Website Privacy Policy Chile (Política de Privacidad)
PRIVACY POLICY
POLÍTICA DE PRIVACIDAD DEL SITIO WEB [Company Name] — RUT: [Company RUT] Sitio web: [Website URL] Fecha de vigencia: [Effective Date] | Última actualización: [Last Updated] Contacto de privacidad: [Privacy Email]
1. Introduction and Legal Framework
[Company Name], RUT [Company RUT], con domicilio en [Company Address] (en adelante el "Responsable de Datos"), opera el sitio web [Website URL] y se compromete a proteger los datos personales de los usuarios y titulares de conformidad con: — Ley N° 19.628/1999 sobre Protección de la Vida Privada — Ley N° 21.719/2024 de Protección de Datos Personales — Ley N° 19.496/1997 sobre Protección de los Derechos de los Consumidores (marco SERNAC) — Regulaciones aplicables de la Agencia de Protección de Datos Personales (APDP) Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos, compartimos y protegemos sus datos personales, y cómo puede ejercer sus derechos bajo la ley chilena. Delegado de Protección de Datos (DPD): [DPD Name]
2. Personal Data We Collect
Recopilamos las siguientes categorías de datos personales a través de [Website URL]: Categorías recopiladas: [Data Categories] Cookies y tecnologías de seguimiento utilizadas: [Cookie Types] De conformidad con el Art. 4 de la Ley N° 19.628 y la Ley N° 21.719/2024, los datos sensibles (datos de salud, origen racial, creencias religiosas, orientación sexual) solo se recopilan con su consentimiento explícito e inequívoco. Puede retirar el consentimiento en cualquier momento contactando a [Privacy Email].
3. Purposes and Legal Bases for Processing
Tratamos sus datos personales para las siguientes finalidades y sobre las siguientes bases de licitud conforme a la Ley N° 21.719/2024: Finalidades: [Processing Purposes] Plazo de conservación de datos: [Retention Period] No tratamos datos personales para finalidades incompatibles con las indicadas. Si pretendemos tratar datos para una nueva finalidad, le notificaremos y obtendremos consentimiento o estableceremos una nueva base de licitud antes de iniciar el tratamiento.
4. Data Sharing and International Transfers
Compartimos datos personales con los siguientes terceros (encargados de datos y destinatarios autorizados): Proveedores de servicios de terceros: [Third Parties] Transferencias internacionales de datos: [International Transfers] Para las transferencias internacionales a países sin decisión de adecuación de la APDP, implementamos Cláusulas Contractuales Tipo u otras garantías adecuadas conforme a la Ley N° 21.719/2024. No vendemos, arrendamos ni comercializamos datos personales con terceros más allá de lo descrito en esta Política.
5. Your Rights (Derechos ARCOP)
Bajo la Ley N° 21.719/2024, usted tiene los siguientes derechos como titular: (A) ACCESO: Solicitar confirmación de si tratamos sus datos personales y recibir una copia. (R) RECTIFICACIÓN: Solicitar la corrección de datos personales inexactos o incompletos. (C) CANCELACIÓN/SUPRESIÓN: Solicitar la eliminación de sus datos cuando ya no sean necesarios, se retire el consentimiento o el tratamiento sea ilícito. (O) OPOSICIÓN: Oponerse al tratamiento basado en interés legítimo o con fines de marketing directo. (P) PORTABILIDAD: Recibir sus datos en formato estructurado y legible por máquina (JSON/CSV). Para ejercer cualquiera de estos derechos, contáctenos en: [Privacy Email] Domicilio: [Company Address] Responderemos dentro del plazo establecido por la APDP. Si no está satisfecho con nuestra respuesta, puede presentar una reclamación ante la Agencia de Protección de Datos Personales (APDP) o ante el SERNAC bajo la Ley N° 19.496/1997.
6. Security Measures
[Company Name] implementa medidas de seguridad técnicas y organizativas adecuadas para proteger sus datos personales contra el acceso no autorizado, la pérdida accidental, la destrucción o la divulgación, de conformidad con la Ley N° 21.719/2024 y las directrices aplicables de la APDP: — Cifrado TLS/SSL para todos los datos transmitidos a través de [Website URL] — Cifrado AES-256 para datos en reposo — Controles de acceso basados en roles que limitan el acceso a personal autorizado — Auditorías de seguridad periódicas y evaluaciones de vulnerabilidades — Procedimientos de respuesta a incidentes para brechas de datos (notificación a la APDP según corresponda) — Capacitación del personal sobre obligaciones de protección de datos bajo la Ley N° 21.719/2024 En caso de una brecha de datos personales que represente un alto riesgo para sus derechos y libertades, le notificaremos a usted y a la APDP conforme a los requisitos de notificación de brechas de la Ley N° 21.719/2024.
