Cuando se habla de la Ley 21.719, es casi inevitable que aparezca la comparación: "es el GDPR chileno". La analogía tiene fundamento — la reforma se inspira claramente en el Reglamento General de Protección de Datos europeo —, pero como toda analogía, tiene límites. Vale la pena entender qué toma Chile del modelo europeo y en qué mantiene su propia identidad.
Qué es el GDPR y por qué es la referencia
El GDPR (General Data Protection Regulation) es el reglamento de protección de datos que rige en la Unión Europea desde 2018. Se convirtió en el estándar de referencia mundial: muchos países han modelado sus propias leyes a partir de él, tanto por sus méritos como por una razón práctica — facilitar el flujo de datos con Europa exige tener un nivel de protección comparable.
Chile no es la excepción: la Ley 21.719 acerca al país a ese estándar internacional.
En qué se parecen
- ·Principios comunes: licitud, finalidad, proporcionalidad (minimización), calidad, seguridad, responsabilidad proactiva (accountability). Son prácticamente los mismos que estructuran el GDPR.
- ·Base en varias fuentes de licitud: como el GDPR, la ley chilena reconoce que el consentimiento es solo una de varias bases posibles.
- ·Derechos robustos: acceso, rectificación, supresión, oposición y portabilidad tienen su equivalente directo en el reglamento europeo.
- ·Una autoridad con poder real: la APDP cumple en Chile un rol análogo al de las autoridades de control europeas.
- ·Multas disuasivas ligadas a los ingresos: el mecanismo de sanción basado en un porcentaje de la facturación anual está claramente inspirado en el diseño del GDPR.
- ·Notificación de brechas y figura del delegado de protección de datos: ambos elementos tienen raíz europea.
En qué se diferencia
- ·La estructura legal: el GDPR es un reglamento nuevo y autónomo. En Chile, la 21.719 no crea una ley independiente, sino que reforma la Ley 19.628 existente.
- ·El Modelo de Prevención de Infracciones (MPI): esta figura de un programa de cumplimiento voluntario y certificable, con efecto atenuante sobre las sanciones, es un desarrollo propio del sistema chileno.
- ·El tratamiento de datos económicos y comerciales: la ley chilena mantiene un régimen particular para datos de obligaciones económicas y financieras, con reglas propias del contexto local.
- ·Los montos y unidades: las multas chilenas se expresan en UTM y tienen sus propios topes, distintos de las cifras europeas.
- ·La madurez institucional: el GDPR lleva años de aplicación, jurisprudencia y criterios consolidados. La institucionalidad chilena recién comienza su marcha.
Qué significa esto para una empresa
Para una organización que ya cumple con GDPR — por ejemplo, porque opera o tiene clientes en Europa —, buena parte del trabajo está hecho: políticas, registros de tratamiento y procedimientos pueden reutilizarse como base. La brecha a cubrir es menor, y consiste sobre todo en ajustar al marco chileno los elementos propios (MPI, datos económicos, montos, autoridad local).
Para una empresa que parte de cero, el GDPR y su abundante material de referencia pueden servir como guía conceptual — teniendo siempre presente que la norma que la obliga es la chilena, y que las diferencias descritas no son menores.
La lectura de fondo
Que Chile se alinee con el GDPR es una buena noticia en dos sentidos: eleva el estándar de protección para las personas, y facilita la integración del país en los flujos internacionales de datos. Pero conviene resistir la tentación de tratar ambas normas como intercambiables: se parecen mucho, pero la que rige en Chile es la Ley 21.719, con sus particularidades.
Relacionado: revisa todo lo que cambió respecto de la ley antigua chilena y las obligaciones concretas que impone la nueva ley.
Fuentes principales: Ley 21.719, que modifica la Ley 19.628 (Biblioteca del Congreso Nacional — bcn.cl/leychile); Reglamento General de Protección de Datos de la Unión Europea (GDPR).