Principios de Tratamiento de Datos — Ley 21.719 | KLG Technology

Ley 21.719 · Art. 3° — Principios rectores

Principios de
tratamiento de datos:
licitud, finalidad,
minimización y transparencia.

La Ley de Protección de Datos Personales establece que todo tratamiento de datos personales en Chile debe regirse por siete principios fundamentales. Su cumplimiento es exigible a toda persona natural o jurídica que trate datos, con vigencia plena desde el 1 de diciembre de 2026.

Vigente 1 dic. 2026 · Art. 3°

7 principios · Aplica a toda entidad

Multas hasta 20.000 UTM por incumplimiento

Artículo 3° — Principios que rigen el tratamiento de datos personales · Ley N° 21.719

"El tratamiento de datos personales se regirá por los principios de licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, y transparencia e información. El responsable de datos deberá ser capaz de acreditar el cumplimiento de estos principios."

Fuente oficial: Ley 21.719 · Biblioteca del Congreso Nacional de Chile ↗

Los siete principios del artículo 3°

¿Qué exige la ley en cada principio?

Cada principio define una obligación concreta y exigible. El responsable de datos debe ser capaz de acreditar su cumplimiento ante la Agencia de Protección de Datos Personales (APDP) en cualquier momento.

01

Licitud y lealtad

El responsable debe acreditar que el tratamiento tiene base legal válida

Los datos personales sólo pueden tratarse de manera lícita y leal. El responsable debe poder acreditar en todo momento la licitud del tratamiento que realiza, ya sea mediante consentimiento u otra base legal del artículo 13.

El consentimiento del titular es la base de licitud principal: debe ser libre, específico, informado e inequívoco
Otras bases: obligación legal, ejecución de contrato, interés legítimo, interés vital e interés público
La lealtad implica que el tratamiento no puede ser engañoso ni contrario a los intereses razonables del titular
El responsable debe informar y poner a disposición los antecedentes que acrediten la licitud cuando le sean requeridos
Asegurar que los datos se recojan de fuentes lícitas con fines específicos y explícitos

02

Finalidad

Los datos solo pueden usarse para los fines informados en la recoleción

Los datos personales deben ser recolectados con fines específicos, explícitos y lícitos. El tratamiento posterior debe limitarse al cumplimiento de esos fines, salvo excepciones taxativas de la ley.

Los fines deben ser informados al titular antes o durante la recoleción
Está prohibido tratar datos con fines distintos a los informados sin nueva base legal
Excepciones: fines compatibles con los originales; nueva relación contractual; nuevo consentimiento; o cuando la ley lo disponga
El cambio de finalidad no autorizado constituye infraccción grave bajo el artículo 38
Los datos deben suprimirse o anonimizarse cuando el fin original fue cumplido

03

Proporcionalidad y minimización

Solo los datos estrictamente necesarios para el fin, conservados el tiempo mínimo

Los datos personales tratados deben ser necesarios, adecuados y pertinentes en relación con los fines del tratamiento. Se prohíbe la recoleción excesiva y se exige conservarlos solo el tiempo indispensable.

El volumen de datos recolectados debe ser el mínimo necesario para el fin declarado
Cada campo de datos debe tener justificación explícita en relación al fin
La conservación de datos más allá del plazo necesario es una infracción
Deben definirse y documentarse políticas de retención y eliminación de datos
La DPIA (evaluación de impacto) ayuda a verificar la proporcionalidad en tratamientos de alto riesgo

04

Calidad

Los datos deben ser exactos, completos, actuales y pertinentes

El responsable debe garantizar que los datos personales que trata son exactos, completos y actuales. Los datos inexactos o incompletos deben ser rectificados o suprimidos de forma oportuna.

Implementar mecanismos de actualización periódica de los datos que se tratan
Al comunicar o ceder datos, solo puede transferirse información exacta, completa y actual
Suprimir o anonimizar datos que han dejado de ser exactos o pertinentes para el fin
Los titulares tienen derecho de rectificación (derechos ARCO) exigible ante el responsable
Datos erróneos que causen perjuicio al titular pueden derivar en responsabilidad civil

05

Responsabilidad proactiva

El responsable debe demostrar que cumple, no solo declarar que cumple

Los responsables del tratamiento son legalmente responsables del cumplimiento de todos los principios y obligaciones de la ley, y deben ser capaces de demostrarlo. No basta con cumplir: hay que poder probarlo.

