Durante 25 años, Chile tuvo una ley de datos sin nadie que la hiciera cumplir de verdad. Eso cambia con la Agencia de Protección de Datos Personales. Saber quién fiscaliza —y qué puede pedirte— es lo que separa a una empresa preparada de una que se entera cuando le llega la primera notificación.
Qué es la Agencia de Protección de Datos Personales
La Agencia de Protección de Datos Personales es el organismo creado por la Ley 21.719 para velar por el cumplimiento de la normativa de datos en Chile. Es una corporación autónoma de derecho público, con patrimonio propio, lo que significa que no depende de un ministerio para tomar sus decisiones. Es la primera autoridad independiente de protección de datos que tiene el país.
Su gran diferencia con el régimen anterior es el poder real. Bajo la Ley 19.628 no existía un fiscalizador con estas atribuciones; ahora la Agencia puede actuar de oficio, recibir denuncias y aplicar sanciones que llegan a montos millonarios. Comienza a ejercer plenamente sus funciones de fiscalización y sanción el 1 de diciembre de 2026, junto con la entrada en vigencia de la ley.
¿Qué facultades tiene la Agencia para fiscalizar?
La Agencia concentra funciones que antes estaban dispersas o simplemente no existían. Sus principales atribuciones:
- Fiscalizar e investigar, de oficio o por denuncia, a responsables y encargados del tratamiento.
- Aplicar sanciones, incluyendo multas de hasta 20.000 UTM y sanciones accesorias.
- Ordenar medidas correctivas, como la suspensión temporal del tratamiento de datos.
- Dictar instrucciones y guías interpretativas sobre cómo aplicar la ley.
- Aprobar códigos de conducta y certificar mecanismos de cumplimiento.
- Llevar registros públicos, incluido el Registro Nacional de Sanciones.
¿Qué puede pedirle la Agencia a tu empresa?
Aquí está lo práctico. Cuando la Agencia fiscaliza, no pregunta si "conoces la ley": pide evidencia. Lo primero que suele solicitar:
| Lo que pide la Agencia | Qué demuestra |
|---|---|
| Registro de Actividades de Tratamiento (RAT) | Que sabes qué datos tratas y para qué |
| Bases de licitud de cada tratamiento | Que tienes permiso legal para tratar los datos |
| Evidencia del consentimiento | Que lo obtuviste de forma válida y revocable |
| Procedimiento de derechos ARCO+ | Que las personas pueden ejercer sus derechos |
| Registro y notificación de brechas | Que detectas y reportas las filtraciones |
| Contratos con encargados (proveedores) | Que tus proveedores también cumplen |
La lección operativa es clara: la Agencia fiscaliza trazabilidad. Una política de privacidad bonita no sirve si no puedes mostrar logs, inventarios y registros con fecha.
Sanciones y el Registro Nacional de Sanciones
Las multas que aplica la Agencia se gradúan según la gravedad, la intencionalidad y el daño causado. Además de la multa, puede ordenar la suspensión del tratamiento (habitualmente hasta 30 días — verificar alcance exacto en el reglamento), la prohibición temporal o definitiva, y la publicación de la resolución. Las sanciones quedan inscritas en el Registro Nacional de Sanciones por hasta 5 años, lo que las hace visibles para clientes, proveedores y socios comerciales. El golpe reputacional puede ser mayor que el financiero.
Conclusión
La Agencia de Protección de Datos Personales le da por fin dientes a la protección de datos en Chile, con poder para fiscalizar, multar y publicar sanciones desde diciembre de 2026. La forma de prepararse no es tenerle miedo, sino tener la evidencia lista antes de que toque la puerta. Puedes auditar qué le mostrarías hoy a la Agencia acá.