La Ley 21.719, Publicada en el Diario Oficial el 13 de diciembre de 2024, esta ley reemplaza la antigua Ley 19.628 y moderniza el marco de protección de datos en Chile; elevando estándares para el tratamiento responsable de datos personales; y modernizando el reglamento de gestión preventiva de riesgos laborales y protección de datos para quienes manejan información persona.
Varios aspectos de la ley son aplicables desde su publicación, con un período de adaptación hasta diciembre de 2026. Establece una Autoridad de Control: la Agencia de Protección de Datos Personales, encargada de fiscalizar y resolver reclamos.
El Decreto 44 no solo reemplaza normas anteriores (DS 40 y 54 de 1969), sino que introduce una estructura actualizada con enfoque en salud, género y digitalización:
● Unificación normativa: integra gestión de riesgos, salud laboral y protección de datos en un solo marco reglamentario formativo.
● Instrumentos clave:
○ Matriz de Identificación de Peligros y Evaluación de Riesgos (MIPER).
○ Programas de prevención y sistemas de gestión de salud en el trabajo.
○ Mapas de riesgo, reglamentos internos y protocolos de emergencia con enfoque de género.
● Fiscalización mejorada: la Dirección del Trabajo, Seremis de Salud y Superintendencia de Seguridad Social supervisan el cumplimiento.
● Obligaciones de las PYMES: deberes diferenciados según número de trabajadores, incluyendo autoevaluaciones más accesibles.
● Enfoque de género: se exige considerar riesgos diferenciados por género en análisis y políticas.
Así, las principales novedades del año 2025 son el fortalecimiento de la protección de datos en el entorno laboral, incorporado dentro del marco de SST, con herramientas obligatorias, responsabilidad institucional y énfasis en participación y enfoque de género.
A continuación, los errores que con frecuencia provocan costos significativos:
1. No depurar o anonimizar bases antiguas
○ Mantener datos innecesarios expone a vulnerabilidades.
○ Sancionado por infracción leve a grave, hasta 500–10 000 UTM.
2. Canales ARCO inadecuado
○ No habilitar mecanismos para que titulares ejerzan sus derechos (Acceso, Rectificación, Cancelación, Oposición).
○ Puede ser grave, con multas de hasta 10 000 UTM.
3. Ausencia de consentimiento informado
○ No recolectar consentimiento específico e inequívoco o no documentarlo adecuadamente.
○ Infracción grave si no hay base legal que justifique el tratamiento.
4. Falta de transparencia e información deficiente
○ No informar claramente propósito, destinatarios ni plazos de conservación.
○ Puede derivar en sanciones leves o moderadas: hasta 5 000 UTM.
5. Seguridad insuficiente
○ No implementar controles técnicos y organizacionales para proteger datos personales.
○ Infracción grave o gravísima si deriva en fugas o accesos no autorizados.
6. Transferencias internacionales sin garantías
○ Enviar datos a países sin nivel adecuado sin cláusulas o mecanismos.
○ Puede ser sanción grave. La ley exige medidas específicas.
Todos estos errores pueden generar no solo multas, sino también daño reputacional, pérdida de confianza y acciones legales por titulares afectados.
1. Diagnóstico interno Inventario de datos: Reconocer cuáles son los tipos de datos que se tratan, finalidad, bases legales, riesgo de sensibilidad.
2. Consentimiento y bases legales: Implementar registros de consentimiento informados. Consentimiento libre, específico, revocable; documentar adecuadamente.
3. Políticas y transparencia: Publicar política de privacidad; sus propósitos, destinatarios, plazos, derechos ARCO, contacto.
4. Canales ARCO eficientes: Crear formularios y plazos internos, responder solicitudes en plazos legales (45 días aprox.).
5. Seguridad tecnológica: Adoptar medidas (encriptación, acceso restringido), realizar pruebas de vulnerabilidad periódica.
6. Gestores de privacidad: Designar responsable de datos / DPO. Aunque no es obligatorio, pero recomendado para tratamiento masivo o sensible.
