Personal Data Processing Authorization Chile
Ley 19.628 Art. 4; Ley 21.719/2024
AUTORIZACIÓN DE TRATAMIENTO DE DATOS PERSONALES
AUTORIZACIÓN DE TRATAMIENTO DE DATOS PERSONALES
Ley N.° 19.628 Artículo 4 — Ley N.° 21.719 de 2024 — República de Chile
I. PARTES
En [Execution City], República de Chile, a [Execution Date]:
TITULAR DE LOS DATOS: [Subject Name], RUT [Subject RUT], domiciliado/a en [Subject Address], correo electrónico [Subject Email], teléfono [Subject Phone].
RESPONSABLE DEL TRATAMIENTO (Ley 21.719): [Controller Name], RUT [Controller RUT], domiciliado/a en [Controller Address], representado/a por [Controller Representative]. Contacto DPO / Encargado de Protección de Datos: [DPO Contact].
II. INFORMACIÓN SOBRE EL TRATAMIENTO DE DATOS (LEY 21.719 ARTS. 12 Y SS.)
Categorías de datos personales a tratar: [Data Categories].
Finalidades del tratamiento (principio de finalidad — Ley 21.719): [Processing Purposes]. Los datos no serán utilizados para finalidades distintas a las aquí declaradas sin obtener nuevo consentimiento.
Base legal del tratamiento: [Legal Basis].
Plazo de retención (principio de limitación del almacenamiento — Ley 21.719): [Retention Period]. Transcurrido dicho plazo, los datos serán eliminados o anonimizados.
Destinatarios y terceros: [Data Recipients].
IV. DECLARACIÓN DE CONSENTIMIENTO
Yo, [Subject Name], RUT [Subject RUT], declaro que:
- He recibido la información indicada en la sección II del presente documento de forma oportuna, comprensible y completa.
- Otorgo consentimiento libre, específico, informado e inequívoco para el tratamiento de mis datos personales, conforme al Artículo 4 de la Ley N.° 19.628 y los Artículos 12 y siguientes de la Ley N.° 21.719 de 2024.
- Entiendo que puedo revocar este consentimiento en cualquier momento mediante comunicación escrita al Responsable del Tratamiento.
- Conozco mis derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición reconocidos por la Ley N.° 21.719.
- Sé que puedo formular reclamos ante la Agencia de Protección de Datos Personales (APDP) en www.agenciaprivacidad.cl.
V. EJERCICIO DE DERECHOS DEL TITULAR
Para ejercer sus derechos o revocar este consentimiento, el Titular deberá contactar al Responsable del Tratamiento en: [Controller Address] / [DPO Contact]. El Responsable deberá responder en un plazo máximo de 30 días hábiles conforme a la Ley N.° 21.719.
Titular de los Datos
[Subject Name]
Signature
Date: ________________
Responsable del Tratamiento
[Controller Name]
Signature
Date: ________________
What Is a Personal Data Processing Authorization Chile?
Personal Data Processing Authorization Chile (Autorización de Tratamiento de Datos Personales) is a legal consent document by which a natural person (the titular de los datos / data subject) grants specific, informed, free, and unambiguous written authorization for a named data controller (responsable del tratamiento) to collect, store, use, transmit, or otherwise process their personal data for defined purposes. This authorization is required by Ley 19.628 (Ley sobre protección de la vida privada) Article 4, which mandates that personal data processing requires the express prior consent of the data subject — and is now comprehensively updated by Ley 21.719 of 2024 (Ley que modifica la Ley N.° 19.628, sobre protección de la vida privada), which aligns Chile's data protection framework with the European Union's General Data Protection Regulation (GDPR) model.
Ley 19.628, enacted in 1999, established Chile's first comprehensive personal data protection regime — requiring express written consent for the processing of personal data, establishing rights of access, rectification, and deletion (habeas data), and creating the Consejo para la Transparencia (CPLT) as the supervisory authority for public sector data. The law's definition of 'datos personales' in Article 2 covers any information relating to natural persons that identifies or makes identifiable the person concerned — including names, RUT numbers, addresses, telephone numbers, email addresses, health data, financial information, biometric data, and images.
