Guías Prácticas14 min de lectura

Política de Privacidad 2026: Modelos y Requisitos de la Ley 21.719

Equipo Confidata·
Compartir

La política de privacidad es, para la mayoría de las organizaciones, el documento más visible del cumplimiento de la Ley 21.719 — y, paradójicamente, uno de los más descuidados. Con la entrada en vigor plena de la ley el 1 de diciembre de 2026 y la Agencia de Protección de Datos Personales (APDP) ya operativa desde mediados de ese año, la política de privacidad dejó de ser una formalidad para convertirse en evidencia primaria de cumplimiento.

Esta guía cubre qué cambió, qué espera la APDP encontrar, los errores más comunes y modelos actualizados para distintos contextos.

Qué cambió desde las primeras políticas en Chile

Las políticas de privacidad escritas bajo la antigua Ley 19.628 eran, en su mayoría, documentos genéricos y desactualizados. La Ley 21.719 transformó el panorama significativamente:

  1. La Ley 21.719 amplió el catálogo de derechos de los titulares e introdujo nuevas obligaciones de transparencia que deben reflejarse en los avisos de privacidad.

  2. La APDP tiene poderes sancionatorios concretos — multas de hasta 20.000 UTM (aprox. USD 1.400.000) para infracciones gravísimas. La ausencia o inadecuación del aviso de privacidad puede ser factor agravante.

  3. Se incorporaron nuevos principios — proporcionalidad, exactitud, responsabilidad proactiva — que imponen obligaciones sobre qué informar y cómo.

  4. Se creó el Delegado de Protección de Datos (DPD), cuyo nombre y datos de contacto deben estar disponibles para los titulares.

  5. El tratamiento de datos sensibles y de menores tiene requisitos adicionales de transparencia que deben estar reflejados en la política.

Aviso de privacidad vs. política de privacidad vs. términos de uso

Estos tres documentos se confunden con frecuencia. Cada uno tiene finalidad y público distintos:

Aviso de privacidad (privacy notice)

Qué es: documento dirigido al público externo (titulares de datos) que informa, de forma clara y accesible, cómo la organización trata sus datos personales.

Fundamento legal: Ley 21.719 — los titulares tienen derecho a información clara sobre el tratamiento de sus datos (principio de transparencia, Art. 3°).

Dónde publicar: sitio institucional, aplicación, punto de atención presencial (recepción, local, consultorio).

Contenido obligatorio:

  • Identidad y datos de contacto del responsable del tratamiento
  • Datos de contacto del Delegado de Protección de Datos (DPD), si existe
  • Finalidades específicas del tratamiento
  • Bases jurídicas para cada finalidad
  • Categorías de datos tratados
  • Destinatarios o categorías de destinatarios (con quién se comparten los datos)
  • Transferencias internacionales (si aplica) y garantías
  • Plazos de retención
  • Derechos del titular (acceso, rectificación, supresión, oposición, portabilidad, bloqueo) y cómo ejercerlos

Política de privacidad (privacy policy)

Qué es: documento interno que define las reglas, directrices y procedimientos que la organización adopta para proteger los datos personales. Va dirigido a funcionarios, socios y proveedores.

Finalidad: gobernanza interna — establecer estándares de conducta para todos los que tratan datos personales en nombre de la organización.

Contenido típico:

  • Clasificación de datos personales
  • Reglas de recopilación, uso, almacenamiento y descarte
  • Procedimientos de seguridad
  • Gestión del consentimiento
  • Gestión de incidentes
  • Capacitación y concientización
  • Sanciones internas por incumplimiento

Términos de uso

Qué es: documento contractual que rige la relación entre el proveedor de un servicio (sitio, aplicación) y el usuario. No es un documento de privacidad — es un contrato.

Relación con privacidad: los términos de uso deben mencionar la política de privacidad, pero no deben sustituirla.

Elementos obligatorios del aviso de privacidad

La Ley 21.719 exige que las informaciones sobre el tratamiento se entreguen de forma "clara, suficiente, inequívoca y accesible". Los siguientes elementos son esenciales:

I — Finalidad específica del tratamiento

No basta con decir "usamos sus datos para mejorar nuestros servicios". La finalidad debe ser específica:

  • "Utilizamos su nombre y correo electrónico para enviar confirmación de reserva"
  • "Utilizamos su RUT para la emisión de documentos tributarios conforme a normativa del SII"
  • "Utilizamos su historial de navegación para personalizar las recomendaciones de productos"

II — Base jurídica del tratamiento

Para cada finalidad, la organización debe informar la base jurídica:

  • "Envío de newsletter: base legal — consentimiento (Art. 12 Ley 21.719)"
  • "Emisión de factura: base legal — cumplimiento de obligación legal (Art. 13(b))"
  • "Prevención de fraudes: base legal — interés legítimo (Art. 13(d))"

III — Identificación del responsable

Nombre completo de la persona jurídica y RUT. Si hay corresponsables, ambos deben identificarse.

