Actualización legal 2026

Nueva Ley de Protección de Datos en Chile: lo que toda empresa debe saber antes de diciembre

Y por qué la forma en que gestionas el acceso a tus instalaciones importa más de lo que crees.

En diciembre de 2026 entrará en vigor en Chile la Ley N° 21.719, la reforma más importante en materia de protección de datos personales desde 1999. Si tu empresa registra visitantes, controla el acceso de personas a sus instalaciones o usa sistemas de huella dactilar o reconocimiento facial, esta ley te afecta directamente.

No se trata de burocracia extra. Se trata de un cambio cultural profundo en cómo las organizaciones deben relacionarse con la información de las personas.

¿Qué es la Ley 21.719 y por qué es tan relevante?

La ley fue publicada en el Diario Oficial el 13 de diciembre de 2024 y reemplaza a la antigua Ley 19.628, que llevaba vigente desde 1999, una época en que el smartphone todavía no existía. La nueva normativa moderniza el marco legal chileno y lo acerca a los estándares del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, considerado el estándar de privacidad más exigente del mundo.

La ley tiene dos pilares centrales:

  • Fortalecer los derechos de las personas sobre su propia información.
  • Responsabilizar a las organizaciones que recopilan, almacenan o usan datos personales.

Además, crea la Agencia de Protección de Datos Personales, un organismo autónomo con facultades reales de fiscalización y sanción. Hasta ahora no existía en Chile una entidad dedicada exclusivamente a velar por esto.

¿Qué son los datos biométricos y por qué tienen protección especial?

La ley clasifica los datos biométricos como datos personales sensibles, lo que implica un nivel de protección reforzado. ¿Qué entra en esta categoría?

  • Huella dactilar
  • Reconocimiento facial
  • Patrón de iris
  • Reconocimiento de voz
¿Por qué un trato especial? Estos datos son únicos e irrepetibles. A diferencia de una contraseña que puedes cambiar si la roban, tu huella dactilar o tu rostro no tienen versión de reemplazo. La ley los protege con especial cuidado precisamente por eso.

El artículo 16 ter de la ley regula específicamente el tratamiento de datos biométricos, exigiendo que su uso sea excepcional, justificado y proporcional al fin que se persigue. En palabras simples: si puedes lograr el mismo resultado con un método menos invasivo, no deberías usar biometría.

¿Cómo impacta esto en el control de acceso y el registro de visitas?

Este es el punto que más directamente afecta a empresas con instalaciones como edificios corporativos, universidades o campus educativos.

El caso del control de asistencia biométrico

La Dirección del Trabajo ya anticipó este escenario. Mediante la Resolución Exenta N° 38 de abril de 2024, estableció que todo sistema de control de asistencia debe ofrecer al menos una alternativa que no use parámetros biométricos. Si tienes un sistema de huella dactilar para el registro de entrada, estás obligado a ofrecer también una opción como tarjeta, PIN o aplicación móvil.

La razón de fondo es el consentimiento libre: si el trabajador no tiene alternativa, difícilmente puede decirse que eligió entregar sus datos biométricos de forma voluntaria.

El registro de visitantes

Cuando una persona visita tus instalaciones y tú registras su nombre, RUT, imagen u otros datos, estás tratando datos personales. La ley exige que ese tratamiento tenga una base de legitimación válida, que la persona sea informada claramente sobre para qué se usarán sus datos y cuánto tiempo se conservarán, y que existan mecanismos para que pueda ejercer sus derechos.

¿Qué derechos tienen las personas sobre sus datos?

La ley amplía y fortalece los derechos de los titulares. Las personas ahora pueden exigir a cualquier organización:

  • Acceso: saber qué datos tienen de ellas y cómo los están usando.
  • Rectificación: corregir datos incorrectos o desactualizados.
  • Supresión: pedir que se eliminen sus datos cuando ya no sean necesarios.
  • Oposición: negarse a ciertos usos de su información.
  • Portabilidad: recibir sus datos en formato digital y transferirlos a otra organización.
  • Bloqueo: solicitar que se suspenda el uso de sus datos mientras se resuelve un reclamo.

¿Cuáles son las sanciones por no cumplir?

Las multas se clasifican en tres niveles según la gravedad de la infracción:

Tipo de infracción Monto máximo Ejemplo
Leve 100 UTM (~$7,5 millones CLP) No indicar datos de contacto del responsable
Grave 10.000 UTM (~$775 millones CLP) Tratar datos sin base de legitimación válida
Gravísima 20.000 UTM (~$1.550 millones CLP) Tratamiento indebido de datos sensibles (biometría)
Además de la multa, la empresa queda inscrita en el Registro Nacional de Sanciones y Cumplimiento, con el impacto reputacional que eso implica frente a clientes y socios.