Ley 21.719, enacted in 2024, substantially modernizes Chile's data protection framework by: creating a new independent supervisory authority — the Agencia de Protección de Datos Personales (APDP) — with investigative, sanctioning, and regulatory powers comparable to European Data Protection Authorities; introducing GDPR-aligned principles including lawfulness, fairness, transparency, purpose limitation, data minimization, accuracy, storage limitation, integrity, and accountability (responsabilidad proactiva); establishing a comprehensive framework for sensitive personal data (datos sensibles) including health, biometric, genetic, religious, political, sexual orientation, and other categories requiring heightened protection; creating new rights for data subjects including portability (portabilidad), erasure (supresión), and restriction of processing (limitación del tratamiento); and imposing significant financial sanctions for violations.
For consent to be valid under Ley 21.719, it must be: specific (específico) — not bundled with terms of service or general agreements; informed (informado) — the data subject must receive all required disclosures about purposes, categories of data, recipients, retention periods, and their rights before signing; free (libre) — not conditioned on the provision of a service where consent is not necessary for that service; unambiguous (inequívoco) — expressed through a clear affirmative action (not silence or pre-ticked boxes); and verifiable (verificable) — the data controller must be able to demonstrate that valid consent was obtained and retained. This Autorización de Tratamiento de Datos Personales document is designed to meet all these requirements.
The Agencia de Protección de Datos Personales, once fully operational under Ley 21.719, will have authority to conduct investigations, issue binding orders, and impose administrative sanctions of up to 5,000 Unidades Tributarias Mensuales (UTM) for serious violations. The APDP will also register data processors and maintain a public registry of data protection officers (DPOs / Encargados de Protección de Datos) for entities required to appoint them under the law.
When Do You Need a Personal Data Processing Authorization Chile?
A Personal Data Processing Authorization Chile under Ley 19.628 and Ley 21.719 is required whenever a data controller collects and processes personal data from individuals in Chile without relying on another lawful basis (such as legal obligation, contract performance, vital interests, or legitimate interest).
E-commerce and digital services: Online retailers, subscription services, apps, and digital platforms operating in Chile must obtain consent for processing personal data that goes beyond the minimum needed to perform the contracted service — particularly for marketing communications, behavioral analytics, remarketing, and data sharing with third parties or advertising networks. The Agencia de Protección de Datos Personales under Ley 21.719 is empowered to investigate and sanction digital platforms.
Marketing and CRM: Businesses sending marketing emails, SMS campaigns, or conducting telemarketing to individuals in Chile must have documented prior consent under Ley 19.628 Article 4 and Ley 21.719. The Servicio Nacional del Consumidor (SERNAC) also has jurisdiction over commercial communication practices under Ley 19.496 (Ley del Consumidor), requiring clear opt-in consent for commercial communications.
Employee data in the workplace: Employers collecting employee data beyond what is strictly necessary for the employment relationship — such as health data, GPS tracking, biometric time-attendance systems, or social media monitoring — must obtain explicit written consent from employees under Ley 19.628 and the Dirección del Trabajo (DT) guidance on employee privacy rights. The DT has issued ORD N.° 260 and subsequent circulares addressing employer data collection obligations.
Healthcare and research: Hospitals, clínicas, research institutions, and clinical trial operators processing personal health data (datos sensibles under Ley 19.628 Article 2 and Ley 21.719) must obtain specific written consent for each distinct processing purpose beyond direct patient care — research, teaching, registry participation, or commercial use. MINSAL and the Fondo Nacional de Salud (FONASA) data governance policies require documented consent for secondary health data uses.
Financial services and credit bureaus: Banks regulated by the CMF (Comisión para el Mercado Financiero), insurance companies (aseguradoras), and credit information agencies such as DICOM (part of Equifax Chile) processing personal financial data must comply with Ley 19.628 and the specific data protection provisions of financial services legislation, including authorization for sharing data with credit bureaus and third-party financial service providers.
