Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

9 de mayo de 2026

Transferencia internacional de datos desde Chile — Ley 21.719

Transferencia internacional de datos desde Chile — Ley 21.719

Si tu empresa maneja datos de clientes chilenos y los almacena o procesa en servidores fuera del país, estás ante una transferencia internacional de datos. La Ley 21.719 no prohíbe esto, pero exige que cumplas reglas claras para proteger esa información. Muchas PyMEs desconocen estas obligaciones y simplemente confían en que sus proveedores de cloud "están bien". Aquí te explicamos qué necesitas hacer.

Transferencia vs. acceso remoto: no es lo mismo

Primero, un punto crítico: no es igual transferir datos que acceder remotamente a ellos.

  • Transferencia de datos: Los datos salen de Chile y se almacenan físicamente en otro país. Ejemplo: envías tu base de datos de clientes a un servidor en AWS Virginia.
  • Acceso remoto: Los datos siguen en Chile, pero accedes a ellos desde el extranjero. Ejemplo: tu gerente en Nueva York accede a una plataforma CRM alojada en Santiago a través de internet.

El acceso remoto es más sencillo regulatoriamente. La transferencia, en cambio, requiere que certifiques que el destino tiene protección equivalente a la chilena (artículo 19, Ley 21.719).

Países con nivel adecuado de protección

La Ley 21.719 reconoce como destinos seguros aquellos países que mantienen un nivel adecuado de protección de datos personales. En la práctica, esto significa países con leyes robustas similares a la nuestra o superiores.

Los principales son:

  • Unión Europea: Considerada el estándar más alto. Si un proveedor está dentro de la UE, tienes presunción de nivel adecuado.
  • Canadá: Su Ley PIPEDA es equivalente a estándares europeos.
  • Uruguay: Tiene legislación reconocida como equivalente en Sudamérica.
  • Corea del Sur, Nueva Zelanda y otros: Con decisiones específicas según tratados.

El problema: EE.UU. no está en esta lista de manera automática. Aquí viene lo importante.

EE.UU. y la EU-US Data Privacy Framework: la excepción

Estados Unidos no tiene una ley federal única de protección de datos como la nuestra. Por eso, transferir datos a EE.UU. requiere mecanismos adicionales.

Para empresas que certifican cumplimiento con el EU-US Data Privacy Framework (remplazó al antiguo Privacy Shield en 2023), hay cierta protección. Pero esto aplica principalmente para transferencias desde la UE.

Como empresa chilena, ¿qué haces? Tienes dos caminos:

  • Usa un proveedor certificado bajo Privacy Shield o EU-US Framework (muchas big tech lo cumplen).
  • Implementa mecanismos contractuales alternativos (que explicamos abajo).

Mecanismos alternativos: cláusulas contractuales y BCR

Si el destino no tiene nivel adecuado, debes pactar salvaguardas contractuales con el proveedor. La Ley 21.719 acepta dos mecanismos:

1. Cláusulas Contractuales Estándar (CCE): Son contratos pre-aprobados que establecen obligaciones de protección equivalentes. Incluyen:

  • Obligación de no usar datos para otros fines.
  • Derecho a auditorías.
  • Garantía de seguridad técnica.
  • Compromiso de cumplir leyes locales del destino que no contravengan la protección.

2. Binding Corporate Rules (BCR): Si tu empresa es multinacional, puedes crear reglas internas corporativas. Menos común en PyMEs, pero útil en grupos empresariales.

Consejo práctico: Verifica si tu proveedor SaaS (Google Workspace, Microsoft 365, Zapier, etc.) ya tiene cláusulas estándar en su contrato. La mayoría las incluye.

El problema real: SaaS que replican datos globalmente

Aquí está el drama: muchos servicios cloud prometen "redundancia global" para garantizar disponibilidad. Esto significa que tus datos se replican automáticamente en múltiples países sin control tuyo.

Ejemplo: subes datos a Google Drive "en Chile", pero Google los copia a servidores en EE.UU., Brasil y Europa simultáneamente. ¿Está permitido? Solo si:

  • Lo declara claramente en su política de privacidad.
  • Tiene cláusulas contractuales que lo amparen.
  • Obtuvo tu consentimiento informado.

Antes de contratar un SaaS, pregunta explícitamente dónde se almacenan y replican tus datos. Documenta la respuesta.

Excepciones: cuándo SÍ puedes transferir sin mecanismos

La Ley 21.719 permite transferencias sin salvaguardas adicionales en casos excepcionales:

  • Cumplimiento legal: Una orden judicial o requerimiento del SII lo exige.
  • Transferencia necesaria: Para ejecutar un contrato con el titular (ej: enviar datos a un banco en el extranjero donde abre cuenta).
  • Interés vital: Proteger la salud o vida de una persona.
  • Consentimiento explícito: El titular autoriza específicamente, conociendo los riesgos.

Cómo documentar la transferencia en tu RAT

Tu Registro de Actividades de Tratamiento (RAT) debe incluir:

  • País de destino y empresa receptora.
  • Categorías de datos transferidas.
  • Mecanismo de protección: "Nivel adecuado", "Cláusulas contractuales", etc.
  • Fecha de implementación y revisión anual.
  • Copia del contrato o anexo que ampara la transferencia.

No es papeleo innecesario: si la SERNAC fiscaliza y no encuentras documentación, incurres en multa. Si la encuentras y está bien justificada, pasas sin problema.

Conclusión: no improvises, protocolariza

Las transferencias internacionales no son prohibidas bajo la Ley 21.719, pero requieren diligencia. Confiar en que "otros lo hacen" no es argumento. Mapea tus transferencias