Las 5 obligaciones concretas que debes cumplir

Si tu empresa gestiona el acceso de personas a sus instalaciones, estas son las acciones que la ley te exige:

  1. Tener una base legal para cada dato que recopilas. No basta con recoger información “por si acaso”. Cada dato debe tener un propósito claro y una justificación válida: consentimiento, contrato, obligación legal o interés legítimo.
  2. Informar a las personas de forma transparente. Antes de registrar a alguien, debes comunicarle qué datos estás tomando, para qué, cuánto tiempo los conservarás y cómo puede ejercer sus derechos.
  3. Obtener consentimiento explícito para datos sensibles. Para datos biométricos, el consentimiento debe ser libre, informado, específico e inequívoco. No vale la firma genérica en un formulario de ingreso.
  4. Establecer plazos de conservación. Los datos no pueden guardarse indefinidamente. Debes definir cuánto tiempo los necesitas y eliminarlos cuando ese plazo se cumpla.
  5. Implementar medidas de seguridad adecuadas. Los datos deben estar protegidos contra accesos no autorizados o filtraciones. En caso de una brecha, la ley obliga a notificarla a la Agencia y, en ciertos casos, a los afectados.

ControlPass: una plataforma pensada para cumplir

Desde ControlPass entendemos que gestionar el ingreso a una instalación implica manejar información personal. Por eso nuestros sistemas están diseñados con estos principios en la base:

  • Registro con propósito definido: los datos de visitantes responden a una finalidad clara y controlada por tu organización.
  • Transparencia en el punto de registro: el proceso de ingreso puede configurarse para informar a la persona sobre el uso de sus datos en el momento del registro.
  • Control de acceso a la información: solo las personas autorizadas dentro de tu organización acceden a los datos recopilados.
  • Gestión de tiempos de retención: la plataforma permite definir políticas de conservación acordes con los requisitos legales.
  • Sin biometría obligatoria: ControlPass Go ofrece múltiples mecanismos de registro, sin imponer soluciones biométricas como única alternativa.

¿Qué hacer ahora? Checklist de partida

Con la fecha de vigencia en diciembre de 2026, el margen para adaptarse existe, pero no es infinito:

  • Identificar todos los puntos donde tu empresa recopila datos personales de visitantes, trabajadores o usuarios.
  • Revisar si cuentas con consentimiento válido para los datos sensibles que ya tienes.
  • Evaluar si tus sistemas de control de acceso ofrecen alternativas no biométricas.
  • Definir plazos de conservación y mecanismos de eliminación de datos.
  • Documentar las bases de licitud de cada tratamiento de datos.
  • Designar un responsable interno de protección de datos.

¿Quieres saber cómo ControlPass puede ayudarte a gestionar el acceso a tus instalaciones de forma segura y conforme a la nueva ley? Contáctanos y te asesoramos.

Preguntas frecuentes

ControlPass

La Ley 21.719 no prohíbe registrar a quienes ingresan a tus instalaciones: lo que exige es que ese registro sea seguro, transparente y con una base de legitimación válida.

Tanto ControlPass como ControlPass Go almacenan los datos de las personas con cifrado de extremo a extremo, lo que significa que la información no puede ser leída ni accedida por terceros no autorizados. Tu empresa mantiene el control total sobre quién puede consultar el registro, durante cuánto tiempo se conserva y para qué se usa, cumpliendo así con los principios de seguridad, finalidad y proporcionalidad que exige la ley.

ControlPass Go

La nueva ley refuerza el principio de minimización de datos: solo debes recopilar lo estrictamente necesario. Si una persona prefiere no presentar su documento, eso no tiene por qué bloquear su registro.

Con ControlPass Go puedes usar el modo de registro manual, que permite registrar a una persona ingresando únicamente los datos que ella esté dispuesta a entregar de forma voluntaria, sin necesidad de escanear o fotografiar su documento. Así respetas su decisión y sigues cumpliendo con los requisitos de control de acceso de tu organización.

Dato legal

No quedan prohibidos, pero sí regulados de forma mucho más exigente. La ley exige que el uso de biometría sea excepcional, justificado y proporcional, y que siempre exista una alternativa no biométrica disponible para quienes no quieran entregar esos datos.

Esto ya está recogido en la Resolución Exenta N° 38 de la Dirección del Trabajo (abril 2024), que obliga a los empleadores a ofrecer al menos una alternativa de registro de asistencia sin biometría. ControlPass cumple con este requisito al ofrecer múltiples métodos de registro según las necesidades de cada organización.

Dato legal

La ley no fija un plazo único para todos los casos, pero establece el principio de proporcionalidad: los datos deben conservarse solo mientras sean necesarios para el fin que justificó su recopilación. Una vez cumplido ese fin, deben ser eliminados.

En la práctica, para un registro de visitas orientado a la seguridad de las instalaciones, un plazo razonable podría ir de 30 a 90 días, dependiendo de la política interna de cada organización. ControlPass te permite configurar políticas de retención y eliminación automática de datos, facilitando el cumplimiento sin intervención manual.

Obligación legal

La Ley 21.719 exige que en el momento del registro, o antes de él, la persona sea informada al menos de: qué datos se recopilan, para qué se usarán, cuánto tiempo se conservarán y cómo puede ejercer sus derechos (acceso, rectificación, supresión, etc.).

No es necesario que sea un documento extenso. Con un aviso breve visible en la recepción o en la pantalla de registro es suficiente, siempre que sea claro y accesible. ControlPass Go permite configurar mensajes de privacidad que se muestran durante el proceso de registro, de modo que cumples con esta obligación de forma integrada al flujo de ingreso.