Chile: La Contraloría aprueba un marco interno garantista para derechos de datos y refuerza el control disciplinario conforme a la nueva ley

Con fecha 11 de junio de 2026, la Contraloría General de la República (CRG) dictó la Resolución Exenta N.º 1.400, la cual entrará en vigor el 1 de diciembre de 2026, al igual que la Nueva Ley de Protección de Datos Personales. Este instrumento establece un procedimiento racional y justo para que los titulares ejerzan sus derechos de acceso, rectificación, supresión, oposición y bloqueo temporal, e introduce la figura del oficial de datos como autoridad competente para la gestión y resolución de las solicitudes.

La Ley N.º 21.719 introdujo una reforma integral al régimen de protección de datos personales en Chile, modificando sustancialmente la Ley N.º 19.628, sobre Protección de la Vida Privada. Entre sus principales innovaciones, creó la Agencia de Protección de Datos Personales, estableció nuevos principios rectores del tratamiento de datos, tipificó infracciones y sanciones, y reconoció un catálogo ampliado de derechos a los titulares, incluyendo los derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo temporal.

¿Cuál es el contexto regulatorio en que se dicta esta resolución?

En particular, el artículo 54 de la ley modificada dispone que las autoridades superiores de órganos dotados de autonomía constitucional (como la CGR, el Congreso Nacional o el Poder Judicial) deberán dictar las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones de la ley, especialmente aquellas que permitan el ejercicio de los derechos de los titulares y que fijen los estándares mínimos de control, seguridad y resguardo en el tratamiento de datos personales. Asimismo, el inciso segundo del artículo 54 previene que las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios, en relación con las infracciones que se produzcan en el tratamiento de datos, particularmente las infracciones señaladas en los artículos 34 bis, 34 ter y 34 quáter.   

Por su parte, el artículo 55 de la ley establece que los titulares de datos ejercerán los derechos que les reconoce la ley ante una serie de organismos públicos que menciona, entre los cuales se encuentra la CGR, de acuerdo a procedimientos racionales y justos, y ante los organismos que dispongan tales instituciones conforme al artículo 54.

¿Qué procedimientos aprueba la resolución?

La resolución regula dos procedimientos diferenciados. El primero es un procedimiento racional y justo para el ejercicio de los derechos de los titulares de datos personales ante la CGR, sujeto a las normas especiales de la Ley N.º 10.336 (sobre Organización y Atribuciones de la CGR) y a los principios y obligaciones de la Ley N.º 19.628, con aplicación supletoria de la Ley N.º 19.880, sobre Bases de los Procedimientos Administrativos.

El segundo es un procedimiento disciplinario interno para sancionar a los funcionarios de la CGR que incurran en infracciones a las disposiciones de la Ley N.º 19.628 en el tratamiento de datos personales.

¿Cuáles son los principales aspectos del procedimiento de ejercicio de derechos?

La resolución establece un procedimiento estructurado en diversas etapas para el ejercicio de los derechos de acceso, rectificación, supresión, oposición y bloqueo temporal ante la CGR.

• Presentación de la solicitud: el titular deberá presentar su solicitud a través de medios electrónicos por ventanilla única o de manera física en la respectiva Oficina de Partes.
• Requisitos de la solicitud: la solicitud deberá contener, al menos, la identificación del titular, los medios para su notificación, el motivo de la solicitud y el derecho invocado, la identificación de los datos personales o del tratamiento respecto al cual se ejerce el derecho y cualquier otro antecedente que facilite la localización de los datos. Para solicitudes específicas, se exigen requisitos adicionales: en el caso del derecho de rectificación, se deben indicar las modificaciones precisas a realizar con los antecedentes que las sustenten; para la supresión y oposición, debe indicarse la causal invocada acompañando antecedentes que la sustenten; y para el bloqueo, debe fundarse e identificarse el tratamiento objeto de la solicitud acompañando antecedentes que lo sustenten.
• Revisión de admisibilidad: la Oficina de Partes asignará un código de trazabilidad y enviará la solicitud al oficial de datos, quien verificará el cumplimiento de los requisitos. El oficial podrá requerir al solicitante la corrección de errores o de información incompleta, so pena tener por desistida la solicitud. En el caso de que la solicitud sea de competencia de otro organismo, la CGR la derivará al servicio respectivo, informando al solicitante.
• Plazo de respuesta: el oficial de datos deberá dar respuesta fundada a la solicitud admisible en un plazo de 30 días corridos desde su ingreso, prorrogables por una vez.
• Análisis de la solicitud: para el estudio correspondiente, se requerirá al Centro de Datos e Inteligencia Artificial los antecedentes necesarios para identificar las dependencias que efectuaron el tratamiento de los datos, y el oficial de datos se comunicará con las respectivas jefaturas para obtener información sobre los datos tratados, su origen, finalidad, destinatarios, período de tratamiento, intereses legítimos y cualquier otro antecedente pertinente.
• Respuesta: una vez consolidados y verificados los antecedentes, el oficial de datos elaborará la respuesta que acogerá o rechazará la solicitud.

