A pocos meses de la entrada en vigencia de la Ley N°21.719 sobre protección de datos personales, la Contraloría General de la República acaba de dar una señal que probablemente tendrá efectos mucho más amplios que los de una simple resolución administrativa.
Mediante la Resolución Exenta N°1.400 (publicada 24.06.2026), el organismo aprobó el procedimiento que permitirá a los ciudadanos ejercer sus derechos respecto de los datos personales que mantiene la institución y, al mismo tiempo, reguló el procedimiento disciplinario para investigar las infracciones que eventualmente cometan sus propios funcionarios en esta materia.
Formalmente, la resolución solo obliga a la Contraloría. Sin embargo, sería un error verla únicamente como un acto de organización interna. En los hechos, constituye uno de los primeros ejemplos concretos de cómo un órgano del Estado se prepara para cumplir las exigencias que impondrá el nuevo régimen de protección de datos a partir del 1° de diciembre de 2026.
Esta autorregulación se presenta como una manifestación de buena administración pública y de respeto efectivo por los derechos de las personas.
Con la nueva legislación cualquier persona podrá solicitar conocer qué datos mantiene un organismo público sobre ella; exigir la rectificación de información inexacta o desactualizada; solicitar la supresión de aquellos datos cuando la ley lo permita; oponerse a determinados tratamientos; e, incluso, pedir el bloqueo temporal de sus datos mientras se resuelve una controversia sobre su utilización. En definitiva, el titular deja de ser un espectador y pasa a ocupar el centro del sistema de protección de sus datos personales.
Los requerimientos y/o solicitudes tendrán un procedimiento formal, deberán ser identificadas y registradas, contarán con un código de trazabilidad, serán revisadas por un Oficial de Datos, existirán plazos para responder, decisiones fundadas y, si la respuesta es desfavorable, el ciudadano podrá interponer un recurso de reposición. En otras palabras, el ejercicio de estos derechos deja de depender de la buena voluntad de cada institución para transformarse en un procedimiento verificable, transparente y sujeto a control.
La resolución también contiene otra señal de gran relevancia, ya que la propia Contraloría reguló el procedimiento disciplinario aplicable a sus funcionarios cuando incumplan las obligaciones derivadas del tratamiento de datos personales. Es decir, la responsabilidad por una gestión inadecuada de los datos deja de ser una declaración de principios para convertirse en una materia susceptible de investigación y sanción.
No es casual que sea precisamente la Contraloría quien adopte estas medidas. Como órgano constitucional encargado de controlar la legalidad de la actuación de la Administración, su decisión de autorregularse anticipadamente demuestra que el cumplimiento de la Ley N°21.719 exigirá mucho más que políticas o designación de un Oficial de Datos. Será necesario construir procedimientos internos, definir responsabilidades, documentar actuaciones y garantizar que los derechos de los ciudadanos puedan ejercerse de manera real y no solo formal.
En los próximos meses, numerosos organismos públicos deberán aprobar sus propias políticas y procedimientos para adecuarse a la nueva legislación. La Resolución Exenta N°1.400 no será jurídicamente obligatoria para ellos, pero difícilmente pasará inadvertida. Su contenido ofrece un modelo de gobernanza, trazabilidad, control interno y rendición de cuentas que probablemente servirá de referencia para buena parte de la Administración Pública.
Después de todo, cuando el órgano encargado de fiscalizar la legalidad del Estado decide imponerse a sí mismo un estándar de cumplimiento, ese estándar suele transformarse, en la práctica, en el punto de comparación para todos los demás. La Contraloría no solo está preparándose para cumplir la nueva ley; está mostrando, desde ya, cómo espera que el Estado chileno proteja los datos personales de sus ciudadanos.











