Saltar al contenido principal
PrivacidadWeb
Ley 21.719 · Guía sectorial

Ley 21.719 para Fintech y Servicios Financieros Digitales

Las empresas fintech (billeteras digitales, plataformas de crédito, inversión, criptoactivos, seguros digitales) tratan datos financieros y de comportamiento económico de alta sensibilidad. Están sujetas a una doble regulación: la Ley 21.719 de Protección de Datos y la normativa de la CMF (Comisión para el Mercado Financiero) para servicios regulados. El análisis de comportamiento de pago, scoring crediticio y datos de transacciones implica perfilamiento automatizado que requiere controles específicos bajo la Ley 21.719.

🔴 Riesgo ALTO7 tipos de datos regulados

Cómo Fintech y Servicios Financieros Digitales interactúa con datos personales

Las fintech son el caso de cumplimiento más complejo de la Ley 21.719 en Chile, por tres razones simultáneas. Primero, tratan datos financieros de alta sensibilidad —historial de pagos, nivel de deuda, capacidad de endeudamiento, comportamiento de gasto— que son el núcleo de su modelo de negocio. Segundo, muchas están sujetas a doble regulación: la APDP bajo Ley 21.719 y la CMF bajo la Ley Fintec (21.521) y normativas sectoriales, con obligaciones de seguridad de la información que se superponen. Tercero, el motor de su negocio —los algoritmos de scoring crediticio y las decisiones automatizadas de acceso a servicios— activa el Art. 9 de la Ley 21.719: el derecho del usuario a no ser objeto de decisiones basadas exclusivamente en tratamiento automatizado que produzcan efectos jurídicos. Si un algoritmo niega un crédito o bloquea una cuenta sin intervención humana, debe existir un mecanismo para que el usuario solicite revisión. Los datos biométricos usados para autenticación (face ID, huella dactilar) son datos sensibles que requieren consentimiento explícito y medidas de seguridad reforzadas. Y la infraestructura cloud —AWS, GCP, Azure con servidores fuera de Chile— implica transferencias internacionales de datos financieros que deben documentarse.

¿Qué datos personales trata tu fintech y servicios financieros digitales?

Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.

RUT, nombre e información de identidad verificadaDatos bancarios y de cuentas vinculadasHistorial de transacciones y comportamiento de pagoScore crediticio y capacidad de endeudamientoDatos de geolocalización para verificación antifraudeDocumentos de identidad y comprobantes de ingresosDatos biométricos para autenticación (face ID, huella)

Tu principal riesgo

⚠️

Las fintech realizan perfilamiento automatizado para decisiones de crédito o inversión, lo que activa el derecho a no ser objeto de decisiones exclusivamente automatizadas (Art. 9, Ley 21.719). Una brecha de datos financieros puede facilitar fraude a gran escala. La regulación financiera de la CMF se suma a las obligaciones de la APDP, generando doble exposición sancionatoria.

Obligaciones específicas para Fintech y Servicios Financieros Digitales

1

Implementar y documentar el derecho a revisión humana de decisiones automatizadas: cuando el algoritmo de scoring rechace una solicitud de crédito, limite el acceso a servicios o tome cualquier decisión con efectos significativos para el usuario, debe existir un mecanismo accesible para solicitar que un humano revise la decisión, y el plazo y proceso de esa revisión deben estar publicados en la Política de Privacidad.

2

Obtener consentimiento explícito e informado para el tratamiento de datos biométricos de autenticación (face ID, huella dactilar, reconocimiento de voz): informar qué datos biométricos se recopilan, si se almacenan en el dispositivo del usuario o en servidores propios, con qué finalidad exclusiva (autenticación), con qué medidas de seguridad y cómo el usuario puede revocar el consentimiento.

3

Documentar en el RAT todas las transferencias internacionales de datos a infraestructura cloud: proveedor (AWS, GCP, Azure), región o país de los servidores donde se almacenan datos de usuarios chilenos, tipo de datos transferidos (datos financieros, biométricos, transaccionales), base legal de la transferencia y garantías de protección aplicadas.

4

Cumplir con las obligaciones de notificación de brechas tanto ante la APDP (dentro de 72 horas, Art. 14 sexies Ley 21.719) como ante la CMF (según normativas específicas del organismo regulador) y ante los usuarios afectados; implementar un protocolo de respuesta a incidentes que integre ambas líneas de notificación.