7. Policy Updates and Contact
Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas de tratamiento de datos, la legislación chilena (incluidas las directrices y regulaciones de la APDP bajo la Ley N° 21.719/2024) u operaciones comerciales. Los cambios materiales se comunicarán mediante un aviso destacado en [Website URL] o por correo electrónico a los usuarios registrados. Para todos los asuntos de privacidad, incluidas solicitudes de derechos ARCOP, retiro del consentimiento y consultas generales de protección de datos: Responsable de Datos: [Company Name] RUT: [Company RUT] Domicilio: [Company Address] Correo electrónico: [Privacy Email] Delegado de Protección de Datos: [DPD Name] Esta Política se rige por las leyes de Chile, incluidas la Ley N° 19.628/1999, la Ley N° 21.719/2024 y las regulaciones aplicables de la APDP. Cualquier controversia derivada de esta Política estará sujeta a la jurisdicción de los tribunales chilenos y, en materia de protección de datos, a la Agencia de Protección de Datos Personales (APDP).
Responsable de Datos / Data Controller
________________
Signature
What Is a Website Privacy Policy Chile (Política de Privacidad)?
Website Privacy Policy Chile (Política de Privacidad de Sitio Web) is a mandatory disclosure document governed by Ley N° 19.628/1999 sobre Protección de la Vida Privada and the landmark Ley N° 21.719/2024 de Protección de Datos Personales, which together establish the legal framework regulating the collection, processing, storage, communication, and deletion of personal data belonging to Chilean residents and users of websites operating in Chile.
Ley N° 19.628/1999, published in the Diario Oficial on 28 August 1999, established Chile's foundational data protection law applicable to natural persons and legal entities. Article 4 of Ley N° 19.628 defines datos personales (personal data) as any information relating to an identified or identifiable natural person — including name, RUT (Rol Único Tributario assigned by the Servicio de Impuestos Internos — SII), address, telephone number, email, IP address, and browsing behavior. Article 4 inciso 2 defines datos sensibles (sensitive data) as personal data relating to physical or moral characteristics, racial origin, health conditions, sexual orientation, religious or philosophical beliefs, and union membership — categories requiring heightened protection under both Ley N° 19.628 and Ley N° 21.719.
Ley N° 21.719/2024, promulgated in December 2024 and published in the Diario Oficial, represents Chile's comprehensive modernization of data protection law, aligning with international standards such as the EU General Data Protection Regulation (GDPR) and the OECD Privacy Guidelines. Ley N° 21.719 introduces the concept of the responsable de datos (data controller) — the natural or legal person who determines the purposes and means of processing personal data — and the encargado de datos (data processor) — the person or entity that processes data on behalf of the controller. The law establishes six lawful bases for processing: consent (consentimiento); contractual performance (ejecución de contrato); legal obligation (obligación legal); vital interests (intereses vitales); public interest (interés público); and legitimate interests (intereses legítimos) of the controller or third parties.
The Agencia de Protección de Datos Personales (APDP) — created by Ley N° 21.719 as the independent supervisory authority for data protection in Chile — has regulatory and sanctioning powers to investigate complaints, conduct inspections, issue binding guidelines (instrucciones), and impose administrative fines of up to 5,000 UTM (Unidades Tributarias Mensuales) for serious violations and up to 10,000 UTM for very serious violations. The APDP replaces the prior role of the Consejo para la Transparencia in private sector data protection oversight.
A Privacy Policy for a Chilean website must inform users about the identity and contact details of the responsable de datos, the categories of personal data collected (datos de identificación, datos de navegación, datos de pago, datos de localización), the specific purpose (finalidad) and legal basis (base de legitimación) for each processing activity, the recipients or categories of recipients to whom data may be disclosed (including third-party analytics providers, payment processors, and cloud service providers), international data transfers and safeguards, the retention period (plazo de conservación) for each data category, and the mechanisms through which titulares (data subjects) can exercise their rights.
Ley N° 21.719 grants titulares an expanded set of rights under the ARCOP framework: derecho de Acceso (access to personal data held by the controller); derecho de Rectificación (correction of inaccurate or incomplete data); derecho de Cancelación/Supresión (deletion of data when the original purpose has been fulfilled or consent withdrawn); derecho de Oposición (objection to processing based on legitimate interests or direct marketing); and derecho de Portabilidad (data portability — receiving personal data in a structured, machine-readable format). These rights must be exercisable free of charge within the response deadlines established by the APDP.
Website operators using cookies, tracking pixels, Google Analytics, Meta Pixel, or similar tracking technologies must comply with both the data protection provisions of Ley N° 21.719 and the electronic communications rules. Consent for non-essential cookies must be freely given, specific, informed, and unambiguous — pre-ticked boxes or continued browsing as implicit consent do not satisfy the Ley N° 21.719 standard. The SERNAC (Servicio Nacional del Consumidor) has jurisdiction over consumer-facing privacy practices under Ley N° 19.496/1997 sobre Protección de los Derechos de los Consumidores, creating overlapping enforcement authority with the APDP.
