Responsabilidad Civil por Tratamiento de Datos bajo la Ley 21.719: Quién Responde y Cómo
Cuando una organización trata datos personales en contravención a la Ley 21.719 y ese tratamiento causa daño a una persona, ¿quién responde? ¿Ante quién? ¿Bajo qué condiciones? ¿Qué puede pedir la víctima como reparación?
Las respuestas están en la propia Ley 21.719 y en el marco civil chileno que la complementa. Para los responsables de datos, los DPDs y los equipos jurídicos, entender este régimen es esencial — no solo para responder a incidentes, sino para diseñar programas de cumplimiento preventivos que reduzcan la exposición.
El régimen de responsabilidad civil en la Ley 21.719
La Ley 21.719 establece que el tratamiento de datos personales contrario a sus disposiciones genera responsabilidad para el responsable del tratamiento y, en ciertos casos, para el encargado del tratamiento.
La persona que sufre un perjuicio por el tratamiento ilícito de sus datos personales tiene derecho a:
- Reclamar ante la APDP — procedimiento administrativo de reclamación ante la Agencia de Protección de Datos Personales, que puede derivar en sanciones al responsable.
- Demandar civilmente — acción judicial para obtener indemnización por daños materiales y morales, conforme a las reglas del Código Civil chileno y las disposiciones específicas de la Ley 21.719.
Estos dos mecanismos son independientes y acumulables: el titular puede reclamar ante la APDP y, simultáneamente o después, demandar civilmente. La sanción administrativa no extingue la acción civil ni viceversa.
¿Qué tipo de daños son indemnizables?
Bajo la Ley 21.719 y el marco civil chileno, los daños indemnizables incluyen:
Daño material o patrimonial
El perjuicio económico concreto causado por el tratamiento ilícito. Ejemplos:
- Pérdidas financieras derivadas de fraude o robo de identidad facilitados por una filtración de datos
- Costos incurridos para remediar el daño (cambio de documentos, asesoría legal, contratación de servicios de monitoreo)
- Lucro cesante — ingresos que dejaron de percibirse como consecuencia del daño
Daño moral
El perjuicio no patrimonial sufrido por la persona: angustia, afectación a la reputación, vulneración de la intimidad, pérdida de control sobre información personal. En Chile, la doctrina y jurisprudencia han reconocido el daño moral como indemnizable en diversas situaciones de vulneración de derechos de la personalidad.
La discusión jurídica relevante es si el daño moral por tratamiento ilícito de datos personales es presumido (in re ipsa, derivado automáticamente de la infracción) o si requiere prueba de consecuencias concretas. Chile no tiene jurisprudencia consolidada sobre este punto — a diferencia de Brasil, donde el STJ ha debatido extensamente el tema. Las organizaciones deben asumir que los tribunales chilenos pueden adoptar cualquiera de los dos estándares mientras no exista jurisprudencia clara.
La responsabilidad del responsable: ¿objetiva o subjetiva?
El debate sobre la naturaleza de la responsabilidad civil en protección de datos existe tanto en Chile como en el derecho comparado.
Responsabilidad subjetiva (requiere culpa): el responsable solo responde si actuó con negligencia, imprudencia o dolo. Si adoptó todas las medidas razonables y el daño igualmente ocurrió (por ejemplo, por un ataque cibernético sofisticado), podría quedar eximido.
Responsabilidad objetiva (prescinde de culpa): el responsable responde por el solo hecho de tratar datos en forma contraria a la ley y causar daño, independientemente de si fue diligente. Es el modelo adoptado por el Reglamento europeo RGPD en su Art. 82.
La Ley 21.719 no resuelve explícitamente este debate. En la práctica, el sistema chileno tiende a requerir culpa para la responsabilidad extracontractual (Art. 2329 del Código Civil), pero hay argumentos para sostener que el tratamiento de datos personales es una actividad de riesgo que puede generar responsabilidad más estricta bajo el Art. 2329 inciso 2°.
Lo que sí está claro: el principio de responsabilidad activa (accountability) que consagra la Ley 21.719 invierte la carga práctica de la prueba. El responsable que no puede demostrar haber adoptado medidas adecuadas tiene una posición muy débil ante cualquier demanda — independientemente del estándar teórico de responsabilidad.