7. Transferencias internacionales: Establecer contratos o cláusulas tipo, usar estándares internacionales reconocidos.
8. Gestión preventiva laboral: Instalar MIPER, programas, y mapas de riesgo, incluir datos personales en SST considerando género
9. Capacitación al personal: Formar a trabajadores en privacidad y SST, y realizar actualizaciones al menos anuales.
10. Auditoría y mejora continua: Revisiones internas y auditorías externas, evaluar eficacia de controles y actualizar.
11. Registro de incidentes: Documentar brechas y acciones correctivas, informar a titulares y a la Agencia y aplicar sanciones internas.
12. Supervisión regulatoria: Reportar y acatar auditorías de la Agencia, DT y Seremi, y mantener evidencias disponibles en caso de inspección.
La normativa define el siguiente régimen escalonado de sanciones y multas:
● Infracciones leves:
Ej.: Falta de información o canal ARCO funcional.
Sanción: amonestación o multa hasta 5 000 UTM.
● Infracciones graves:
Ej.: No consentimientos, tratamiento sin base legal o violaciones a seguridad.
Sanción: multa hasta 10 000 UTM.
● Infracciones gravísimas:
Ej.: Tratamiento de datos sensibles sin consentimiento, negligencia grave.
Sanción: hasta 20 000 UTM.
● Registro Nacional de Sanciones: multas se registran públicamente y afectan reputación institucional.
● Otras consecuencias:
1. Demandas civiles por daños a terceros.
2. Requerimientos de eliminar o modificar tratamientos.
3. Inspecciones regulatorias: Dirección del Trabajo, Seremis de Salud y Superintendencia pueden imponer multas adicionales y clausuras parciales.
La Ley 21.719 y el Decreto 44 marcan un antes y un después en la protección de datos y gestión del trabajo seguro en Chile. En 2025 se exige:
● Mayor responsabilidad y transparencia en todas las etapas del tratamiento.
● Un enfoque preventivo que vincula seguridad laboral y datos personales.
● Herramientas prácticas: desde inspecciones hasta auditorías, sanciones, canales ARCO, MIPER y enfoque de género.
Las organizaciones deben avanzar rápido, adoptando un modelo integral que combine:
-Gestión documental.
-Controles de seguridad.
-Canales ARCO.
-Formación interna.
-Diseño con privacidad incorporada («privacy by design»).
-Monitoreo y adecuación continua.
1. Política de Privacidad (versión general y versión laboral)
● Propósito del tratamiento de datos
● Base legal
● Derechos de los titulares (ARCO)
● Plazo de conservación
● Mecanismos de contacto
● Transferencias internacionales
● Seguridad aplicada
2. Formularios ARCO
● Solicitud de Acceso
● Solicitud de Rectificación
● Solicitud de Cancelación (eliminación)
● Solicitud de Oposición al tratamiento
3. MIPER – Matriz de Identificación de Peligros y Evaluación de Riesgos
● Adaptada a riesgos relacionados con datos personales y salud laboral
● Con enfoque de género
● Escalable para micro, pequeñas y medianas empresas
4. Protocolo de notificación de incidentes
● Qué hacer ante filtración o acceso indebido
● A quién notificar (titulares, Agencia, etc.)
● Plazos y canales
5. Cláusulas de consentimiento
● Para formularios web, contratos, fichas de ingreso laboral, etc.
Esto no solo ayuda a evitar multas millonarias, sino que fortalece la reputación, confianza y competitividad frente a autoridades, trabajadores y clientes. Un enfoque proactivo hoy evita sanciones mañana y promueve la creación de entornos seguros y respetuosos con los derechos de las personas.
Si deseas seguir aprendiendo sobre cómo mejorar la seguridad en tu empresa y asegurarte de cumplir con las normativas laborales, te invitamos a suscribirte a Valor Pyme. Únete a nuestra comunidad de emprendedores y recibe contenido exclusivo, herramientas prácticas y recursos que te ayudarán a mantener un ambiente laboral seguro y cumplir con todas las regulaciones vigentes.