When Do You Need a Website Privacy Policy Chile (Política de Privacidad)?
A Website Privacy Policy Chile is legally required for any website operator that collects, processes, or stores personal data of Chilean residents, regardless of whether the operator is domiciled in Chile or abroad — Ley N° 21.719/2024 applies on a territorial basis to any processing that affects persons located in Chile.
E-commerce businesses selling goods or services to Chilean consumers through platforms such as Mercado Libre Chile, Falabella.com, Ripley.cl, Paris.cl, or independent Shopify/WooCommerce stores must have a Privacy Policy that satisfies both Ley N° 21.719 requirements and the SERNAC consumer protection framework under Ley N° 19.496/1997. Payment data collected through Transbank WebPay, Khipu, or Flow (Chilean payment gateways regulated by the Banco Central de Chile and the CMF) constitutes personal and financial data subject to heightened protection.
SaaS companies and technology startups operating from Chile — registered as SpA or S.A. entities with the Registro de Empresas y Sociedades (RES) — that offer subscription services, cloud applications, or API services to Chilean and international users need Privacy Policies that address the lawful basis for processing under Ley N° 21.719, international data transfers to cloud providers (AWS, Google Cloud, Microsoft Azure), and the rights of data subjects across multiple jurisdictions.
Healthcare providers, clinics regulated by the Ministerio de Salud (MINSAL), dental practices, pharmacies such as Cruz Verde, Salcobrand, and FASA, and telemedicine platforms collecting health data — categorized as datos sensibles under Ley N° 19.628 Art. 2 and Ley N° 21.719 — need Privacy Policies specifying the heightened protections applicable to health information and the specific consent requirements for sensitive data processing.
Financial services companies — fintechs, insurance brokers, investment advisors, currency exchange operators (casas de cambio), and lending platforms — regulated by the CMF (Comisión para el Mercado Financiero) or the Banco Central de Chile must disclose data processing practices relating to financial information, credit scoring, and KYC (Know Your Customer) data, with Privacy Policies that align with both Ley N° 21.719 and CMF circulars on cybersecurity and data protection.
Educational institutions — universities such as Universidad de Chile, Pontificia Universidad Católica de Chile, and Universidad de Santiago (USACH), as well as online learning platforms — that collect student data including academic records, assessment results, and behavioral data must have Privacy Policies compliant with Ley N° 21.719 and applicable ministerial guidelines from the Ministerio de Educación.
What to Include in Your Website Privacy Policy Chile (Política de Privacidad)
A compliant Website Privacy Policy Chile under Ley N° 19.628/1999 and Ley N° 21.719/2024 must include the following essential elements to satisfy the APDP's requirements and protect both the operator and data subjects:
Controller Identity and Contact Details (Identidad del Responsable de Datos): Full legal name (razón social), RUT number, registered address in Chile (or the representative's address if the controller is domiciled abroad), email address for data protection inquiries, and — for companies with data protection obligations under Ley N° 21.719 — the contact details of the Delegado de Protección de Datos (DPD) if one has been appointed. Companies processing large volumes of sensitive data or conducting systematic monitoring of data subjects are required to appoint a DPD under Ley N° 21.719.
Categories of Personal Data Collected (Categorías de Datos Recopilados): A clear description of all categories of personal data collected through the website, including: datos de identificación (name, RUT, email, phone number, date of birth); datos de navegación (IP address, browser type, operating system, pages visited, session duration, referral URL — collected through cookies, web beacons, and analytics tools such as Google Analytics 4); datos de pago (credit card data processed through Transbank WebPay, PayPal, or other CMF-regulated payment processors — typically stored by the payment processor, not the website operator); datos de geolocalización (GPS coordinates or approximate location derived from IP address); and datos sensibles (health information, racial origin, religious beliefs, or sexual orientation, if collected).
Purpose and Legal Basis for Processing (Finalidad y Base de Legitimación): For each category of personal data, the Privacy Policy must specify the specific purpose of collection and the applicable legal basis under Ley N° 21.719: consentimiento del titular (for newsletter subscriptions, marketing communications, and non-essential cookies); ejecución del contrato de compraventa o de prestación de servicios (for order processing, delivery, and customer service); cumplimiento de obligación legal (for tax retention under SII requirements, consumer rights documentation under SERNAC regulations, and financial reporting under CMF rules); and interés legítimo (for fraud prevention, security monitoring, and website analytics).