Las causales de exención
El responsable puede eximirse de responsabilidad cuando logra acreditar:
1. No realizó el tratamiento atribuido
Si el responsable puede demostrar que no es quien trató los datos en cuestión — que el dato proviene de una fuente distinta, que el sistema comprometido no era suyo — puede excluir su responsabilidad.
2. No hubo infracción a la ley
El responsable puede demostrar que, aunque realizó el tratamiento, lo hizo en pleno cumplimiento de la Ley 21.719: con base legal válida, con medidas de seguridad adecuadas, respetando los principios del Art. 3°. El daño ocurrió a pesar del cumplimiento, no por causa de él.
Esta causal de exención es la que hace que el cumplimiento preventivo sea la mejor defensa jurídica: si el responsable puede mostrar su Registro de Actividades de Tratamiento, sus políticas de seguridad, sus contratos DPA, sus registros de capacitación — tiene evidencia de que no infringió la ley.
3. Culpa exclusiva del titular o de un tercero
Si el daño es atribuible exclusivamente a la conducta del propio titular (por ejemplo, divulgó voluntariamente sus credenciales) o de un tercero no vinculado al responsable, la causalidad se rompe. Sin embargo, esta exención requiere que la culpa sea exclusiva — si el responsable también contribuyó al daño (por ejemplo, no implementó autenticación multifactor), la exención no opera o solo opera parcialmente.
Ojo con los ciberataques: la tesis de que un ataque informático siempre constituye "culpa de tercero" que exime al responsable es incorrecta. Si el ataque fue posible por ausencia de medidas básicas de seguridad, la consecuencia era razonablemente previsible y el responsable puede responder. La jurisprudencia chilena aún es escasa en este punto, pero la doctrina comparada (incluyendo el TJUE en casos de responsabilidad del RGPD) apunta en esa dirección.
La solidaridad entre responsable y encargado
Cuando el tratamiento que causó el daño involucra tanto al responsable como al encargado, el titular puede demandar a cualquiera de los dos por el total de la indemnización — sin necesidad de probar cuál de ellos fue el responsable directo del fallo.
La responsabilidad solidaria se activa cuando el encargado:
- Incumple sus obligaciones legales en materia de protección de datos
- No sigue las instrucciones lícitas del responsable
- Actúa con autonomía que lo convierte en co-responsable del tratamiento
El responsable que paga la indemnización tiene derecho de regreso contra el encargado por la parte del daño que le corresponde, siempre que pueda demostrar el incumplimiento del encargado mediante el contrato DPA y sus registros de instrucciones.
La protección adicional en relaciones de consumo: Ley 19.496 y SERNAC
Cuando el tratamiento ilícito de datos personales ocurre en el contexto de una relación de consumo (empresa que vende productos o servicios a personas naturales), se activa también la Ley N° 19.496 sobre Protección de los Derechos de los Consumidores.
La Ley 19.496 establece responsabilidad objetiva del proveedor por los daños causados al consumidor, con inversión del peso de la prueba en varios casos. El Servicio Nacional del Consumidor (SERNAC) puede intervenir en casos de tratamiento masivo de datos de consumidores, mediar en conflictos y ejercer acciones colectivas en representación de los afectados.
En la práctica, esto significa que una empresa de retail, telecomunicaciones, banca o salud que sufra una filtración de datos de sus clientes puede enfrentar simultáneamente:
- Proceso sancionatorio de la APDP — multa hasta 20.000 UTM
- Demanda civil individual de titulares afectados — indemnización de daños
- Acción de SERNAC — protección colectiva de los consumidores
- Acción de la Superintendencia sectorial correspondiente (Comisión para el Mercado Financiero, Superintendencia de Salud, etc.)
Este escenario de responsabilidad múltiple y simultánea es el principal argumento para invertir en cumplimiento preventivo antes de que ocurra el incidente.
Inversión de la carga de la prueba
En los procesos por tratamiento ilícito de datos, la carga de la prueba tiende a recaer sobre el responsable, no sobre el titular. El titular solo necesita demostrar:
- Que sus datos fueron tratados por el responsable
- Que ese tratamiento le causó daño
Al responsable le corresponde demostrar:
- Que el tratamiento se hizo conforme a la ley
- Que adoptó las medidas de seguridad adecuadas
- Que el daño no fue consecuencia del tratamiento
Esta distribución práctica de la carga probatoria hace que la documentación de cumplimiento sea esencial: quien no puede probar que cumplió, en la práctica se presume que no cumplió.
