Transferencias internacionales de datos en Chile: qué exige la Ley 21.719
Si tu empresa usa herramientas extranjeras para guardar datos de clientes, probablemente ya estás haciendo una transferencia internacional de datos sin saberlo. Esto exige la ley al respecto.
Transferencias internacionales de datos: lo que exige la Ley 21.719 (y probablemente no sabías que aplicaba a ti)
Si tu empresa usa Mailchimp para enviar newsletters, AWS o Google Cloud para alojar tu sitio, o Stripe para procesar pagos, hay una alta probabilidad de que estés haciendo algo que la ley regula directamente: una transferencia internacional de datos personales, sin haberlo declarado en ningún lado.
No se trata de un escenario exótico reservado a multinacionales. Es, de hecho, la situación de la mayoría de las PYMEs chilenas con presencia digital.
Qué exige la ley exactamente
El artículo 14 ter de la Ley 21.719 obliga a informar, cuando corresponda, si se transfieren datos personales a un tercer país u organización internacional, y si ese destino ofrece o no un nivel adecuado de protección equivalente al chileno. Si no lo ofrece, la empresa debe poder explicar qué garantías existen que igual justifiquen esa transferencia.
En términos simples: no está prohibido enviar datos al extranjero, pero sí está prohibido hacerlo en silencio, sin informarlo y sin un respaldo contractual adecuado.
Las cláusulas contractuales modelo
Para resolver el problema de "qué garantías son válidas", el Ministerio de Economía, Fomento y Turismo aprobó recientemente un set de Cláusulas Contractuales Modelo para Transferencias Internacionales, pensadas específicamente para este escenario: cuando una empresa chilena envía datos a un proveedor en un país sin nivel de protección adecuado, estas cláusulas ofrecen un marco contractual estandarizado para justificar esa transferencia.
Esto es exactamente lo mismo que resolvieron las cláusulas contractuales tipo de la Unión Europea para el RGPD — Chile ahora cuenta con su propia versión, adaptada a la Ley 21.719.
Cómo saber si tu empresa hace transferencias internacionales
La mayoría de las PYMEs lo hacen sin notarlo, a través de herramientas cotidianas:
- Email marketing: Mailchimp, Brevo, ActiveCampaign (servidores en EE.UU. o Europa)
- Hosting y almacenamiento: AWS, Google Cloud, Azure
- Pagos: Stripe, PayPal
- CRM y soporte: HubSpot, Zendesk, Intercom
- Analítica: Google Analytics
- Formularios y encuestas: Typeform, Google Forms
Si tu empresa usa cualquiera de estas herramientas para procesar datos de clientes chilenos, técnicamente estás transfiriendo esos datos fuera de Chile cada vez que se almacenan en sus servidores.
Nuestro escáner detecta automáticamente si tu sitio usa herramientas con transferencias internacionales y si las tienes correctamente declaradas en tu política de privacidad. Escanear mi sitio gratis →
Qué debe hacer tu empresa al respecto
- Identificar qué herramientas con servidores en el extranjero usas para procesar datos personales.
- Declararlo explícitamente en tu política de privacidad, indicando el país de destino.
- Verificar o incorporar garantías contractuales — como las cláusulas contractuales modelo — especialmente con proveedores que no ofrecen un nivel de protección equivalente.
- Reflejarlo en tu contrato con encargados de datos (DPA), si el proveedor trata los datos en tu nombre.
Genera tu Contrato con Encargado de Datos (DPA) personalizado, incorporando automáticamente las herramientas y transferencias detectadas en tu rubro. Generar mi DPA →
Preguntas frecuentes
¿Tengo que dejar de usar herramientas extranjeras? No. La ley no prohíbe usar proveedores fuera de Chile, exige transparencia y garantías adecuadas sobre esas transferencias, no su eliminación.
¿Qué pasa si mi proveedor está en Estados Unidos o Europa? Depende del nivel de protección que ese país ofrezca según los criterios de la futura Agencia de Protección de Datos. Mientras eso se define con detalle, la recomendación práctica es declarar la transferencia e incorporar cláusulas contractuales como respaldo.
¿Esto aplica si solo uso Google Analytics? Sí. Cualquier herramienta que procese datos personales de tus visitantes y los almacene fuera de Chile cuenta como transferencia internacional, sin importar si es gratuita o de pago.
Lectura relacionada
- ¿Necesitas un RAT en Chile? Lo que aclara la guía oficial
- Diccionario de la Ley de Protección de Datos en Chile
Este artículo es informativo y no constituye asesoría legal. Para casos específicos, consulta con un abogado especializado en protección de datos.
Fuente oficial: Guía Práctica para la implementación de la Ley de Protección de Datos Personales — Secretaría de Gobierno Digital
Acción recomendada
¿Tu PYME ya cumple la Ley 21.719?
Escanea tu sitio gratis y descubre qué te falta en menos de 30 segundos.
Escanear mi sitio gratis