Cookies and Tracking Technologies (Cookies y Tecnologías de Seguimiento): A detailed description of all cookies and tracking technologies used, categorized as: cookies estrictamente necesarias (strictly necessary — required for website functionality, no consent required); cookies de preferencias (preference cookies — remember user settings, require consent); cookies analíticas (analytics cookies — Google Analytics 4, Matomo, Adobe Analytics — measuring website traffic and behavior, require consent); and cookies de marketing (marketing cookies — Google Ads, Meta Pixel, LinkedIn Insight Tag — used for targeted advertising, require explicit consent). The cookie policy must describe the specific cookies deployed, their purpose, provider, and retention period.
Data Sharing and Third-Party Disclosure (Comunicación a Terceros): Identification of all third parties with whom personal data is shared: cloud hosting providers (Amazon Web Services — AWS, Google Cloud Platform, Microsoft Azure); analytics service providers (Google LLC, operating under Standard Contractual Clauses for international transfers); payment processors (Transbank S.A., regulated by the CMF); email marketing platforms (Mailchimp, HubSpot, SendGrid); CRM providers (Salesforce, Zoho); and any other encargados de datos. For each sharing arrangement, the Policy must specify the legal basis and, for international transfers, the safeguards applied (Standard Contractual Clauses, adequacy decisions, or binding corporate rules).
Data Subject Rights and Exercise Procedures (Derechos ARCOP): A clear explanation of each right under Ley N° 21.719 and the procedure for exercising them: derecho de Acceso — request a copy of all personal data held; derecho de Rectificación — correct inaccurate or incomplete data; derecho de Cancelación/Supresión — request deletion when data is no longer necessary, consent is withdrawn, or processing is unlawful; derecho de Oposición — object to processing based on legitimate interests or for direct marketing purposes; and derecho de Portabilidad — receive personal data in a structured, machine-readable format (JSON, CSV, XML). The policy must specify the email address or web form for submitting requests, the maximum response period (plazo máximo de respuesta) established by the APDP, and the right to lodge a complaint with the APDP if the response is unsatisfactory.
Retention Periods (Plazos de Conservación): The maximum period for which each category of personal data is retained, based on the purpose of collection: customer transaction data retained for 6 years for SII tax purposes (consistent with Código Tributario Art. 200); employee data retained for 5 years after termination under Código del Trabajo requirements; marketing data retained until consent is withdrawn or the relationship ends; and server logs retained for 12 months for security purposes.
Security Measures (Medidas de Seguridad): A general description of the technical and organizational security measures implemented to protect personal data: TLS/SSL encryption for data in transit; AES-256 encryption for data at rest; access controls and role-based permissions; regular security audits; vulnerability scanning; incident response procedures; and staff training on data protection. The APDP requires controllers to maintain appropriate security measures proportional to the risk of the processing activities.
Forms-legal.com provides this Website Privacy Policy Chile template as a reference document for website operators seeking to comply with Ley N° 19.628/1999 and Ley N° 21.719/2024. Given the complexity of Chile's new data protection framework and the APDP's enforcement powers, website operators should review this template with a Chilean abogado or data protection specialist before publication.
How to Fill Out Your Website Privacy Policy Chile (Política de Privacidad)
Elaborar una Política de Privacidad de Sitio Web en Chile que sea efectiva, comprensible y legalmente válida requiere un proceso sistemático que va más allá de copiar un texto estándar. Estos pasos guían a los responsables de sitios web chilenos a través del proceso de personalización del documento.
**Paso 1: Inventariar los datos personales que recopila el sitio.** Antes de redactar la política, el responsable del sitio debe realizar un mapeo de datos: qué datos recopila, a través de qué medios (formularios, cookies, integraciones de terceros), con qué propósito se usa cada tipo de dato, dónde se almacena (servidor propio, proveedor de nube, CRM externo) y quién tiene acceso. Este inventario es la base de la política y determina su contenido. Omitir categorías de datos que el sitio efectivamente recopila puede constituir una infracción a la Ley N.º 19.628.
**Paso 2: Identificar todos los proveedores tecnológicos que reciben datos.** Revisar todas las integraciones activas en el sitio: Google Analytics, Google Tag Manager, Facebook Pixel, píxeles de LinkedIn, herramientas de chat en vivo como Intercom o Zendesk, plataformas de email marketing como Mailchimp o Brevo, pasarelas de pago como Transbank o PayPal, y cualquier plugin o extensión de terceros instalada en el CMS (WordPress, Wix, Shopify u otros). Cada proveedor que recibe datos de usuarios debe quedar identificado o categorizado en la política.
**Paso 3: Determinar la base legal de cada tratamiento.** Para cada tipo de dato y finalidad, identificar la base legal aplicable conforme a la Ley N.º 19.628: consentimiento del usuario (que debe ser libre, informado, expreso y específico), ejecución de un contrato de compraventa o de servicio, cumplimiento de una obligación legal (como la conservación de documentos tributarios exigida por el SII), o interés legítimo del responsable. Si el tratamiento se basa en consentimiento, diseñar el mecanismo de obtención antes de publicar la política.