Ante un rechazo total o parcial, el titular podrá presentar un recurso de reposición por ventanilla única o en la Oficina de Partes. El oficial de datos revisará el recurso: si es extemporáneo o no presenta nuevos argumentos o antecedentes, será rechazado por resolución exenta; en caso contrario, se solicitará informe a las jefaturas de las dependencias involucradas y se resolverá el recurso.

En caso de que la solicitud o el recurso de reposición sean acogidos, el oficial de datos coordinará con las dependencias respectivas las gestiones necesarias para la correcta ejecución del derecho solicitado.

Específicamente, para las solicitudes de bloqueo temporal, en el marco de una solicitud de rectificación, supresión u oposición, la resolución se adoptará una vez que el oficial de datos realice el análisis correspondiente, ordenando el bloqueo temporal dentro del plazo legal cuando corresponda.

¿Qué establece la resolución sobre el procedimiento disciplinario?

El procedimiento podrá iniciarse por tres vías: (i) denuncia interna o de terceros, (ii) recomendación del Comité de Integridad institucional o (iii) de oficio por parte de la contralora general.

Un aspecto interesante es que se establece una regla especial de interacción entre el procedimiento disciplinario y la figura del oficial de datos: durante la indagatoria del respectivo proceso, el fiscal deberá siempre solicitar informe al oficial de datos, debiendo remitirlo en el plazo de 5 días hábiles. Esta exigencia no procederá si el sumario investiga la eventual responsabilidad del propio oficial de datos o si fue este quien formuló la denuncia.

¿Qué cambios o novedades relevantes introduce la resolución?

En primer lugar, introduce la figura del oficial de datos como el funcionario encargado de gestionar y resolver las solicitudes de ejercicio de derechos de los titulares de datos al interior de la CGR, así como de emitir informes en el marco de los procedimientos disciplinarios.

En segundo lugar, la resolución establece un procedimiento detallado y completo para el ejercicio de los derechos de los titulares, con etapas claramente diferenciadas de admisibilidad, análisis, respuesta y recurso, lo que otorga certeza jurídica tanto a los funcionarios como a los ciudadanos.

En tercer lugar, incorpora el uso del Centro de Datos e Inteligencia Artificial de la CGR como soporte técnico para la identificación y trazabilidad de los datos personales tratados por las distintas dependencias del organismo, lo que constituye una innovación en materia de gobernanza de datos al interior del sector público.

En cuarto lugar, al vincular el procedimiento disciplinario con la figura del oficial de datos, se crea un mecanismo de control especializado que fortalece la responsabilidad funcionaria en materia de protección de datos.

Finalmente, la resolución establece una disposición transitoria que deja sin efecto todas las disposiciones contenidas en otras resoluciones de la CGR que sean contrarias a lo dispuesto en el nuevo instrumento, asegurando la coherencia normativa interna.

¿Qué implicancias prácticas tiene para organizaciones y empresas?

Si bien la resolución se aplica directamente a la CGR y a sus funcionarios, sus implicancias prácticas trascienden el ámbito estrictamente interno de dicho organismo. La resolución pone de relieve la importancia de contar con una estructura organizacional clara para la gestión de datos personales, incluyendo la designación de un responsable o delegado de protección de datos, la implementación de mecanismos de trazabilidad de datos y la articulación entre las áreas operativas y las funciones de cumplimiento.

Adicionalmente, las organizaciones que interactúan con la CGR -ya sea como sujetos fiscalizados, proveedores o contrapartes- deben considerar que dicho organismo cuenta ahora con un marco procedimental específico para la gestión de solicitudes de datos personales.

Conclusiones

La publicación de la Resolución Exenta N.º 1.400 de la CGR representa un avance significativo en el proceso de implementación de la Ley N.º 21.719 y confirma que los organismos del Estado están adoptando las medidas necesarias para adecuar sus procedimientos internos a las nuevas exigencias en materia de protección de datos personales.

La resolución se destaca por establecer un procedimiento claro, estructurado y garantista para el ejercicio de los derechos de los titulares, incorporando estándares de trazabilidad, plazos definidos, mecanismos de subsanación y recursos administrativos que otorgan certeza jurídica a los interesados.

Para las organizaciones del sector público y privado, la entrada en vigencia de la ley el 1 de diciembre de 2026 impone la necesidad de avanzar con urgencia en la adecuación de sus estructuras, procedimientos y políticas internas, tomando como referencia los estándares que ya están siendo implementados por organismos como la CGR.