GDPR vs Ley 21.719: Comparativa Completa

La Ley 21.719 de Protección de Datos Personales de Chile fue diseñada tomando como referencia principal el Reglamento General de Protección de Datos (GDPR) europeo. Aunque comparten filosofía y muchos principios, existen diferencias significativas que las empresas con operaciones en ambas jurisdicciones deben conocer. Esta comparativa detallada te ayudará a entender ambos marcos y diseñar una estrategia de cumplimiento que cubra ambos.

Comparativa estructural

Aspecto	GDPR (UE)	Ley 21.719 (Chile)
Vigencia	Mayo 2018	Vigencia gradual desde su publicación
Ámbito territorial	Extraterritorial (aplica a cualquier tratamiento de datos de residentes UE)	Tratamiento de datos en Chile o de titulares residentes en Chile
Autoridad de control	Autoridades nacionales de protección de datos de cada Estado miembro	Agencia de Protección de Datos Personales (nueva)
Bases de licitud	6 bases (Art. 6): consentimiento, contrato, obligación legal, interés vital, interés público, interés legítimo	Bases similares: consentimiento, contrato, obligación legal, interés vital, interés público, interés legítimo
Consentimiento	Libre, específico, informado e inequívoco. Para datos sensibles: explícito	Libre, informado, específico e inequívoco. Para datos sensibles: expreso
DPO/DPD	Obligatorio en ciertos casos (autoridades públicas, tratamiento a gran escala)	Obligatorio para ciertos responsables definidos por la Agencia
Evaluación de impacto	Obligatoria cuando el tratamiento genere riesgo elevado (Art. 35)	Obligatoria en casos definidos por la ley y la Agencia
Transferencias internacionales	Solo a países con nivel adecuado o con garantías apropiadas	Similar: países con protección adecuada, garantías contractuales, consentimiento
Notificación de brechas	72 horas a la autoridad, sin demora al titular si hay riesgo alto	Plazos definidos por la ley para notificar a la Agencia y a los titulares
Sanciones	Hasta 20 millones EUR o 4% facturación global	Régimen de sanciones definido en la ley

Derechos de los titulares: comparativa

Derecho	GDPR	Ley 21.719
Acceso	Art. 15 — Derecho a obtener copia de los datos	Derecho de acceso — Obtener información sobre el tratamiento
Rectificación	Art. 16 — Corregir datos inexactos	Derecho de rectificación — Corregir datos incorrectos
Supresión	Art. 17 — Derecho al olvido	Derecho de supresión o cancelación
Limitación	Art. 18 — Limitar el tratamiento	No contemplado expresamente con el mismo alcance
Portabilidad	Art. 20 — Recibir datos en formato estructurado	Derecho de portabilidad contemplado
Oposición	Art. 21 — Oponerse al tratamiento	Derecho de oposición al tratamiento
Decisiones automatizadas	Art. 22 — No ser objeto de decisiones puramente automatizadas	Protección frente a decisiones automatizadas

Para la gestión práctica de estos derechos, consulta nuestra guía sobre derechos ARCO.

Similitudes fundamentales

Ambas regulaciones comparten principios fundamentales: responsabilidad proactiva (accountability), privacidad por diseño y por defecto, minimización de datos, limitación de la finalidad, exactitud, limitación del plazo de conservación, y el enfoque basado en riesgos para la implementación de medidas de seguridad.

Diferencias clave a considerar

Las diferencias más relevantes para las empresas son el alcance extraterritorial del GDPR (más amplio que la ley chilena), el mayor desarrollo jurisprudencial del GDPR (más de 7 años de aplicación), las diferencias en los plazos y procedimientos de notificación de brechas, el régimen sancionatorio (las sanciones del GDPR son proporcionalmente más elevadas), y las particularidades de las transferencias internacionales.

Dato clave: ISO 27701 incluye mapeos tanto con el GDPR (Anexo D) como con principios de privacidad internacionales, lo que la convierte en una herramienta ideal para cumplir con ambas regulaciones simultáneamente. Consulta nuestra guía sobre ISO 27701 vs GDPR.

Estrategia de cumplimiento dual

Para empresas que necesitan cumplir con ambas regulaciones, la estrategia más eficiente es implementar el estándar más exigente (generalmente el GDPR) y luego verificar el cumplimiento de los requisitos específicos de la Ley 21.719 que puedan diferir. ISO 27701 como marco de gestión proporciona la estructura para gestionar ambos cumplimientos de forma integrada.

Buena práctica: Crea una matriz de trazabilidad que vincule cada requisito de la Ley 21.719 y del GDPR con los controles de ISO 27701 implementados. Esto facilita las auditorías, demuestra cumplimiento ante ambas autoridades y evita duplicar controles.

Cumple con GDPR y Ley 21.719 con GRC360

GRC360 integra los requisitos de ambas regulaciones con los controles de ISO 27701, permitiéndote gestionar el cumplimiento dual desde una sola plataforma.

Crear Cuenta Gratis

Profundiza con ISO 27701 vs GDPR, ISO 27701 y Ley 21.719 y transferencias internacionales de datos.