What to Include in Your Personal Data Processing Authorization Chile
A legally valid Personal Data Processing Authorization Chile under Ley 19.628 Article 4 and Ley 21.719 of 2024 must include the following essential elements to satisfy the requirements of the Agencia de Protección de Datos Personales and the GDPR-aligned standards now applicable in Chile:
Identification of the Data Subject (Identificación del Titular): Full name, RUT, and contact information of the person whose personal data will be processed. The data subject must be a natural person (persona natural) with legal capacity — for minors, the parent or legal guardian provides consent as per the minor's data protection provisions of Ley 21.719.
Identification of the Data Controller (Identificación del Responsable del Tratamiento): Full legal name, RUT, legal address, and representative's name and contact details for the entity or person who will be processing the personal data. Under Ley 21.719, the data controller must provide contact information for their designated Encargado de Protección de Datos (DPO) if one is required. The data controller assumes full legal responsibility for compliance.
Categories of Personal Data (Categorías de Datos Personales): A specific enumeration of the types of personal data that will be collected and processed — full name, RUT, address, telephone number, email, date of birth, employment information, financial data, health data, biometric data, browsing behavior, location data, or others. Ley 21.719 requires data minimization — only data necessary for the stated purpose may be collected.
Purpose of Processing (Finalidad del Tratamiento): A precise and specific statement of the purposes for which the data will be processed — direct marketing, customer relationship management, service provision, research, statistical analysis, credit assessment, employee administration, or others. Under the purpose limitation principle of Ley 21.719, data cannot be used for purposes incompatible with those stated in the authorization without obtaining new consent.
Legal Basis for Processing (Base Legal del Tratamiento): Confirmation that the authorization is the legal basis for this specific processing activity. Under Ley 21.719, data controllers must identify the applicable legal basis for each processing activity — consent (Article 12 et seq.), contract performance, legal obligation, vital interests, public task, or legitimate interest. For data processed on the basis of consent, this authorization document is the legal basis.
Data Recipients and Transfers (Destinatarios y Transferencias de Datos): Clear disclosure of whether personal data will be shared with third parties — affiliated companies, service providers (encargados del tratamiento), data brokers, marketing platforms, government agencies, or foreign recipients. For international data transfers (transferencias internacionales), Ley 21.719 requires disclosure of the destination country and the safeguards in place (adequacy decision, standard contractual clauses, binding corporate rules, or other mechanisms).
Data Retention Period (Plazo de Retención): The period for which personal data will be retained, or the criteria used to determine that period. Under the storage limitation principle of Ley 21.719, data must be deleted or anonymized when no longer needed for the stated purpose. The specific retention period applicable to the processing activity must be disclosed to the data subject.
Data Subject Rights (Derechos del Titular): Notification of the data subject's rights under Ley 21.719 — access (acceso), rectification (rectificación), erasure/deletion (supresión/cancelación), restriction of processing (limitación del tratamiento), portability (portabilidad), objection (oposición), and withdrawal of consent (revocación del consentimiento). Contact information for exercising these rights — an email address, postal address, or online form — must be provided. Under Ley 21.719, data controllers must respond to access and deletion requests within 30 business days.
Contact of the Agencia de Protección de Datos Personales (APDP): Under Ley 21.719, data subjects must be informed of their right to lodge a complaint with the Agencia de Protección de Datos Personales (www.agenciaprivacidad.cl) if they believe their data protection rights have been violated.
Forms-legal.com provides this Personal Data Processing Authorization Chile template as a reference starting point for data controllers and individuals. Given the significant regulatory changes introduced by Ley 21.719 of 2024 and the sanctions regime administered by the Agencia de Protección de Datos Personales, organizations processing personal data in Chile should have their consent forms and data processing practices reviewed by an abogado specializing in derecho digital and data protection compliance. Los usuarios de forms-legal.com pueden descargar este documento de forma gratuita en formato PDF o DOCX, completar los campos del formulario guiado y obtener un documento listo para firma.
Sources & Citations
Statutory citations link to official government sources.
- Ley 19.628AR official
- Ley 21.719AR official
- Ley 19.496AR official
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Personal Data Processing Authorization Chile (Chile) [Legal document template]. Forms Legal. https://forms-legal.com/chile/personal/consent/personal-data-processing-authorization-chile
"Personal Data Processing Authorization Chile (Chile)." Forms Legal, 2026, https://forms-legal.com/chile/personal/consent/personal-data-processing-authorization-chile.