Llevar un registro de actividades de tratamiento (RAT) actualizado y disponible para la APDP
Implementar políticas internas de protección de datos documentadas y aprobadas
Designar un DPO (Delegado de Protección de Datos) cuando la ley lo exija
Realizar evaluaciones de impacto (DPIA) en tratamientos de alto riesgo
Demostrar cumplimiento en cualquier inspección o requerimiento de la Agencia

06

Seguridad

Medidas técnicas y organizativas adecuadas para proteger los datos

El responsable debe garantizar estándares adecuados de seguridad que protejan los datos personales contra tratamientos no autorizados, pérdida accidental, daño, alteración o acceso no autorizado.

Implementar medidas técnicas: cifrado, control de accesos, autenticación robusta y monitoreo
Medidas organizativas: políticas de seguridad, capacitación del personal y gestión de incidentes
Protección desde el diseño y por defecto (art. 14 quáter de la ley)
Notificar brechas de seguridad a la APDP y a los titulares afectados en los plazos que fije la ley
El nivel de seguridad debe ser proporcional al riesgo, la naturaleza y sensibilidad de los datos

07

Transparencia e información

El titular siempre debe saber qué se hace con sus datos y por qué

El responsable debe informar sobre las políticas y prácticas de tratamiento de datos de forma clara, accesible y comprensible. El incumplimiento del deber de información es una de las infracciones más frecuentes.

Política de privacidad clara, accesible y redactada en lenguaje comprensible para el titular
Informar: fines, base legal, destinatarios, plazos de conservación y derechos ARCO del titular
Comunicar cambios en las finalidades o políticas de privacidad antes de que sean efectivos
Si existen decisiones automatizadas o perfiles, informar la lógica aplicada y sus consecuencias
Poner a disposición los antecedentes que acrediten la licitud cuando le sean requeridos

Artículo 13 — Fuentes de licitud del tratamiento

Las seis bases legales para tratar datos sin consentimiento

La ley reconoce que el consentimiento no es la única base de licitud. Existen cinco bases adicionales que permiten tratar datos sin el consentimiento del titular, siempre que se cumplan los demás principios.

🤝

Consentimiento

Libre, específico, informado e inequívoco. Puede retirarse en cualquier momento sin afectar la licitud del tratamiento previo.

Base principal

📜

Obligación legal

Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal o lo disponga expresamente la ley.

Art. 13 lit. b)

📋

Ejecución de contrato

Cuando sea necesario para celebrar o ejecutar un contrato entre el titular y el responsable, o para medidas precontractuales.

Art. 13 lit. c)

⚖️

Interés legítimo

Cuando sea necesario para los intereses legítimos del responsable o de un tercero, siempre que no afecten los derechos del titular.

Art. 13 lit. d)

🏥

Interés vital

Cuando sea necesario para proteger intereses vitales del titular u otra persona natural, cuando el titular no pueda dar su consentimiento.

Art. 13 lit. e)

🏛️

Interés público

Cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público u ejercicio de poderes públicos.

Art. 13 lit. f)

Artículo 14 — Obligaciones del responsable de datos

Lo que el responsable
debe hacer en la práctica

Los principios del artículo 3° se materializan en obligaciones concretas y exigibles que la ley impone al responsable del tratamiento.

a

Acreditar la licitud

Informar y poner a disposición del titular los antecedentes que acrediten la licitud del tratamiento. Entregar dicha información de manera expedita cuando sea requerida.

b

Fuentes lícitas y fines explícitos

Asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de esos fines.

c

Comunicar datos exactos

Comunicar o ceder, conforme a la ley, información exacta, completa y actual. La calidad de los datos es exigible no solo en el tratamiento propio sino en las cesiones a terceros.

d

Suprimir o anonimizar

Suprimir o anonimizar los datos del titular cuando fueron obtenidos para la ejecución de medidas precontractuales y el contrato no se perfeccionó, o cuando el fin original cesó.

+

Protección desde el diseño

Aplicar medidas técnicas y organizativas adecuadas desde el diseño, con anterioridad y durante el tratamiento, considerando el estado de la técnica y los riesgos del tratamiento (art. 14 quáter).

⚠

Responsabilidad administrativa

El jefe superior del órgano público responde administrativamente por el incumplimiento de los principios (art. 44). En entidades privadas, la responsabilidad alcanza a directores y ejecutivos.

Ciclo de cumplimiento

Cómo implementar los principios en la práctica

El cumplimiento de los principios del artículo 3° requiere un ciclo continuo de cuatro fases. No es un proyecto puntual: es un proceso permanente y demostrable.

Fase 1 · Diagnóstico

Inventariar y mapear

Identificar qué datos personales se tratan, con qué finalidad, cuál es la base legal, quiénes tienen acceso y por cuánto tiempo se conservan.

