Adecuación, garantías y excepciones: los mecanismos de transferencia internacional de datos en la Ley 21.719
La Ley 21.719 no prohíbe la transferencia internacional de datos personales — pero exige que ocurra dentro de un marco legal estructurado. Al igual que el Reglamento General de Protección de Datos (RGPD) europeo y otras legislaciones de referencia, la ley organiza los mecanismos permitidos en tres grandes grupos: adecuación, garantías y excepciones. Cada uno tiene características, requisitos y niveles de protección distintos.
Entender qué mecanismo aplica a cada situación es la tarea central de la gestión de transferencias internacionales. Este artículo descompone los tres mecanismos, compara con el RGPD europeo y ofrece una hoja de ruta práctica para la toma de decisiones.
La lógica de la Ley 21.719 para transferencias internacionales
La Ley 21.719 establece que la transferencia internacional de datos personales solo es permitida cuando exista alguno de los fundamentos que la propia ley especifica. Esta formulación — "solo es permitida" — es importante: una transferencia internacional sin ninguno de esos fundamentos es ilícita, aunque el país de destino cuente con buenas leyes de protección de datos.
Los mecanismos autorizados pueden agruparse en tres categorías:
- Adecuación: el país u organización de destino ofrece una protección equivalente a la Ley 21.719, reconocida por la APDP
- Garantías: el responsable ofrece mecanismos contractuales o corporativos que suplen la ausencia de adecuación
- Excepciones: casos específicos en que la transferencia se permite aun sin adecuación o garantías formales
Mecanismo 1: Adecuación
La decisión de adecuación es el mecanismo más simple y robusto: la APDP declara que determinado país, territorio u organización internacional ofrece un nivel de protección de datos adecuado al de la Ley 21.719. Una vez declarada la adecuación, la transferencia de datos a ese destino no requiere medidas adicionales — se trata como una transferencia doméstica a efectos de cumplimiento.
Criterios para la decisión de adecuación
La APDP evaluará factores como:
- La existencia de legislación de protección de datos en el país de destino y su nivel de protección
- La independencia y efectividad de la autoridad regulatoria de protección de datos
- Las obligaciones internacionales del país (tratados de derechos humanos, acuerdos de cooperación)
- El respeto al estado de derecho y a las garantías individuales
- Las reglas específicas aplicables a transferencias de datos a terceros países
Situación actual
La APDP comenzará a operar el 1 de diciembre de 2026. Hasta esa fecha, la autoridad no habrá dictado decisiones de adecuación formales para ningún país. Las organizaciones que ya realizan transferencias internacionales antes de esa fecha deben preparar los mecanismos de garantía como respaldo.
Perspectiva comparada: La Comisión Europea tiene decisiones de adecuación para más de 15 países y territorios, incluyendo Argentina, Japón, Corea del Sur y Reino Unido. Argentina es especialmente relevante para las organizaciones chilenas, ya que cuenta con reconocimiento de adecuación por parte de la UE y puede considerarse una referencia favorable para el nivel de protección de datos en América Latina.
Mecanismo 2: Garantías
En ausencia de adecuación, el responsable puede realizar la transferencia si ofrece y acredita garantías de que los datos serán protegidos conforme a los estándares de la Ley 21.719. La ley reconoce los siguientes instrumentos como garantías:
a) Cláusulas contractuales específicas
Contratos negociados directamente entre las partes que incorporan los principios y obligaciones de la Ley 21.719. Son personalizadas para cada relación específica y deben cubrir:
- La finalidad del tratamiento en el país de destino
- Las medidas de seguridad adoptadas
- Los derechos de los titulares y cómo pueden ejercerlos
- Obligaciones de notificación en caso de incidente
- La devolución o destrucción de los datos al término
Es el mecanismo más flexible y actualmente el principal disponible para las organizaciones chilenas, mientras la APDP desarrolla las cláusulas estándar contractuales.
b) Cláusulas estándar contractuales (Standard Contractual Clauses — SCCs)
Texto pre-aprobado por la APDP que las partes pueden utilizar sin negociar el contenido sustantivo. La ventaja es la seguridad jurídica — el texto ya fue analizado y aprobado por la autoridad regulatoria.
Situación actual: La APDP emitirá las cláusulas estándar chilenas una vez que comience a operar. En el período de transición, se recomienda utilizar como referencia las cláusulas estándar de la Unión Europea (módulos controlador-controlador y controlador-encargado), adaptadas al contexto de la Ley 21.719.
c) Normas corporativas globales (BCRs — Binding Corporate Rules)
Política interna de protección de datos aplicada a todas las entidades de un grupo empresarial multinacional. Permite transferencias dentro del grupo sin necesidad de contratos individuales para cada transferencia.
Las BCRs son el mecanismo más sofisticado y adecuado para grandes grupos multinacionales — pero el proceso de aprobación es complejo. En el contexto europeo, la aprobación la realiza la autoridad líder del grupo.
Para Chile: grupos con BCRs aprobadas por una autoridad europea pueden usar ese instrumento como base para transferencias que involucren datos de titulares chilenos, argumentando que el nivel de protección es comparable al exigido por la Ley 21.719.
d) Certificaciones y códigos de conducta reconocidos
La APDP podrá reconocer certificaciones internacionales y códigos de conducta como mecanismos de garantía para transferencias internacionales. Aún están en desarrollo y serán regulados una vez que la agencia esté operativa.
Mecanismo 3: Excepciones
Las excepciones permiten transferencias incluso sin adecuación o garantías formales, en situaciones específicas donde otros intereses legitiman la transferencia. Son análogas a las derogaciones del artículo 49 del RGPD.