IV — Datos de contacto del responsable y del DPD

Correo, teléfono o formulario para que el titular pueda ejercer sus derechos. Si la organización cuenta con DPD, sus datos también deben publicarse.

V — Información sobre uso compartido

Con quién se comparten los datos y con qué finalidad. Ejemplos:

  • "Compartimos datos de pago con el procesador de tarjetas para procesar la transacción"
  • "Compartimos datos de despacho con la empresa de transporte para la entrega del producto"

VI — Transferencia internacional

Si la organización usa servicios en la nube con servidores en el extranjero (AWS, Google Cloud, Azure), herramientas SaaS internacionales (Slack, Salesforce, HubSpot, Mailchimp) o comparte datos con empresas del grupo fuera de Chile, existe transferencia internacional de datos. La política debe informar:

  • A qué países se transfieren los datos
  • Qué garantía se utiliza (cláusulas contractuales tipo, consentimiento u otras conforme a la Ley 21.719)

VII — Derechos del titular

Mención explícita a los derechos contemplados en la Ley 21.719 (Arts. 4°–9°):

  • Confirmación de la existencia del tratamiento y acceso a los datos (Art. 5°)
  • Rectificación de datos incompletos, inexactos o desactualizados (Art. 6°)
  • Supresión de datos (Art. 7°)
  • Oposición al tratamiento (Art. 8°)
  • No ser objeto de decisiones automatizadas (Art. 8° bis)
  • Bloqueo o suspensión del tratamiento (Art. 8° ter)
  • Portabilidad (Art. 9°)

Los 5 errores más comunes en políticas de privacidad

Error 1: política copiada de otro sitio

El error más frecuente — y el más grave. Una política de privacidad copiada de otra empresa:

  • Describe tratamientos que la organización no realiza
  • Omite tratamientos que la organización efectivamente realiza
  • Puede citar legislación extranjera (GDPR, LGPD) sin relevancia para el contexto chileno
  • No refleja las bases jurídicas específicas de la organización

Error 2: política larga e ilegible

Políticas de 15 páginas en lenguaje jurídico denso no cumplen el requisito de "forma clara y accesible". El titular promedio no leerá 8.000 palabras de términos legales.

Solución: adoptar el modelo de política en capas (layered notice):

  • Capa 1: resumen visual con los puntos principales (1 página, lenguaje simple)
  • Capa 2: política completa con todos los detalles legales

Error 3: no actualizar cuando el tratamiento cambia

La política publicada en 2024 probablemente no refleja el tratamiento de datos de 2026. Nuevos sistemas, nuevos proveedores, nuevas finalidades — cada cambio relevante debe reflejarse en la política.

Disparadores de actualización:

  • Adopción de un nuevo sistema que recopila datos personales
  • Cambio de proveedor que actúa como encargado del tratamiento
  • Nueva finalidad de tratamiento
  • Nueva base jurídica
  • Cambio en la regulación (nuevas instrucciones de la APDP)
  • Incidente de seguridad que alteró prácticas

Error 4: no incluir bases jurídicas

Muchas políticas listan finalidades sin mencionar la base jurídica correspondiente. La Ley 21.719 exige transparencia sobre por qué la organización trata los datos — no solo para qué.

Error 5: omitir la transferencia internacional

Si la organización usa servicios en la nube con servidores en el exterior, debe informarlo. Este es uno de los puntos que la APDP verificará en sus fiscalizaciones — especialmente en sectores financiero, salud y tecnología.

Política en capas: la mejor práctica

El modelo de aviso en capas (layered notice) es recomendado por autoridades de protección de datos en todo el mundo y es la forma más eficiente de cumplir con los requisitos de transparencia de la Ley 21.719.

Capa 1 — Resumen visual

Un resumen de 1 página (o pantalla), con lenguaje accesible:

CÓMO USAMOS SUS DATOS — RESUMEN

Quiénes somos: [Nombre de la empresa], RUT [XX.XXX.XXX-X]
Delegado de Protección de Datos (DPD): [Nombre], contacto: [correo]

Qué recopilamos:
• Datos de registro (nombre, correo, RUT)
• Datos de navegación (cookies, IP)
• Datos de compra (historial, pago)

Para qué:
• Proveer nuestros servicios
• Procesar pagos
• Enviar comunicaciones (con su consentimiento)
• Cumplir obligaciones legales

Con quién compartimos:
• Procesadores de pago
• Empresas de despacho (para entrega)
• Autoridades públicas (cuando lo exige la ley)