Acciones colectivas: el alcance masivo de la responsabilidad
La Ley 21.719 y el marco procesal chileno permiten el ejercicio de acciones colectivas cuando el tratamiento ilícito afecta a múltiples titulares. Esta posibilidad es especialmente relevante en casos de filtraciones masivas de bases de datos.
La acción colectiva puede ser ejercida por:
- El propio SERNAC en materia de consumo
- Asociaciones de consumidores o de defensa de derechos
- El Ministerio Público si hay delitos informáticos asociados
La indemnización por daño colectivo puede superar ampliamente el monto de las multas administrativas de la APDP — y el impacto reputacional de una acción colectiva publicada en medios puede ser irreversible.
Cómo el cumplimiento preventivo reduce la exposición
La mejor defensa jurídica ante una demanda civil por tratamiento ilícito de datos es un programa de cumplimiento sólido, bien documentado y actualizado. Esto no elimina el riesgo, pero lo reduce sustancialmente:
1. Documenta que no hubo infracción
El Registro de Actividades de Tratamiento (RAT), las evaluaciones de impacto (EIPD), los contratos con encargados (DPA), las capacitaciones y las auditorías internas son evidencia de que el responsable tomó la ley en serio. Si el daño ocurre a pesar de ese cumplimiento, la causal de exención del inciso 2 se activa.
2. Limita la cuantía del daño demandable
Una organización que detectó rápidamente un incidente, lo contuvo, notificó en tiempo y medió con los afectados tiene un perfil de riesgo radicalmente distinto al que lo ignoró o lo ocultó. Los tribunales chilenos, al igual que en el derecho comparado, considerarán la conducta posterior al incidente para graduar la responsabilidad.
3. Permite el ejercicio del regreso contra el encargado
Sin contratos DPA claros, el derecho de regreso contra el encargado es ilusorio. Con un contrato que especifica instrucciones, medidas exigidas y responsabilidades, el responsable tiene base jurídica para recuperar lo pagado.
4. Reduce la exposición ante SERNAC y superintendencias
Las autoridades sectoriales tienen en cuenta los programas de cumplimiento al evaluar su intervención. Una organización que puede mostrar un programa robusto tiene mayor margen de negociación en procesos de mediación o en la respuesta a requerimientos regulatorios.
Errores frecuentes ante una demanda civil por datos
| Error | Consecuencia | Corrección |
|---|---|---|
| Responder al incidente sin documentar las acciones | Incapacidad de probar que se actuó correctamente | Registrar todas las acciones de respuesta con fechas, responsables y evidencias |
| No comunicar el incidente a los afectados | Agrava la responsabilidad; eliminación de circunstancias atenuantes | Notificar conforme al procedimiento de la Ley 21.719 dentro del plazo de 72 horas |
| Asumir que el ataque informático siempre exonera | El ataque previsible no exonera si faltaban medidas básicas | Implementar medidas de seguridad proporcionales y documentarlas |
| No tener contratos DPA con proveedores | Absorber toda la responsabilidad sin derecho de regreso | Formalizar contratos DPA con todos los encargados |
| Tratar el incidente como "solo un problema de TI" | Respuesta jurídica tardía; pérdida de plazos procesales | Activar inmediatamente el equipo jurídico y el DPD ante cualquier incidente |
Conclusión
La responsabilidad civil por tratamiento ilícito de datos bajo la Ley 21.719 no es teórica. Las organizaciones chilenas enfrentarán demandas de titulares, acciones de SERNAC y exposición en procesos colectivos — especialmente a medida que los consumidores y ciudadanos tomen conciencia de sus derechos con la entrada en vigencia plena de la ley en diciembre de 2026.
El cálculo es directo: invertir en cumplimiento preventivo — programa de protección de datos, documentación adecuada, contratos DPA, medidas de seguridad, plan de respuesta a incidentes — cuesta significativamente menos que enfrentar simultáneamente una multa de la APDP, una demanda civil y una acción del SERNAC.
Para DPDs y equipos jurídicos, la responsabilidad civil no es un escenario hipotético a planificar "si hay tiempo". Es el argumento más concreto para justificar el presupuesto de cumplimiento ante la alta dirección.
Confidata documenta automáticamente el inventario de actividades de tratamiento, las bases legales, las medidas de seguridad y los contratos con encargados — generando el registro de cumplimiento que la Ley 21.719 exige para reducir la exposición civil. Conozca nuestra plataforma.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.