**Paso 4: Redactar la política en lenguaje claro y accesible.** La Ley N.º 19.628 exige que la información se entregue de manera que el titular pueda comprenderla. Evitar el lenguaje técnico o jurídico excesivo, usar oraciones cortas y párrafos bien estructurados, y organizar el documento con títulos y subtítulos claros. La política debe estar disponible en el sitio web en un lugar de fácil acceso, habitualmente en el pie de página con un enlace visible desde todas las páginas del sitio.
**Paso 5: Implementar el mecanismo de consentimiento para cookies.** Si el sitio usa cookies no esenciales, debe implementarse un banner o pop-up de consentimiento de cookies (cookie banner) que aparezca en la primera visita del usuario y le permita aceptar todas las cookies, rechazarlas o configurar sus preferencias por categoría. El banner debe estar vinculado a la política de privacidad y de cookies, y el sistema de gestión de consentimiento debe registrar la elección del usuario y respetarla durante la sesión y en visitas posteriores.
**Paso 6: Establecer el procedimiento interno para responder solicitudes de titulares.** La política informa a los usuarios sobre sus derechos, pero internamente el responsable debe tener un procedimiento definido para recibir y responder las solicitudes de acceso, rectificación, cancelación u oposición en el plazo comprometido. Designar un responsable interno de privacidad que gestione estas solicitudes y mantener un registro de ellas facilita el cumplimiento y demuestra buena fe ante una eventual fiscalización.
Legal Requirements for Website Privacy Policy Chile (Política de Privacidad)
La Política de Privacidad de Sitio Web en Chile debe cumplir con un conjunto de exigencias legales vigentes y anticipar el nuevo marco normativo en tramitación. Conocer estos requisitos es indispensable para operar sin riesgo de sanciones y con la confianza de los usuarios.
La Ley N.º 19.628 sobre Protección de la Vida Privada es la norma fundamental. Su artículo 4 establece que el tratamiento de datos personales solo puede efectuarse con el consentimiento del titular o cuando la ley lo autoriza expresamente. El artículo 12 reconoce los derechos de acceso, rectificación, cancelación y bloqueo de datos, y el artículo 23 establece la responsabilidad civil del responsable del tratamiento por los daños causados al titular por infracciones a la ley, con la carga de la prueba invertida a favor del afectado.
El Proyecto de Ley de Protección de Datos Personales, en tramitación en el Congreso Nacional, creará la Agencia de Protección de Datos Personales como órgano fiscalizador autónomo con facultades sancionatorias. Las multas proyectadas para infracciones graves pueden alcanzar hasta el 4% de los ingresos anuales del infractor o 5.000 UTM, lo que representa un cambio radical respecto al régimen actual de responsabilidad civil. Las empresas que anticipen este marco estarán mejor posicionadas para el cumplimiento desde el primer día de vigencia.
La Ley N.º 19.496 sobre Protección de los Derechos de los Consumidores, fiscalizada por el Servicio Nacional del Consumidor (SERNAC), también tiene implicancias en materia de privacidad: el artículo 17 establece que los contratos de adhesión no pueden contener cláusulas abusivas que impongan condiciones injustas o desproporcionadas en el tratamiento de los datos del consumidor. Las políticas de privacidad de sitios de comercio electrónico deben ser coherentes con los derechos del consumidor reconocidos en esta ley.
Para sitios web que tratan datos de usuarios en la Unión Europea o de ciudadanos europeos, el Reglamento (UE) 2016/679 (RGPD) se aplica extraterritorialmente conforme a su artículo 3, independientemente de que el responsable del tratamiento esté establecido en Chile. Las empresas chilenas con usuarios europeos deben cumplir simultáneamente la Ley N.º 19.628 y el RGPD, designar un representante en la UE si corresponde, y aplicar las salvaguardias del Capítulo V del RGPD para las transferencias internacionales de datos.
Common Mistakes to Avoid in Your Website Privacy Policy Chile (Política de Privacidad)
Las políticas de privacidad de sitios web chilenos presentan errores recurrentes que las hacen ineficaces como instrumento de protección legal y como generadores de confianza en el usuario. Evitarlos es clave para cumplir la Ley N.º 19.628 y posicionarse favorablemente ante el nuevo marco regulatorio.
**Copiar una política genérica sin personalizar.** El error más extendido es utilizar una plantilla estándar copiada de otro sitio web sin adaptarla a la realidad del propio sitio. Una política genérica que menciona tipos de datos, proveedores o finalidades que no corresponden al sitio web específico puede ser más perjudicial que no tener política, porque genera expectativas falsas en el usuario que luego no se cumplen en la práctica.
