PrivacTechBlog
← Blog

6 de mayo de 2026

GDPR vs. Ley 21.719: 10 diferencias clave para empresas

```html

GDPR vs. Ley 21.719: 10 diferencias clave para empresas

Si tu empresa ya invirtió en cumplir el GDPR europeo, podrías pensar que también estás cubierta para la Ley 21.719 chilena. Error. Aunque ambas regulaciones comparten objetivos similares —proteger datos personales— sus diferencias estructurales, operacionales y financieras son significativas. Y si tienes clientes o datos de personas en Chile, debes cumplir la ley local, no solo la europea. En este artículo te mostramos las 10 diferencias que realmente importan.

1. Autoridades reguladoras: CPDT vs. AEPD

En Chile, la Consejería en Privacidad y Protección de Datos (CPDT) es el organismo encargado de supervisar el cumplimiento de la Ley 21.719. En Europa, cada país tiene su propia autoridad de protección de datos, pero el marco lo lidera la Autoridad Europea de Protección de Datos (AEPD).

La diferencia práctica: en Chile tienes un único punto de contact regulatorio. En Europa, puedes enfrentar múltiples autoridades dependiendo de dónde operes. Para empresas chilenas con datos de ciudadanos europeos, esto significa duplicar esfuerzos de compliance.

2. Plazo para responder ARCO: ¿30 días o 1 mes?

La Ley 21.719 (Art. 22) exige responder solicitudes de acceso, rectificación, cancelación u oposición (ARCO) dentro de 30 días hábiles. El GDPR otorga 1 mes natural, con la posibilidad de extender 2 meses más si la solicitud es compleja.

En la práctica, esto significa:

  • Chile: 30 días hábiles = aproximadamente 42 días calendarios (excluyen fines de semana y festivos)
  • Europa: 30 días naturales, extendibles a 90 si es necesario

Para empresas con presencia en ambas jurisdicciones, debes usar el plazo más estricto (los 30 días hábiles chilenos) y crear un único sistema de gestión de ARCO que cumpla ambos.

3. Notificación de brechas: 72 horas en ambos casos

Aquí SÍ coinciden. Tanto la Ley 21.719 (Art. 24) como el GDPR (Art. 33) exigen notificar brechas de seguridad a la autoridad reguladora dentro de 72 horas de descubiertas.

Lo que cambia: en Chile, debes también notificar a los titulares "sin demora injustificada" si existe riesgo a sus derechos. En Europa, la notificación al titular es obligatoria siempre que haya riesgo alto. El resultado es similar, pero la redacción de notificaciones debe ajustarse a cada jurisdicción.

4. DPO: obligatorio en Europa, opcional en Chile

El GDPR requiere un Delegado de Protección de Datos (DPO) obligatoriamente si eres:

  • Entidad pública
  • Empresa de vigilancia masiva de datos
  • Empresa cuya actividad principal es tratamiento de datos a gran escala

La Ley 21.719 no exige DPO obligatorio, pero sí demanda una persona responsable de cumplimiento (Art. 2). Esta persona puede ser un abogado, un gerente de privacidad, o un rol interno — no hay especificaciones sobre dedicación exclusiva.

Para empresas que ya tienen DPO por GDPR: reutiliza esa estructura. Para empresas que cumplen solo Ley 21.719: puedes designar un responsable con menos requisitos de especialización.

5. Multas: porcentaje de ingresos vs. UTM

Las multas son donde más duele la diferencia:

  • GDPR: hasta €20 millones o 4% del volumen de negocios global anual (el que sea mayor)
  • Ley 21.719: hasta 1.000 UTM por violación (aproximadamente $65 millones de pesos = ~$85.000 USD actuales)

Para una empresa con $100 millones de ingresos anuales, el GDPR podría multar hasta $4 millones. La Ley 21.719 está limitada a un máximo de ~$85.000 por infracción. Sin embargo, múltiples infracciones pueden acumularse rápidamente.

6. Transferencias internacionales: decisiones de adecuación vs. contratos

El GDPR solo permite transferencias a países con "adecuación" certificada por la Comisión Europea (lista muy selecta: EEE, Suiza, algunos otros). Alternativamente, puedes usar Cláusulas Contractuales Estándar o Binding Corporate Rules.

La Ley 21.719 (Art. 23) es más flexible: permite transferencias si existe "garantía equivalente de protección" (concepto vago) o si el titular consiente. Esto abre puertas, pero crea ambigüedad legal.

Recomendación práctica: si transfiertes datos de Chile a otro país, usa el estándar más estricto (GDPR). Serás automáticamente compliant con Ley 21.719.

7. Base legal: GDPR vs. Ley 21.719

El GDPR requiere base legal específica para cada tratamiento: consentimiento, contrato, obligación legal, interés vital, función pública, o interés legítimo (Art. 6). Cada dato, cada caso, debe documentar su base legal.

La Ley 21.719 es más permisiva: el consentimiento se presume en muchos casos (Art. 4). Si un cliente te proporciona datos sin objeción explícita, ya tienes base legal implícita para ciertos usos.

Para empresas chilenas: esto es ventajoso. Para empresas europeas adaptándose a Chile: no necesitas el mismo nivel de documentación de base legal, pero es recomendable mantenerlo como buena práctica.

8. Qué reutilizar de GDPR y qué crear nuevo

Puedes reutilizar:

  • Sistemas de gestión de consentimiento (ajustando niveles de detalle)
  • Procesos de notificación de brechas (72 horas funciona para ambos)
  • Registros de actividades de tratamiento (GDPR es más exhaustivo, así que cubre Ley 21.719)
  • Políticas de privacidad (con adaptaciones locales mínimas)

Debes crear nuevo:

  • Procedimiento de respuesta a ARCO con plazo de 30 días hábiles
  • Notificación a titulares ajustada a redacción Ley 21