@misc{formslegal-personal-data-processing-authorization-chile,
author = {{Forms Legal}},
title = {Personal Data Processing Authorization Chile (Chile)},
year = {2026},
howpublished = {\url{https://forms-legal.com/chile/personal/consent/personal-data-processing-authorization-chile}},
note = {Free legal document template}
}Frequently Asked Questions
La Ley 21.719, promulgada en 2024, moderniza integralmente el marco de protección de datos de Chile mediante la modificación sustancial de la Ley 19.628. Los cambios clave incluyen: creación de la Agencia de Protección de Datos Personales (APDP) como autoridad de supervisión independiente con poderes de investigación y sanción (reemplazando el limitado rol del CPLT); adopción de principios alineados con el GDPR (licitud, limitación de la finalidad, minimización de datos, exactitud, limitación del almacenamiento, responsabilidad proactiva); derechos ampliados para los titulares, incluidos portabilidad y supresión; requisitos más estrictos para el consentimiento válido (específico, informado, libre, inequívoco y verificable); regulación integral de datos sensibles incluidos datos biométricos y genéticos; obligaciones de notificación de brechas de datos; requisitos de Evaluaciones de Impacto sobre la Protección de Datos (EIPD) para tratamientos de alto riesgo; y sanciones económicas significativas de hasta 5.000 UTM por infracciones graves. Las organizaciones que trataban datos lícitamente bajo la Ley 19.628 deben actualizar sus políticas de privacidad, formularios de consentimiento y acuerdos de tratamiento de datos para cumplir con la Ley 21.719.
No. El RUT (Rol Único Tributario / Número de Cédula de Identidad) es un dato personal bajo el Artículo 2 de la Ley 19.628 y la Ley 21.719. Una empresa que recopiló su RUT para un propósito — por ejemplo, para procesar una compra — no puede usarlo para otro propósito (como marketing, evaluación crediticia o venta a terceros) sin obtener su consentimiento separado y específico para ese nuevo propósito. El principio de limitación de la finalidad de la Ley 21.719 exige que los datos personales solo se utilicen para los propósitos declarados y consentidos. Usar su RUT para propósitos no divulgados es una violación de la ley que puede denunciarse ante la Agencia de Protección de Datos Personales (APDP). Puede ejercer su derecho de acceso para saber qué datos tiene una empresa sobre usted y para qué propósitos, su derecho de rectificación para corregir datos inexactos y su derecho de supresión/cancelación para eliminar sus datos cuando ya no son necesarios o el consentimiento es revocado.
Bajo el Artículo 2 de la Ley 19.628 y ampliado por la Ley 21.719, los datos sensibles son una categoría especial de datos personales que requieren protección reforzada debido a los riesgos particulares que su tratamiento puede plantear para los derechos y libertades fundamentales de las personas. La legislación chilena reconoce los siguientes como datos sensibles: datos de salud y médicos; datos biométricos utilizados para identificación; datos genéticos; origen racial o étnico; opiniones políticas; creencias religiosas o filosóficas; afiliación sindical; orientación sexual e identidad de género; antecedentes penales y condenas; e información financiera y socioeconómica en ciertos contextos. La Ley 21.719 fortaleció significativamente las protecciones para datos sensibles — el tratamiento de datos sensibles generalmente requiere consentimiento explícito, un estándar más elevado que el consentimiento ordinario, u otra base legal específica. La Agencia de Protección de Datos Personales puede imponer el nivel más alto de sanciones por el tratamiento ilícito de datos personales sensibles.
Bajo la Ley 21.719, puede ejercer sus derechos de protección de datos contactando directamente al responsable del tratamiento. La legislación chilena exige a los responsables del tratamiento proporcionar un mecanismo claro (formulario en línea, correo electrónico o dirección postal) para recibir solicitudes de derechos. Tiene derecho a: acceso — solicitar una copia de todos los datos personales que se tienen sobre usted e información sobre cómo se tratan; rectificación — corregir datos inexactos o incompletos; supresión/cancelación — solicitar la eliminación de sus datos cuando ya no son necesarios o el consentimiento es revocado; limitación — solicitar que el tratamiento se restrinja mientras una disputa está pendiente; portabilidad — recibir sus datos en un formato legible por máquina y transferirlos a otro responsable; y oposición — oponerse al tratamiento basado en interés legítimo o con fines de marketing. Los responsables del tratamiento deben responder en un plazo de 30 días hábiles. Si sus derechos no son respetados, puede presentar una reclamación ante la Agencia de Protección de Datos Personales (APDP) en www.agenciaprivacidad.cl. La acción tradicional de habeas data ante los tribunales sigue disponible en el marco constitucional chileno.