**No actualizar la política cuando cambian las prácticas de tratamiento.** Cuando se integra un nuevo proveedor de analítica, una plataforma de publicidad o una herramienta de CRM que no estaba mencionada en la política original, el sitio web queda en infracción a la Ley N.º 19.628 porque está realizando tratamientos no informados al titular. La política debe actualizarse cada vez que cambian las herramientas tecnológicas o las finalidades del tratamiento.
**No implementar un mecanismo real de consentimiento para cookies.** Muchos sitios chilenos incluyen en su política una mención a las cookies pero no implementan un banner de consentimiento funcional que permita al usuario rechazar las cookies no esenciales antes de que estas se activen. Mostrar el banner informativo sin que el rechazo tenga efecto real sobre la activación de las cookies viola el principio de consentimiento previo e informado.
**Omitir el procedimiento para ejercer derechos.** Declarar que el usuario tiene derechos de acceso, rectificación y cancelación sin proporcionar un mecanismo efectivo y accesible para ejercerlos hace que la cláusula sea puramente formal. La política debe indicar una dirección de correo electrónico o un formulario en línea específico para estas solicitudes, el plazo de respuesta comprometido y quién es el responsable interno de gestionarlas.
**No revisar la coherencia entre la política y los términos y condiciones.** Los sitios web con términos y condiciones de uso separados de la política de privacidad deben asegurarse de que ambos documentos sean coherentes entre sí. Contradicciones sobre el uso de datos, los mecanismos de resolución de conflictos o los derechos del usuario entre ambos documentos pueden ser invocadas por el usuario perjudicado ante el SERNAC o ante los tribunales civiles como evidencia de prácticas abusivas.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Website Privacy Policy Chile (Política de Privacidad) (Chile) [Legal document template]. Forms Legal. https://forms-legal.com/chile/business/policies/website-privacy-policy-chile
"Website Privacy Policy Chile (Política de Privacidad) (Chile)." Forms Legal, 2026, https://forms-legal.com/chile/business/policies/website-privacy-policy-chile.
@misc{formslegal-website-privacy-policy-chile,
author = {{Forms Legal}},
title = {Website Privacy Policy Chile (Política de Privacidad) (Chile)},
year = {2026},
howpublished = {\url{https://forms-legal.com/chile/business/policies/website-privacy-policy-chile}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
Sí, la obligación de informar a los usuarios sobre el tratamiento de sus datos personales deriva directamente de la Ley N.º 19.628 sobre Protección de la Vida Privada. El artículo 4 de esta ley establece que el tratamiento de datos personales solo puede efectuarse con el consentimiento del titular, y para que ese consentimiento sea válido debe ser libre, informado, expreso y específico. El requisito de que sea 'informado' implica necesariamente que el titular conozca qué datos se recopilan, para qué finalidad se usan y con quién se comparten antes de otorgar su consentimiento. La política de privacidad es el instrumento habitual a través del cual se cumple con esta obligación de información. Aunque la Ley N.º 19.628 no usa explícitamente el término 'política de privacidad', la ausencia de información adecuada sobre el tratamiento de datos constituye una infracción a la ley que puede generar responsabilidad civil conforme al artículo 23 de la misma norma. Adicionalmente, la Ley N.º 19.496 sobre Protección de los Derechos de los Consumidores, fiscalizada por el SERNAC, impone a los sitios de comercio electrónico la obligación de informar claramente las condiciones de uso del servicio y el tratamiento de los datos del consumidor. El Proyecto de Ley de Protección de Datos Personales en tramitación en el Congreso establecerá obligaciones aún más explícitas y la Agencia de Protección de Datos Personales tendrá facultades para fiscalizar y sancionar el incumplimiento con multas significativas.
La Ley N.º 19.628 establece que el tratamiento de datos personales requiere en principio el consentimiento del titular, pero contempla excepciones en las que el tratamiento es lícito sin consentimiento. Las principales excepciones relevantes para sitios web chilenos son: cuando los datos son necesarios para ejecutar un contrato en que el titular es parte, como los datos de nombre, dirección y correo electrónico necesarios para procesar y entregar un pedido de e-commerce; cuando el tratamiento es necesario para cumplir con una obligación legal, como la conservación de facturas y documentos tributarios exigida por el Servicio de Impuestos Internos durante seis años conforme al artículo 200 del Código Tributario; cuando los datos provienen de fuentes de acceso público como el Diario Oficial, registros públicos o información divulgada voluntariamente por el propio titular; o cuando el tratamiento responde a un interés legítimo del responsable que no vulnera los derechos fundamentales del titular. Sin embargo, incluso cuando existe una base legal distinta al consentimiento, el responsable del sitio web debe igualmente informar al titular sobre el tratamiento en la política de privacidad, identificando la base legal aplicable. Los datos sensibles definidos en el artículo 2 letra g) de la Ley N.º 19.628, como datos de salud, origen étnico, opiniones políticas o vida sexual, tienen un régimen más restrictivo y en general requieren siempre el consentimiento expreso del titular o una habilitación legal específica. El nuevo marco regulatorio en tramitación incorporará un catálogo explícito de bases legales que ampliará y clarificará estas excepciones.
