Ley de Datos 21.719 / Transferencias Internacionales

Transferencias Internacionales de Datos

Marco regulatorio para transferencias transfronterizas de datos personales bajo la Ley 21.719, estableciendo mecanismos de protección específicos para garantizar la continuidad del nivel de protección fuera del territorio chileno.

Transferencias Internacionales

Las transferencias requieren garantías de protección equivalente en el país de destino. La Ley 21.719 establece mecanismos jerárquicos: decisiones de adecuación, garantías apropiadas y excepciones específicas.

Decisiones de Adecuación

Reconocimiento oficial por parte de la Agencia de Protección de Datos de que un país tercero ofrece un nivel de protección esencialmente equivalente al chileno.

  • Evaluación integral del marco legal
  • Análisis de autoridades de control
  • Revisión periódica de condiciones

Cláusulas Contractuales Estándar

Contratos modelo aprobados por la Agencia que establecen obligaciones específicas para importadores de datos, garantizando protección equivalente mediante compromisos contractuales.

  • Obligaciones del importador de datos
  • Derechos de terceros beneficiarios
  • Mecanismos de recurso efectivos

Normas Corporativas Vinculantes (BCR)

Políticas internas de grupos empresariales multinacionales que establecen estándares uniformes de protección de datos aplicables a todas las entidades del grupo corporativo.

  • Aplicación a toda la estructura corporativa
  • Aprobación por la Agencia
  • Mecanismos de cumplimiento internos

Certificaciones y Códigos de Conducta

Programas de certificación sectorial y códigos de conducta aprobados que demuestran el cumplimiento de estándares específicos de protección de datos en transferencias.

  • Certificaciones sectoriales específicas
  • Códigos de conducta industriales
  • Supervisión de organismos acreditados

Proceso de Evaluación de Transferencias

La determinación del mecanismo apropiado para cada transferencia internacional requiere un análisis sistemático que considera múltiples factores legales, técnicos y operacionales específicos.

1. Identificación del País de Destino

Determinación precisa de la jurisdicción receptora de los datos, considerando no solo el país sede del importador, sino también posibles sub-transferencias y ubicación de servidores o centros de procesamiento.

2. Verificación de Decisión de Adecuación

Consulta del registro oficial de países con decisión de adecuación vigente. Si existe, la transferencia puede realizarse sin garantías adicionales, sujeta a las condiciones específicas de la decisión.

3. Evaluación de Mecanismos Alternativos

En ausencia de decisión de adecuación, análisis de la aplicabilidad de cláusulas contractuales estándar, BCR, certificaciones o códigos de conducta según las características específicas de la transferencia.

4. Análisis de Riesgos Complementario

Evaluación adicional de factores como el marco legal del país de destino, poderes de acceso gubernamental, independencia judicial y existencia de recursos efectivos para los titulares de datos.

5. Implementación y Documentación

Formalización del mecanismo seleccionado mediante la documentación apropiada, inclusión en el Registro de Actividades de Tratamiento y establecimiento de procedimientos de monitoreo continuo del cumplimiento.

Consideraciones Especiales por Sector

Servicios Financieros
Regulación bancaria y AML/CFT adicional
Salud
Protección especial de datos sensibles
Cloud Computing
Localización de datos y acceso gubernamental
Telecomunicaciones
Intercepciones legales y soberanía digital

Preguntas frecuentes

¿Qué son las transferencias internacionales de datos personales bajo la Ley 21.719?

Son las comunicaciones de datos a destinatarios fuera del territorio nacional. La ley exige una base de licitud y garantías equivalentes al estándar chileno: nivel adecuado de protección en el país receptor, cláusulas contractuales tipo, normas corporativas vinculantes o autorización específica de la Agencia.

¿Qué países tienen nivel adecuado de protección?

La Agencia publica la lista oficial de países y organizaciones internacionales con nivel adecuado. Mientras la Agencia no la dicte, rigen las garantías alternativas. Esperamos que la Agencia reconozca como adecuados a los países con régimen equivalente al RGPD europeo y a aquellos vinculados por tratados específicos.

¿Qué son las cláusulas contractuales tipo (CCT)?

Son modelos contractuales que la Agencia puede aprobar como garantía suficiente entre exportador e importador de datos. Recogen obligaciones, derechos del titular y mecanismos de control. Mientras la Agencia no apruebe modelos locales, las CCT europeas sirven de referencia técnica habitual, aunque no equivalen de forma automática al régimen chileno.

¿Qué son las Normas Corporativas Vinculantes (BCR)?

Son políticas internas vinculantes que un grupo empresarial multinacional aplica para garantizar protección equivalente en todas sus filiales. Requieren aprobación de la Agencia. Ordenan las transferencias intra-grupo recurrentes y reducen la carga contractual de cada operación.

¿Qué pasa si se transfiere sin garantías adecuadas?

La conducta constituye infracción grave o gravísima de la Ley 21.719, con multas de hasta 20.000 UTM. La Agencia puede suspender las transferencias y exigir la devolución o eliminación de los datos. En sectores regulados, el responsable también puede acumular sanciones sectoriales.

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

Agendar ConsultaConocer al Equipo
© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Nuestra Empresa

Suscribirse al Newsletter

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.