Transferencias Internacionales de Datos
Marco regulatorio para transferencias transfronterizas de datos personales bajo la Ley 21.719, estableciendo mecanismos de protección específicos para garantizar la continuidad del nivel de protección fuera del territorio chileno.
Transferencias Internacionales
Las transferencias requieren garantías de protección equivalente en el país de destino. La Ley 21.719 establece mecanismos jerárquicos: decisiones de adecuación, garantías apropiadas y excepciones específicas.
Esta página recorre los mecanismos que habilitan una transferencia, el orden en que conviene evaluarlos y las particularidades por sector.
Mecanismos de transferencia
Los mecanismos siguientes son las vías previstas para habilitar una transferencia internacional. Cada tarjeta resume una y el tipo de operación en que encaja.
Decisiones de Adecuación
Reconocimiento oficial por parte de la Agencia de Protección de Datos de que un país tercero ofrece un nivel de protección esencialmente equivalente al chileno.
- Evaluación integral del marco legal
- Análisis de autoridades de control
- Revisión periódica de condiciones
Cláusulas Contractuales Estándar
Contratos modelo aprobados por la Agencia que establecen obligaciones específicas para importadores de datos, garantizando protección equivalente mediante compromisos contractuales.
- Obligaciones del importador de datos
- Derechos de terceros beneficiarios
- Mecanismos de recurso efectivos
Normas Corporativas Vinculantes (BCR)
Políticas internas de grupos empresariales multinacionales que establecen estándares uniformes de protección de datos aplicables a todas las entidades del grupo corporativo.
- Aplicación a toda la estructura corporativa
- Aprobación por la Agencia
- Mecanismos de cumplimiento internos
Certificaciones y Códigos de Conducta
Programas de certificación sectorial y códigos de conducta aprobados que demuestran el cumplimiento de estándares específicos de protección de datos en transferencias.
- Certificaciones sectoriales específicas
- Códigos de conducta industriales
- Supervisión de organismos acreditados
Novedad 2025: las cláusulas tipo ya están aprobadas
Hasta hace poco, la vía de las cláusulas tipo dependía de que la Agencia dictara modelos locales. Eso cambió a fines de 2025.
El 19 de diciembre de 2025, el Diario Oficial publicó la resolución de la Subsecretaría de Economía (Resolución Exenta RAEX202503748, de 11 de diciembre de 2025) que aprueba cláusulas contractuales modelo para la transferencia internacional de datos personales. Basadas en los modelos de la Red Iberoamericana de Protección de Datos (RIPD), son el mecanismo habilitante estándar para transferir a países aún no declarados con nivel adecuado de protección.
Rigen desde su publicación y de forma transitoria, hasta que la Agencia de Protección de Datos ejerza la facultad del artículo 28 de la Ley 21.719 para aprobar sus propias cláusulas u otros mecanismos. Su adopción por el Ministerio de Economía, antes de que la Agencia entre en funciones, ha generado debate sobre la competencia para dictarlas, por lo que conviene incorporarlas revisando su encaje con cada operación.
Con los mecanismos a la vista, el paso siguiente es ordenar la evaluación de cada transferencia.
Proceso de Evaluación de Transferencias
La determinación del mecanismo apropiado para cada transferencia internacional requiere un análisis sistemático que considera múltiples factores legales, técnicos y operacionales específicos.
- 1. Identificación del País de Destino
Determinación precisa de la jurisdicción receptora de los datos, considerando no solo el país sede del importador, sino también posibles sub-transferencias y ubicación de servidores o centros de procesamiento.
- 2. Verificación de Decisión de Adecuación
Consulta del registro oficial de países con decisión de adecuación vigente. Si existe, la transferencia puede realizarse sin garantías adicionales, sujeta a las condiciones específicas de la decisión.
- 3. Evaluación de Mecanismos Alternativos
En ausencia de decisión de adecuación, análisis de la aplicabilidad de cláusulas contractuales estándar, BCR, certificaciones o códigos de conducta según las características específicas de la transferencia.
- 4. Análisis de Riesgos Complementario
Evaluación adicional de factores como el marco legal del país de destino, poderes de acceso gubernamental, independencia judicial y existencia de recursos efectivos para los titulares de datos.
- 5. Implementación y Documentación
Formalización del mecanismo seleccionado mediante la documentación apropiada, inclusión en el Registro de Actividades de Tratamiento y establecimiento de procedimientos de monitoreo continuo del cumplimiento.
Consideraciones Especiales por Sector
Cómo aterriza lo anterior cambia según el sector. Estos son algunos casos habituales.
Servicios Financieros
Regulación bancaria y AML/CFT adicional
Salud
Protección especial de datos sensibles
Cloud Computing
Localización de datos y acceso gubernamental
Telecomunicaciones
Intercepciones legales y soberanía digital
Preguntas frecuentes
Dudas frecuentes sobre transferencias internacionales de datos.
¿Qué son las transferencias internacionales de datos personales bajo la Ley 21.719?
Son las comunicaciones de datos a destinatarios fuera del territorio nacional. La ley exige una base de licitud y garantías equivalentes al estándar chileno: nivel adecuado de protección en el país receptor, cláusulas contractuales tipo, normas corporativas vinculantes o autorización específica de la Agencia.
¿Qué países tienen nivel adecuado de protección?
La Agencia publica la lista oficial de países y organizaciones internacionales con nivel adecuado. Mientras la Agencia no la dicte, rigen las garantías alternativas. Esperamos que la Agencia reconozca como adecuados a los países con régimen equivalente al RGPD europeo y a aquellos vinculados por tratados específicos.
¿Qué son las cláusulas contractuales tipo (CCT)?
Son modelos contractuales que operan como garantía suficiente entre el exportador y el importador de datos, con obligaciones, derechos del titular y mecanismos de control. Desde diciembre de 2025, el Ministerio de Economía aprobó cláusulas contractuales modelo basadas en los modelos de la Red Iberoamericana de Protección de Datos (RIPD), que rigen de forma transitoria hasta que la Agencia ejerza su facultad del artículo 28 de la Ley 21.719. Son hoy el mecanismo habilitante estándar para transferir a países aún no declarados con nivel adecuado.
¿Qué son las Normas Corporativas Vinculantes (BCR)?
Son políticas internas vinculantes que un grupo empresarial multinacional aplica para garantizar protección equivalente en todas sus filiales. Requieren aprobación de la Agencia. Ordenan las transferencias intra-grupo recurrentes y reducen la carga contractual de cada operación.
¿Qué pasa si se transfiere sin garantías adecuadas?
La conducta constituye infracción grave o gravísima de la Ley 21.719, con multas de hasta 20.000 UTM. La Agencia puede suspender las transferencias y exigir la devolución o eliminación de los datos. En sectores regulados, el responsable también puede acumular sanciones sectoriales.
Conversemos sobre los desafíos legales de su empresa
Agende una conversación inicial con nuestro equipo.