La gestión de cookies en sitios web chilenos está regulada principalmente por la Ley N.º 19.628, que exige el consentimiento informado del usuario para el tratamiento de datos personales, y por los estándares internacionales de privacidad que cada vez más influyen en las expectativas de los usuarios chilenos. Las cookies técnicas o estrictamente necesarias para el funcionamiento del sitio web (como las cookies de sesión, las cookies de autenticación o las cookies del carrito de compras en e-commerce) no requieren consentimiento previo porque son indispensables para prestar el servicio que el usuario ha solicitado. Las cookies analíticas que miden el tráfico y el comportamiento de los usuarios mediante herramientas como Google Analytics 4, Matomo o Hotjar sí recopilan datos que pueden identificar o individualizar a un usuario, por lo que su uso debe ser informado en la política de privacidad y, siguiendo las mejores prácticas, sujeto al consentimiento del usuario antes de su activación. Las cookies publicitarias o de seguimiento que rastrean al usuario entre diferentes sitios web para mostrarle publicidad personalizada a través de redes como Google Ads, Meta Ads o redes de retargeting tienen el mayor impacto en la privacidad y deben estar sujetas siempre a consentimiento previo e informado. La implementación práctica requiere un sistema de gestión de consentimiento de cookies (CMP, por sus siglas en inglés) que muestre al usuario un banner en su primera visita, le permita configurar sus preferencias por categoría, y solo active las cookies correspondientes según la elección del usuario. Las opciones de gestión de cookies que el usuario selecciona deben conservarse durante un período razonable (habitualmente 12 meses) y el usuario debe poder modificarlas en cualquier momento.
La Ley N.º 19.628 reconoce a los titulares de datos personales un conjunto de derechos que pueden ejercer ante el responsable del tratamiento. El derecho de acceso, regulado en el artículo 12 de la ley, permite al titular solicitar información sobre qué datos personales suyos están siendo tratados, cuál es el origen de esos datos, qué finalidad tiene el tratamiento y a quiénes han sido comunicados. El responsable del tratamiento debe responder la solicitud de acceso en un plazo razonable, que la práctica y los estándares internacionales fijan habitualmente en 30 días corridos. El derecho de rectificación permite al titular corregir los datos personales que sean inexactos, incompletos o desactualizados. El derecho de cancelación o eliminación permite al titular solicitar que sus datos sean eliminados cuando el tratamiento no tenga base legal, cuando los datos ya no sean necesarios para los fines para los que fueron recopilados, o cuando el titular retire su consentimiento y no exista otra base legal que justifique el tratamiento. El derecho de bloqueo temporal permite al titular solicitar que sus datos no sean tratados durante un período en que se está resolviendo una disputa sobre su exactitud o la licitud del tratamiento. El ejercicio de estos derechos es gratuito para el titular y debe canalizarse a través del mecanismo que el responsable del tratamiento indique en su política de privacidad (correo electrónico, formulario en línea u otro medio). Si el responsable no responde o deniega injustificadamente una solicitud, el titular puede recurrir a los tribunales civiles conforme al artículo 16 de la Ley N.º 19.628. Con la aprobación del nuevo marco regulatorio, estos derechos se ampliarán y su ejercicio será supervisado por la Agencia de Protección de Datos Personales.
La Ley N.º 19.628 no prohíbe expresamente la transferencia de datos personales al extranjero, a diferencia de marcos más estrictos como el RGPD europeo que exige garantías específicas para las transferencias internacionales. Sin embargo, el principio de responsabilidad establecido en la ley implica que el responsable del tratamiento sigue siendo responsable de la seguridad y el uso de los datos incluso cuando los almacena o procesa a través de proveedores extranjeros de servicios en la nube. En la práctica, la mayoría de los sitios web chilenos utilizan infraestructuras de proveedores globales como Amazon Web Services (servidores en São Paulo o Virginia), Google Cloud Platform o Microsoft Azure, lo que implica una transferencia internacional de datos. Para cumplir con la Ley N.º 19.628, el responsable del tratamiento debe informar en su política de privacidad sobre estas transferencias internacionales, identificar los países de destino o las regiones donde se alojan los servidores, y asegurarse de que los contratos con los proveedores tecnológicos incluyan cláusulas de protección de datos que garanticen que el proveedor solo usará los datos para los fines autorizados y aplicará medidas de seguridad adecuadas. El nuevo marco regulatorio en tramitación incorporará requisitos específicos para las transferencias internacionales, exigiendo que los países de destino cuenten con un nivel de protección adecuado o que se establezcan garantías contractuales equivalentes. Las empresas chilenas que transfieren datos de usuarios europeos al extranjero deben además cumplir con el Capítulo V del RGPD, que es más exigente en este punto.
