GDPR correspondiente (Art. 6) — las categorías no son idénticas, por lo que la correspondencia requiere análisis caso a caso.
-
Adoptar el plazo más exigente: 30 días para atención a titulares cumple ambos regímenes, ya que el GDPR prevé 1 mes como plazo estándar.
-
Implementar SCCs para flujos UE→Chile: mientras Chile no obtenga decisión de adecuación de la Comisión Europea, las transferencias desde Europa requieren cláusulas contractuales estándar del GDPR.
-
Registrar el EPD/DPO en ambas autoridades: si ya tienen DPO por el GDPR y las mismas condiciones se dan en Chile, extender el rol para cubrir las obligaciones de la Ley 21.719.
-
Adoptar el plazo más corto para incidentes: las 72 horas del GDPR son más exigentes que el "sin demora injustificada" de la Ley 21.719. Un plan de respuesta a incidentes calibrado para el GDPR cumple automáticamente con la Ley 21.719.
-
Armonizar los programas: un programa unificado con las reglas más restrictivas de cada régimen es generalmente más eficiente que mantener dos programas paralelos.
Conclusión
La Ley 21.719 y el GDPR comparten la misma filosofía: los datos personales tienen titulares, y esos titulares tienen derechos. Los principios y la lógica de ambos regímenes son lo suficientemente próximos como para que un programa de conformidad bien estructurado pueda cubrir los dos — con atención a las diferencias que realmente importan.
Las diferencias más relevantes en la práctica son: la estructura distinta de las bases legales (ambas tienen 6, pero con categorías diferentes — Chile incluye bases específicas para datos económico-comerciales y defensa judicial, mientras el GDPR tiene interés público e interés vital como bases autónomas), la ausencia de plazo fijo para notificación de incidentes en la Ley 21.719, y la base de cálculo de las sanciones (porcentaje sobre volumen global en el GDPR desde la primera infracción vs. porcentaje solo en reincidencia y sobre volumen local en Chile). La ausencia de decisión de adecuación UE-Chile sigue siendo el principal obstáculo operacional para transferencias de datos desde Europa hacia Chile — las SCCs son hoy el mecanismo estándar.
Para organizaciones que ya tienen implementado un programa GDPR, la Ley 21.719 representa un esfuerzo de adecuación incremental, no un reinicio desde cero. La estructura, el vocabulario y los mecanismos son reconocibles — lo que cambia son detalles de implementación que se pueden gestionar con ajustes puntuales al programa existente.
Confidata está diseñado para organizaciones que operan bajo múltiples regímenes regulatorios. Nuestra plataforma permite registrar bases legales por jurisdicción, gestionar solicitudes de titulares con control de plazos diferenciados y documentar el programa de conformidad con la evidencia que tanto la APDP como las autoridades europeas requieren en una fiscalización.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.