Protección de datos personales

Transferencias Internacionales de Datos

Marco regulatorio para transferencias transfronterizas de datos personales bajo la Ley 21.719, estableciendo mecanismos de protección específicos para garantizar la continuidad del nivel de protección fuera del territorio chileno.

Transferencias Internacionales

Las transferencias requieren garantías de protección equivalente en el país de destino. La Ley 21.719 establece mecanismos jerárquicos: decisiones de adecuación, garantías apropiadas y excepciones específicas.

Esta página recorre los mecanismos que habilitan una transferencia, el orden en que conviene evaluarlos y las particularidades por sector.

Mecanismos de transferencia

Los mecanismos siguientes son las vías previstas para habilitar una transferencia internacional. Cada tarjeta resume una y el tipo de operación en que encaja.

Decisiones de Adecuación

Reconocimiento oficial por parte de la Agencia de Protección de Datos de que un país tercero ofrece un nivel de protección esencialmente equivalente al chileno.

  • Evaluación integral del marco legal
  • Análisis de autoridades de control
  • Revisión periódica de condiciones

Cláusulas Contractuales Estándar

Contratos modelo aprobados por la Agencia que establecen obligaciones específicas para importadores de datos, garantizando protección equivalente mediante compromisos contractuales.

  • Obligaciones del importador de datos
  • Derechos de terceros beneficiarios
  • Mecanismos de recurso efectivos

Normas Corporativas Vinculantes (BCR)

Políticas internas de grupos empresariales multinacionales que establecen estándares uniformes de protección de datos aplicables a todas las entidades del grupo corporativo.

  • Aplicación a toda la estructura corporativa
  • Aprobación por la Agencia
  • Mecanismos de cumplimiento internos

Certificaciones y Códigos de Conducta

Programas de certificación sectorial y códigos de conducta aprobados que demuestran el cumplimiento de estándares específicos de protección de datos en transferencias.

  • Certificaciones sectoriales específicas
  • Códigos de conducta industriales
  • Supervisión de organismos acreditados

Novedad 2025: las cláusulas tipo ya están aprobadas

Hasta hace poco, la vía de las cláusulas tipo dependía de que la Agencia dictara modelos locales. Eso cambió a fines de 2025.

El 19 de diciembre de 2025, el Diario Oficial publicó la resolución de la Subsecretaría de Economía (Resolución Exenta RAEX202503748, de 11 de diciembre de 2025) que aprueba cláusulas contractuales modelo para la transferencia internacional de datos personales. Basadas en los modelos de la Red Iberoamericana de Protección de Datos (RIPD), son el mecanismo habilitante estándar para transferir a países aún no declarados con nivel adecuado de protección.

Rigen desde su publicación y de forma transitoria, hasta que la Agencia de Protección de Datos ejerza la facultad del artículo 28 de la Ley 21.719 para aprobar sus propias cláusulas u otros mecanismos. Su adopción por el Ministerio de Economía, antes de que la Agencia entre en funciones, ha generado debate sobre la competencia para dictarlas, por lo que conviene incorporarlas revisando su encaje con cada operación.

Con los mecanismos a la vista, el paso siguiente es ordenar la evaluación de cada transferencia.

Proceso de Evaluación de Transferencias

La determinación del mecanismo apropiado para cada transferencia internacional requiere un análisis sistemático que considera múltiples factores legales, técnicos y operacionales específicos.

  1. 1. Identificación del País de Destino

    Determinación precisa de la jurisdicción receptora de los datos, considerando no solo el país sede del importador, sino también posibles sub-transferencias y ubicación de servidores o centros de procesamiento.

  2. 2. Verificación de Decisión de Adecuación

    Consulta del registro oficial de países con decisión de adecuación vigente. Si existe, la transferencia puede realizarse sin garantías adicionales, sujeta a las condiciones específicas de la decisión.

  3. 3. Evaluación de Mecanismos Alternativos

    En ausencia de decisión de adecuación, análisis de la aplicabilidad de cláusulas contractuales estándar, BCR, certificaciones o códigos de conducta según las características específicas de la transferencia.

  4. 4. Análisis de Riesgos Complementario

    Evaluación adicional de factores como el marco legal del país de destino, poderes de acceso gubernamental, independencia judicial y existencia de recursos efectivos para los titulares de datos.

  5. 5. Implementación y Documentación

    Formalización del mecanismo seleccionado mediante la documentación apropiada, inclusión en el Registro de Actividades de Tratamiento y establecimiento de procedimientos de monitoreo continuo del cumplimiento.

Consideraciones Especiales por Sector

Cómo aterriza lo anterior cambia según el sector. Estos son algunos casos habituales.

Servicios Financieros

Regulación bancaria y AML/CFT adicional

Salud

Protección especial de datos sensibles

Cloud Computing

Localización de datos y acceso gubernamental

Telecomunicaciones

Intercepciones legales y soberanía digital

Preguntas frecuentes

Dudas frecuentes sobre transferencias internacionales de datos.

¿Qué son las transferencias internacionales de datos personales bajo la Ley 21.719?

Son las comunicaciones de datos a destinatarios fuera del territorio nacional. La ley exige una base de licitud y garantías equivalentes al estándar chileno: nivel adecuado de protección en el país receptor, cláusulas contractuales tipo, normas corporativas vinculantes o autorización específica de la Agencia.

¿Qué países tienen nivel adecuado de protección?

La Agencia publica la lista oficial de países y organizaciones internacionales con nivel adecuado. Mientras la Agencia no la dicte, rigen las garantías alternativas. Esperamos que la Agencia reconozca como adecuados a los países con régimen equivalente al RGPD europeo y a aquellos vinculados por tratados específicos.

¿Qué son las cláusulas contractuales tipo (CCT)?

Son modelos contractuales que operan como garantía suficiente entre el exportador y el importador de datos, con obligaciones, derechos del titular y mecanismos de control. Desde diciembre de 2025, el Ministerio de Economía aprobó cláusulas contractuales modelo basadas en los modelos de la Red Iberoamericana de Protección de Datos (RIPD), que rigen de forma transitoria hasta que la Agencia ejerza su facultad del artículo 28 de la Ley 21.719. Son hoy el mecanismo habilitante estándar para transferir a países aún no declarados con nivel adecuado.

¿Qué son las Normas Corporativas Vinculantes (BCR)?

Son políticas internas vinculantes que un grupo empresarial multinacional aplica para garantizar protección equivalente en todas sus filiales. Requieren aprobación de la Agencia. Ordenan las transferencias intra-grupo recurrentes y reducen la carga contractual de cada operación.

¿Qué pasa si se transfiere sin garantías adecuadas?

La conducta constituye infracción grave o gravísima de la Ley 21.719, con multas de hasta 20.000 UTM. La Agencia puede suspender las transferencias y exigir la devolución o eliminación de los datos. En sectores regulados, el responsable también puede acumular sanciones sectoriales.

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.