5

Publicar en la Política de Privacidad una explicación comprensible de la lógica del algoritmo de scoring: qué variables se consideran (sin revelar el modelo completo), cómo afectan al resultado, si se usan datos de terceros (Equifax, Dicom, BancoEstado API) y cómo el usuario puede impugnar el resultado si considera que la información subyacente es incorrecta.

Ejemplo de cumplimiento paso a paso

  1. 1

    Implementa el mecanismo de revisión humana de decisiones algorítmicas

    Agrega a tu flujo de onboarding y de decisiones crediticias un punto donde el usuario pueda solicitar revisión humana si el algoritmo toma una decisión adversa. Documenta el proceso: quién revisa, en cuánto tiempo responde, cómo se notifica al usuario. Publícalo en tu Política de Privacidad.

  2. 2

    Actualiza la Política de Privacidad con foco en tratamiento automatizado y cloud

    Tu política debe explicar: (1) que usas algoritmos para decisiones crediticias y cómo puede el usuario solicitar revisión, (2) qué datos biométricos recopilas y cómo, (3) en qué regiones cloud están tus servidores y qué garantías aplican a las transferencias internacionales.

  3. 3

    Documenta las transferencias internacionales en el RAT

    Lista todos los servicios cloud y APIs externas que reciben datos de usuarios chilenos: AWS región, GCP región, Azure región, APIs de scoring (Equifax, Fintoc, etc.), herramientas de análisis (Segment, Amplitude). Para cada una: tipo de datos transferidos, país, garantías de protección.

  4. 4

    Revisa el cumplimiento de datos biométricos

    Si usas face ID o huella para autenticación: verifica que el consentimiento es explícito (no incluido en los términos generales de uso), que el usuario puede revocar el consentimiento en cualquier momento, y que los datos biométricos están cifrados y no se usan para ninguna finalidad distinta a la autenticación.

  5. 5

    Integra el protocolo de brechas con las obligaciones CMF

    Diseña un protocolo único que cubra tanto la notificación a la APDP (72 horas, Art. 14 sexies) como los reportes a la CMF según la normativa que te aplique. Define los roles internos, los criterios para determinar el alcance de la brecha y el proceso de comunicación a usuarios afectados.

Genera los documentos que tu fintech y servicios financieros digitales necesita

Sin registro · Sin pago · Listo en minutos

Generar Gratis

Multas y sanciones para Fintech y Servicios Financieros Digitales

La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).

💸

Una fintech que toma decisiones crediticias exclusivamente mediante algoritmos sin informar a los usuarios ni permitirles solicitar revisión humana puede recibir multas de hasta 10.000 UTM (~$700M CLP) de la APDP por infracción al Art. 9 de la Ley 21.719 (derecho a no ser objeto de decisiones automatizadas), además de sanciones de la CMF.

Preguntas frecuentes sobre privacidad para fintech y servicios financieros digitales

¿El scoring crediticio automatizado está regulado por la Ley 21.719?

Sí. El Art. 9 de la Ley 21.719 reconoce el derecho a no ser objeto de decisiones basadas exclusivamente en tratamiento automatizado que produzcan efectos jurídicos significativos. Si tu algoritmo de scoring toma decisiones de crédito o acceso a servicios sin revisión humana, debes informarlo en tu política de privacidad y ofrecer al usuario la posibilidad de solicitar revisión.

¿Los datos biométricos de autenticación (face ID, huella) son datos sensibles?

Sí. Los datos biométricos son datos sensibles bajo el Art. 2° letra g) de la Ley 21.719. Su tratamiento para autenticación requiere consentimiento expreso e informado, medidas de seguridad reforzadas y documentación específica en el RAT. No pueden usarse para otras finalidades distintas a la autenticación sin nuevo consentimiento.

¿Estamos sujetos tanto a la Ley 21.719 como a la regulación de la CMF?

Sí, si tu fintech opera bajo supervisión de la CMF (Ley Fintec, Ley de Bancos, etc.), debes cumplir ambas normativas. La Ley 21.719 aplica al tratamiento de datos personales en general, mientras que la regulación CMF tiene requisitos adicionales sobre seguridad de la información, prevención de fraude y reporte de incidentes que deben integrarse en tu protocolo de brechas.

Más recursos útiles

Fintech y Servicios Financieros Digitales

Cumple la Ley 21.719 antes de que entre en vigor

Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.

Generar Política de Privacidad GratisHacer diagnóstico