Consentimiento específico e informado del titular
El titular puede consentir con la transferencia internacional, siempre que:
- El consentimiento sea específico y destacado
- El titular haya sido informado previamente del carácter internacional de la operación
- La finalidad de la transferencia esté claramente indicada
Limitación importante: el consentimiento como base para transferencias internacionales tiene limitaciones prácticas. Para transferencias continuas y sistemáticas (como el uso de plataformas SaaS extranjeras), el consentimiento individual no es viable como mecanismo principal.
Necesidad de ejecución de un contrato
Cuando la transferencia sea necesaria para la ejecución de un contrato del que el titular es parte o para gestiones previas a su solicitud. Ejemplo: reserva de hotel en el exterior hecha por el propio titular — los datos necesitan transferirse al socio extranjero para viabilizar la reserva.
Protección de la vida o integridad física del titular
Transferencia necesaria para proteger la vida o la seguridad física del titular o de un tercero. Ejemplo: paciente en viaje internacional que necesita que sus datos médicos sean compartidos con un hospital extranjero en situación de emergencia.
Ejercicio de derechos en proceso judicial o administrativo
Cuando la transferencia sea necesaria para el ejercicio de derechos en proceso judicial, administrativo o de arbitraje.
Interés público
Para tratamientos indispensables para el cumplimiento de una obligación legal o el ejercicio de potestades públicas.
Atención: las excepciones deben interpretarse restrictivamente — son excepciones, no cláusulas abiertas. Su uso como mecanismo sistemático para transferencias habituales es inadecuado y vulnerable ante la APDP.
Árbol de decisión: ¿qué mecanismo usar?
¿Existe decisión de adecuación de la APDP para el país de destino?
├── SÍ → Transferencia libre (mecanismo: adecuación)
└── NO → Continuar
¿El responsable puede ofrecer garantías contractuales/corporativas?
├── SÍ, mediante cláusulas contractuales específicas → Garantía contractual específica
├── SÍ, mediante SCCs chilenas (cuando disponibles) → SCCs
├── SÍ, mediante BCRs del grupo → BCRs
└── NO → Continuar
¿La transferencia se encuadra en alguna excepción?
├── Consentimiento específico del titular → Excepción: consentimiento
├── Ejecución de contrato del titular → Excepción: contrato
├── Protección de la vida → Excepción: emergencia vital
├── Ejercicio de derecho en proceso → Excepción: proceso legal
└── NO → Transferencia no autorizada bajo la Ley 21.719
El papel de la APDP en el desarrollo de estos mecanismos
La APDP tendrá un papel central en la maduración del sistema de transferencias internacionales en Chile:
- Decisiones de adecuación: la APDP emitirá evaluaciones de países a medida que desarrolle su capacidad regulatoria — no se esperan decisiones formales antes del segundo semestre de 2027
- SCCs chilenas: la APDP publicará cláusulas estándar para uso de las organizaciones
- Regulación de BCRs: la APDP establecerá el procedimiento para la aprobación de normas corporativas globales
- Certificaciones: en desarrollo
Qué deben hacer las organizaciones chilenas ahora
Dado que la APDP no operará sino hasta el 1 de diciembre de 2026, y que las decisiones de adecuación y las SCCs chilenas no estarán disponibles de inmediato, las organizaciones que ya realizan transferencias internacionales deben:
- Inventariar todas las transferencias internacionales actuales: identifique qué datos salen de Chile, hacia qué países y con qué finalidades — este mapeo debe estar en el RAT
- Suscribir cláusulas contractuales específicas con los proveedores y socios en el exterior que reciben datos de titulares chilenos — use como referencia los modelos de la UE adaptados
- Documentar el análisis: el mecanismo elegido y el fundamento deben quedar registrados
- Evaluar el nivel de protección del país de destino: aunque la APDP no haya emitido decisiones formales, el responsable debe demostrar diligencia en esta evaluación
- Monitorear las resoluciones de la APDP a partir del 1 de diciembre de 2026: las primeras SCCs y evaluaciones de adecuación chilenas redefinirán el panorama
Comparación con el RGPD — Art. 46
| Aspecto | Ley 21.719 (Chile) | RGPD (UE) |
|---|---|---|
| Adecuación | APDP decide (en desarrollo) | Comisión Europea (más de 15 países reconocidos) |
| SCCs | APDP emitirá (pendiente) | Cláusulas estándar UE vigentes y actualizadas |
| BCRs | APDP aprobará | Autoridad líder del grupo (EDPB coordina) |
| Excepciones | Similares al Art. 49 RGPD | Art. 49 RGPD (interpretación restrictiva) |
| Madurez del sistema | En desarrollo (desde dic. 2026) | Consolidado desde 2018 |
La base europea es más madura por haber sido implementada desde 2018. La Ley 21.719 sigue su estructura, lo que facilita a las empresas que ya trabajan con el RGPD adaptar sus mecanismos al contexto chileno.
Conclusión
La elección del mecanismo de transferencia internacional no es solo técnica — es estratégica. Transferencias sistemáticas y de alto volumen requieren garantías robustas (cláusulas contractuales específicas o BCRs, hasta que las SCCs chilenas estén disponibles). Situaciones puntuales pueden encuadrarse en excepciones. La elección incorrecta expone a la organización a riesgos regulatorios y contractuales significativos una vez que la APDP esté operativa.
Las organizaciones que estructuren su programa de transferencias internacionales ahora — antes de diciembre de 2026 — estarán en posición radicalmente mejor ante las primeras fiscalizaciones de la APDP en esta materia.
Confidata ayuda a su organización a mapear y documentar correctamente todas las transferencias internacionales de datos en el RAT, incluyendo la base legal utilizada y las garantías aplicadas, de forma trazable y preparada para presentar ante la APDP.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.