Sí, bajo la Ley 21.719, las organizaciones que tratan datos personales — empresas, ONG, entidades gubernamentales e individuos que actúan como responsables del tratamiento — deben proporcionar un aviso de privacidad transparente (política de privacidad) a los titulares de datos en el momento de la recopilación de datos. Esta obligación se deriva de los principios de transparencia y responsabilidad proactiva de la Ley 21.719, alineados con los requisitos del Artículo 13/14 del GDPR. La política de privacidad debe cubrir: identidad e información de contacto del responsable del tratamiento y el DPO; categorías de datos personales recopilados; finalidades y bases legales del tratamiento; plazos de retención de datos; destinatarios de datos y transferencias internacionales; derechos del titular y cómo ejercerlos; y el derecho a presentar una reclamación ante la Agencia de Protección de Datos Personales. Para sitios web y servicios digitales (comercio electrónico, aplicaciones, SaaS), la política de privacidad debe ser fácilmente accesible y estar redactada en lenguaje claro y sencillo. La Agencia de Protección de Datos Personales auditará y hará cumplir los requisitos de política de privacidad contra las organizaciones que operan en Chile.
Bajo la Ley 21.719, la Agencia de Protección de Datos Personales (APDP) puede imponer sanciones administrativas en una escala gradual según la gravedad de la infracción. Las infracciones leves — como deficiencias procedimentales en formularios de consentimiento o fallas menores de documentación — pueden resultar en advertencias escritas o multas de hasta 100 UTM (Unidades Tributarias Mensuales). Las infracciones graves — incluido el tratamiento ilícito de datos sensibles, el incumplimiento de implementar medidas de seguridad, transferencias internacionales de datos ilícitas, o la denegación sistemática de los derechos del titular — pueden resultar en multas de hasta 5.000 UTM. Para infracciones graves reiteradas o infracciones de organizaciones grandes, las multas pueden ser significativamente más altas. Más allá de las sanciones administrativas, las personas cuyos derechos de datos han sido vulnerados pueden presentar reclamaciones civiles ante los tribunales por daños (indemnización de perjuicios) bajo el marco de responsabilidad civil de los Artículos 2314–2332 del Código Civil. Los directores y la alta gerencia de las organizaciones pueden ser considerados personalmente responsables en ciertas circunstancias bajo el marco de la Ley 21.719.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Autorización de Uso de Imagen Chile (Derecho a la Imagen)
Autorización de uso de imagen para Chile regulada por el Artículo 4 de la Ley 19.628 (protección de datos personales) y el Artículo 19 N.° 4 de la Constitución Política (derecho a la intimidad y honra), mediante la cual una persona otorga consentimiento escrito para que su fotografía, video o imagen sea captada, reproducida y publicada en los medios especificados.
Acuerdo de Privacidad de Datos Empresa Chile
Acuerdo de Privacidad de Datos Empresa para Chile regulado por la Ley 19.628/1999 (Protección de la Vida Privada) y la Ley 21.719/2024 (nueva Ley de Protección de Datos Personales) — establece obligaciones de tratamiento de datos, requisitos de consentimiento, derechos ARCOP, roles de responsable y encargado, restricciones a transferencias transfronterizas y cumplimiento con la Agencia de Protección de Datos Personales.
Autorización de Tratamiento Médico de Menor Chile
Formulario de autorización para tratamiento médico de un menor de edad en Chile, regulado por el Artículo 222 del Código Civil (patria potestad) y el Artículo 14 de la Ley 20.584 (derechos y deberes de los pacientes). Suscrito por padre, madre o tutor legal para que los prestadores de salud puedan atender al menor en ausencia del adulto responsable.