Bajo el marco vigente de la Ley N.º 19.628, las sanciones por infracciones a la protección de datos personales son principalmente de naturaleza civil: el artículo 23 establece que la persona que infrinja la ley causando daño al titular de los datos es responsable civilmente y debe indemnizar los perjuicios causados, incluyendo el daño moral. La particularidad de este régimen es que invierte la carga de la prueba: corresponde al responsable del tratamiento demostrar que actuó conforme a la ley, no al titular demostrar la culpa del responsable. Las acciones civiles se tramitan ante los Juzgados de Letras en lo Civil, con los costos de tiempo y dinero que ello implica para ambas partes. Adicionalmente, el SERNAC puede iniciar acciones colectivas contra sitios de comercio electrónico que infrinjan los derechos de los consumidores en materia de privacidad, con sanciones que pueden alcanzar las 300 UTA (Unidades Tributarias Anuales) para infracciones graves conforme a la Ley N.º 19.496. Con la aprobación del nuevo Proyecto de Ley de Protección de Datos Personales, el panorama sancionatorio cambiará radicalmente: la futura Agencia de Protección de Datos Personales tendrá facultades para imponer multas administrativas de hasta el 4% de los ingresos anuales del infractor para infracciones muy graves, lo que en el caso de empresas con facturación significativa puede representar montos muy elevados. Empresas medianas y grandes que operen en Chile deben anticipar este cambio regulatorio adaptando sus prácticas de privacidad a los estándares del nuevo marco antes de su entrada en vigencia.
No existe un plazo legal fijo en la Ley N.º 19.628 para actualizar periódicamente la política de privacidad. Sin embargo, la obligación de mantener al usuario informado sobre el tratamiento de sus datos implica que la política debe actualizarse siempre que cambien las prácticas de tratamiento que describe. Las situaciones que típicamente requieren una actualización inmediata de la política son: incorporación de nuevas herramientas tecnológicas que recopilan o procesan datos (un nuevo sistema de analítica, una nueva plataforma de email marketing, un chatbot con inteligencia artificial); ampliación de las finalidades del tratamiento (por ejemplo, comenzar a usar datos recopilados para un propósito para usarlos también en otro); incorporación de nuevos terceros a quienes se comunican los datos; cambios en los plazos de conservación de los datos; modificación de los mecanismos de seguridad aplicados; o cambios en la identidad o los datos de contacto del responsable del tratamiento. Adicionalmente, con la entrada en vigencia del nuevo Proyecto de Ley de Protección de Datos Personales, todas las políticas de privacidad deberán actualizarse para cumplir con los nuevos requisitos del marco modernizado. Como buena práctica, muchas empresas chilenas realizan una revisión anual de su política de privacidad, aunque la actualización debe hacerse cada vez que sea necesaria sin esperar al ciclo anual. Cuando la política se actualiza, debe notificarse a los usuarios existentes de manera efectiva, ya sea por correo electrónico, mediante un aviso prominente en el sitio web, o a través del mecanismo de notificación que el propio sitio tenga implementado, explicando qué cambios se han introducido y por qué.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Términos y Condiciones Comercio Electrónico Chile
Términos y Condiciones de Comercio Electrónico para Chile conforme a la Ley N° 19.496/1997 sobre Protección de los Derechos de los Consumidores Artículos 12-A a 12-C (contratos electrónicos), Ley N° 20.009/2005 sobre fraude electrónico y regulaciones aplicables del Banco Central de Chile y la CMF sobre pagos electrónicos.
Código de Conducta Empresarial Chile
Código de Conducta Empresarial para Chile conforme a la Ley N° 20.393/2009 sobre Responsabilidad Penal de las Personas Jurídicas (Artículo 4 — modelo de prevención de delitos), que establece estándares de conducta, principios éticos, normas de conflictos de interés, compromisos anticorrupción y el programa de cumplimiento requerido para SpA, S.A. y otras empresas chilenas.
Acuerdo de Confidencialidad NDA Chile
Acuerdo de Confidencialidad (NDA) para Chile — regido por el Artículo 1545 del Código Civil y la Ley 19.628 sobre protección de datos personales, que establece obligaciones vinculantes de confidencialidad entre partes que intercambian información propietaria, secretos comerciales y datos comerciales bajo el derecho civil chileno.