Sus derechos: acceso, rectificación, supresión, oposición, portabilidad,
revocación del consentimiento.
Ejercer derechos: [correo/formulario]

Política completa: [enlace a capa 2]

Capa 2 — Política completa

Documento detallado con toda la información, organizado en secciones claras:

  1. Identificación del responsable y del DPD
  2. Datos personales recopilados (por categoría)
  3. Finalidades y bases jurídicas (para cada categoría)
  4. Compartición de datos (con quién y por qué)
  5. Transferencia internacional (si aplica)
  6. Cookies y tecnologías de rastreo
  7. Retención de datos (plazos por categoría)
  8. Seguridad de los datos (medidas adoptadas)
  9. Derechos del titular (cómo ejercerlos)
  10. Cambios en la política (cómo se informará al titular)
  11. Contacto del DPD
  12. Fecha de la última actualización

Modelo actualizado para sitio web y comercio electrónico

# Aviso de Privacidad — [Nombre de la Empresa]

**Última actualización:** [fecha]
**Responsable del tratamiento:** [Razón social], RUT [XX.XXX.XXX-X]
**Delegado de Protección de Datos (DPD):** [Nombre], correo: [dpd@empresa.cl]

## 1. Datos que recopilamos

### Datos proporcionados por usted
- **Registro:** nombre, correo electrónico, RUT, teléfono, dirección
- **Compra:** datos de pago (procesados vía [pasarela])
- **Atención al cliente:** mensajes enviados al soporte

### Datos recopilados automáticamente
- **Navegación:** páginas visitadas, tiempo de permanencia, clics
- **Técnicos:** dirección IP, tipo de navegador, sistema operativo
- **Cookies:** [enlace a política de cookies]

## 2. Para qué usamos sus datos

| Finalidad | Datos utilizados | Base jurídica |
|---|---|---|
| Procesar su compra | Nombre, dirección, pago | Ejecución de contrato (Art. 13(c)) |
| Emitir factura/boleta | Nombre, RUT, dirección | Obligación legal (Art. 13(b)) |
| Enviar actualizaciones del pedido | Correo, teléfono | Ejecución de contrato (Art. 13(c)) |
| Enviar ofertas y promociones | Correo | Consentimiento (Art. 12) |
| Prevenir fraudes | RUT, IP, historial | Interés legítimo (Art. 13(d)) |
| Mejorar nuestro sitio | Datos de navegación | Interés legítimo (Art. 13(d)) |

## 3. Compartición de datos

Compartimos sus datos solo cuando es necesario:
- **Procesador de pago:** [nombre] — para procesar transacciones
- **Empresa de despacho:** [nombre] — para entregar su pedido
- **Plataforma de correo:** [nombre] — para enviar comunicaciones
  (solo si usted consintió)
- **Autoridades públicas:** cuando lo exige la ley u orden judicial

## 4. Transferencia internacional

[Si aplica:] Utilizamos servicios cuyos servidores pueden estar
ubicados fuera de Chile: [listar servicios y países].
La transferencia se realiza con base en [cláusulas contractuales
tipo / consentimiento específico / otra garantía].

## 5. Retención de datos

| Categoría | Plazo | Fundamento |
|---|---|---|
| Datos de compra | 6 años desde la compra | Normativa SII (documentos tributarios) |
| Datos de registro | Mientras la cuenta esté activa | Ejecución de contrato |
| Datos de navegación | 6 meses | Interés legítimo |
| Registro de consentimiento | Mientras el consentimiento esté vigente | Responsabilidad proactiva (Art. 3°(e)) |

Transcurridos los plazos, los datos se eliminan o anonimizan.

## 6. Sus derechos

Puede, en cualquier momento:
- Confirmar si tratamos sus datos y acceder a ellos (Art. 5°)
- Rectificar datos incompletos o desactualizados (Art. 6°)
- Solicitar la supresión de sus datos (Art. 7°)
- Oponerse al tratamiento de sus datos (Art. 8°)
- Solicitar el bloqueo del tratamiento (Art. 8° ter)
- Solicitar la portabilidad de sus datos (Art. 9°)
- No ser objeto de decisiones automatizadas (Art. 8° bis)
- Revocar su consentimiento (cuando la base sea el consentimiento)

**Cómo ejercer:** envíe su solicitud a [correo del DPD]
o acceda a [formulario]. Responderemos en hasta 30 días hábiles.

## 7. Seguridad

Adoptamos medidas técnicas y organizativas para proteger sus
datos, incluyendo cifrado, control de acceso, copias de seguridad y
monitoreo. Detalles en nuestra Política de Seguridad de la
Información [enlace, si es pública].