→

Fase 2 · Implementación

Documentar y controlar

Redactar políticas de privacidad, registros de actividades de tratamiento (RAT), cláusulas de consentimiento, controles técnicos y procedimientos ARCO.

→

Fase 3 · Verificación

Auditar y evaluar

Auditorías internas de cumplimiento, evaluaciones de impacto (DPIA) para tratamientos de alto riesgo y revisión periódica del registro de actividades.

→

Fase 4 · Respuesta

Gestionar y mejorar

Atender solicitudes ARCO en plazo, notificar brechas a la APDP, cerrar no conformidades y actualizar las políticas ante cambios normativos o del tratamiento.

Evidencias que el responsable debe mantener disponibles

📋

Registro de Actividades de Tratamiento (RAT)

Inventario documentado de todos los tratamientos: finalidad, base legal, categorías de datos, destinatarios y plazos de conservación.

📄

Política de privacidad vigente

Documento público, claro y accesible que informe sobre todos los aspectos del tratamiento exigidos por el artículo 14 de la ley.

🤝

Registros de consentimiento

Evidencia del consentimiento otorgado por el titular: cuándo, cómo, para qué fines y si fue retirado.

🔍

DPIA — Evaluación de impacto

Para tratamientos de alto riesgo: análisis de necesidad, proporcionalidad y medidas de mitigación con registro auditado.

⚡

Protocolo de brechas de seguridad

Procedimiento documentado para detectar, contener y notificar brechas a la APDP y a los titulares afectados en los plazos legales.

👤

Procedimiento de atención ARCO

Proceso formal para gestionar solicitudes de acceso, rectificación, cancelación, oposición y portabilidad dentro de los plazos legales.

Artículos 38–40 · Infracciones y sanciones

El costo de incumplir los principios

El incumplimiento de los principios del artículo 3° constituye una infraccion directa a la Ley 21.719, con consecuencias económicas y reputacionales significativas para la organización y sus directivos.

Infracciones gravísimas

20.000 UTM

Equivalente a aprox. USD 1,55 millones

Tratar datos personales sin base de licitud válida (art. 3° lit. a)
Vulnerar el deber de confidencialidad de los datos tratados
Tratar datos sensibles sin consentimiento expreso o base legal explícita
Transferir datos internacionalmente sin las garantías exigidas por la ley

Ver art. 40 en BCN ↗

Infracciones graves

10.000 UTM

Equivalente a aprox. USD 775.000

Incumplir el principio de finalidad: usar datos para fines distintos a los declarados
Tratar más datos de los necesarios violando el principio de proporcionalidad
No implementar medidas de seguridad adecuadas al riesgo del tratamiento
No atender las solicitudes ARCO del titular en los plazos y formas que fija la ley

Ver art. 38 en BCN ↗

Cómo KLG Technology lo acompaña

Del principio legal
a la práctica auditable

KLG Technology implementa el cumplimiento de los principios del artículo 3° de la Ley 21.719 de forma integrada: desde el diagnóstico inicial hasta la operación continua, con toda la documentación necesaria para demostrar cumplimiento ante la APDP.

El cumplimiento de los principios de datos personales y la Ley 21.663 de Ciberseguridad se integran en un solo proyecto, optimizando esfuerzo y costo para la organización.

🔏

DPO as a Service

Delegado de Protección de Datos externo — gestiona el cumplimiento de los 7 principios y es el enlace con la APDP

🔍

Assessment de Protección de Datos

Diagnóstico de brecha frente a los principios del art. 3° y hoja de ruta de cumplimiento priorizada

📋

GRC · Registro y documentación

RAT, políticas de privacidad, DPIA, procedimientos ARCO y toda la documentación exigible por la APDP

📡

Seguridad técnica · Principio n°6

Cifrado, control de accesos y monitoreo que satisfacen el principio de seguridad y la protección desde el diseño

🎓

Capacitación en protección de datos

Formación del personal en principios de privacidad, manejo de datos personales y procedimientos ARCO

¿Su organización puede acreditar hoy que cumple los principios del artículo 3°?

La Ley 21.719 entra en vigencia el 1 de diciembre de 2026. La preparación requiere tiempo. KLG Technology realiza un diagnóstico inicial de cumplimiento de los principios de tratamiento de datos.

Solicitar diagnóstico de datos → Ver más sobre la Ley 21.719

Principios de tratamientos de datos

Principios detratamiento de datos:licitud, finalidad,minimización y transparencia.