## 8. Cambios

Podemos actualizar este aviso periódicamente. Los cambios
significativos se comunicarán por [correo / banner en el sitio].
La fecha de la última actualización aparece al inicio de este documento.

Modelo para aplicación móvil

Para aplicaciones, la política debe ser accesible antes de la recopilación de datos (en la pantalla de registro o en el primer acceso) y estar permanentemente disponible en la configuración de la app.

Elementos adicionales para apps:

  • Permisos solicitados (cámara, ubicación, contactos) y finalidad de cada uno
  • Datos recopilados en segundo plano (si los hay)
  • SDKs de terceros integrados (analítica, reportes de errores, publicidad) y qué datos comparten
  • Notificaciones push y cómo desactivarlas
  • Datos almacenados localmente en el dispositivo

Modelo para empleador (datos de trabajadores)

La política de privacidad orientada a trabajadores es frecuentemente olvidada — pero los empleadores tratan un volumen significativo de datos personales: datos de registro, bancarios, de salud (licencias médicas, exámenes de pre-ocupacional), biométricos (control de asistencia), de cargas familiares.

Elementos específicos:

  • Base jurídica principal: ejecución del contrato de trabajo (Art. 13(c)) y obligación legal (Art. 13(b) — DT, AFP, SII)
  • Datos de salud ocupacional: base jurídica — obligación legal (Ley 16.744, protocolos de vigilancia MINSAL)
  • Monitoreo (correo corporativo, cámaras): informar la base jurídica y los límites
  • Datos de cargas familiares: finalidad (seguro complementario de salud, asignación familiar) y base jurídica
  • Retención post-desvinculación: documentos laborales por al menos 5 años (prescripción laboral), cotizaciones AFP 10 años

Checklist de revisión de política de privacidad

Completitud

  • Identificación completa del responsable (razón social, RUT, dirección)
  • Datos del DPD — nombre y contacto
  • Todas las categorías de datos recopilados están listadas
  • Todas las finalidades de tratamiento están descritas
  • Base jurídica informada para cada finalidad
  • Compartición de datos detallada (con quién y por qué)
  • Transferencia internacional informada (si aplica)
  • Plazos de retención informados (o criterios)
  • Todos los derechos de los Arts. 4°–9° mencionados
  • Canal para ejercicio de derechos claramente indicado
  • Fecha de la última actualización visible

Calidad

  • Lenguaje claro y accesible (evitar tecnicismos innecesarios)
  • Documento no es excesivamente largo (capa 1 en 1 página)
  • No es copia de otro sitio (refleja el tratamiento real)
  • Actualizada en los últimos 12 meses
  • Coherente con las prácticas reales de la organización
  • Accesible para personas con discapacidad (contraste, tamaño de fuente)

Disponibilidad

  • Publicada en el sitio institucional (enlace en el pie de todas las páginas)
  • Disponible en la app (configuración o menú principal)
  • Disponible en punto de atención presencial (si aplica)
  • Presentada antes de la recopilación de datos (registro, formulario)
  • Versiones anteriores archivadas (para demostrar evolución)

Conclusión

La política de privacidad no es un documento que se escribe una vez y se olvida en una página oscura del sitio. Es un compromiso público de transparencia que debe estar vivo, actualizado y accesible. Con la APDP operativa a partir de diciembre de 2026 y los titulares cada vez más conscientes de sus derechos, una política de privacidad inadecuada es tanto un riesgo regulatorio como un riesgo reputacional.

El camino más eficiente es el modelo en capas: un resumen accesible para el titular que quiere entender rápidamente cómo se tratan sus datos, y un documento completo para quien necesita los detalles. Manténgalo actualizado, asegúrese de que refleje la realidad de la organización y publique la fecha de la última revisión.

Confidata ofrece funcionalidades que sustentan la transparencia exigida por la Ley 21.719: registro de actividades de tratamiento con finalidad y base jurídica por actividad, gestión de solicitudes de titulares con control de plazo y canal del titular integrado — permitiendo que la política de privacidad sea el reflejo documentado de las prácticas reales de la organización.

Compartir
#Ley 21.719#política de privacidad#aviso de privacidad#transparencia#APDP#modelo#template

Artículos relacionados

Cómo crear una política de privacidad conforme a la Ley 21.719Guías Prácticas · 14 minInterés legítimo en la Ley 21.719: test de balanceo, ejemplos y límitesGuías Prácticas · 15 minSeguridad de la Información y la Ley 21.719: Qué Exige el Deber de Seguridad en la PrácticaGuías Prácticas · 15 minRAT (Ley 21.719): Cómo Crear y Mantener Actualizado el Registro de Actividades de TratamientoGuías Prácticas · 13 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista