CGR publica procedimiento para ejercer derechos sobre datos personales

La Contraloría General de la República publicó este miércoles una resolución que regula el ejercicio de los derechos sobre datos personales ante la institución y establece procedimientos internos para la gestión de solicitudes y eventuales infracciones, en el marco de la entrada en vigor de la Ley N° 21.719.

24 jun. 2026 6 mins lectura

La Contraloría General de la República (CGR) publicó este miércoles 24 de junio en el Diario Oficial la Resolución Exenta N° 1.400, documento que establece los procedimientos mediante los cuales las personas podrán ejercer sus derechos sobre datos personales ante el organismo, lo anterior en el contexto de la aplicación de la nueva ley de datos personales (Ley N° 19.628 modificada por la Ley N° 21.719).

La resolución fija las reglas administrativas que utilizará la institución para tramitar solicitudes relacionadas con el tratamiento de datos personales. Entre los derechos contemplados se encuentran el acceso, rectificación, supresión, oposición y bloqueo temporal de datos, mecanismos que podrán ser ejercidos por los titulares a través de Ventanilla Única o mediante presentación en la Oficina de Partes.

El texto también define el rol del Oficial de Datos dentro de la Contraloría, quien tendrá la responsabilidad de revisar la admisibilidad de las solicitudes presentadas por los ciudadanos y coordinar la tramitación correspondiente. Según el documento, “el Oficial de Datos revisará la admisibilidad de la solicitud” (fuente: Resolución Exenta N° 1.400 de la Contraloría General de la República).

La normativa establece además plazos específicos para la gestión de los requerimientos. Cuando una solicitud presente antecedentes incompletos, el solicitante dispondrá de cinco días hábiles para subsanar las observaciones formuladas por la institución. Una vez declarada admisible, la Contraloría deberá emitir una respuesta dentro de un plazo de treinta días corridos, con posibilidad de una prórroga única en los casos contemplados por el procedimiento.

Otro aspecto incorporado por la resolución corresponde a los mecanismos de impugnación disponibles para los titulares de datos. En aquellos casos en que una solicitud sea rechazada total o parcialmente, las personas podrán recurrir mediante un recurso de reposición dentro de los cinco días hábiles siguientes a la notificación de la decisión. La resolución indica en su Artículo 12 que “ante un rechazo total o parcial de la solicitud, el titular de datos podrá presentar un recurso de reposición dentro del plazo de cinco días hábiles”.

Junto con regular la atención de solicitudes ciudadanas, la CGR incorporó disposiciones relacionadas con el cumplimiento interno de la normativa de protección de datos personales. En particular, se establecen procedimientos disciplinarios para investigar eventuales infracciones cometidas en el tratamiento de información personal dentro de la institución.

La resolución también introduce elementos orientados a fortalecer la trazabilidad de las gestiones asociadas a datos personales, permitiendo documentar el tratamiento de las solicitudes y el seguimiento de las decisiones adoptadas durante el proceso.

De acuerdo con el documento, la medida comenzará a regir el 1 de diciembre de 2026, fecha que coincide con la entrada en vigor de la reforma introducida por la Ley N° 21.719. En ese contexto, la resolución representa una de las primeras implementaciones concretas de los mecanismos operativos que deberán adoptar los organismos públicos para dar cumplimiento a la nueva regulación de protección de datos personales en Chile.

A continuación, sintetizamos algunos de los puntos clave de lo indicado en la resolución de Contraloría General de la República.

Derechos que podrán ejercer los titulares de datos

La resolución regula el ejercicio de los derechos que la nueva ley reconoce a los titulares de datos:

Acceso.
Rectificación.
Supresión.
Oposición.
Bloqueo temporal.

Para ejercerlos, una persona podrá presentar una solicitud por medios electrónicos mediante Ventanilla Única o de forma presencial en Oficina de Partes.

Esto es relevante porque muestra cómo los organismos públicos deberán operacionalizar los llamados derechos ARCO+ (acceso, rectificación, cancelación/supresión, oposición y bloqueo).

Se crea formalmente la figura del “Oficial de Datos”

Uno de los aspectos más interesantes desde la perspectiva de gobernanza es que la resolución entrega un rol central al Oficial de Datos. Este funcionario deberá:

Revisar la admisibilidad de las solicitudes.
Verificar antecedentes.
Coordinar respuestas.
Gestionar recursos de reposición.
Coordinar la ejecución de las decisiones adoptadas.
Participar como actor técnico en investigaciones disciplinarias.

Esto anticipa cómo muchas instituciones públicas tendrán que incorporar estructuras similares para cumplir adecuadamente la nueva normativa.

Habrá plazos definidos para responder

La resolución establece un procedimiento relativamente estricto:

Si la solicitud está incompleta, la Contraloría podrá pedir antecedentes adicionales. El solicitante tendrá 5 días hábiles para corregir o complementar la presentación; de lo contrario, se entenderá desistida.
Si la solicitud es admisible, la CGR deberá responder dentro de 30 días corridos, con posibilidad de una sola prórroga.
Si la Contraloría no es competente, la solicitud deberá derivarse al organismo correspondiente dentro de 5 días hábiles.

La trazabilidad pasa a ser un requisito formal

Cada solicitud recibirá un código de trazabilidad, permitiendo seguir el estado de la gestión. La nueva ley exige demostrar cumplimiento y capacidad de auditoría sobre el tratamiento de datos.

La Contraloría deberá conocer exactamente qué datos trata

Cuando una solicitud sea admitida, el Oficial de Datos deberá recopilar información detallada respecto del tratamiento realizado:

Qué datos fueron tratados.
Cuál fue su origen.
Para qué finalidad fueron utilizados.
Quiénes fueron sus destinatarios.
Durante cuánto tiempo fueron tratados.
Qué intereses legítimos justificaron el tratamiento, cuando corresponda.

Este punto es relevante porque obliga a mantener inventarios y registros de tratamiento suficientemente completos para responder a los titulares.

Habrá derecho a reclamar si la respuesta es negativa

Si una solicitud es rechazada total o parcialmente, el titular podrá presentar un recurso de reposición dentro de 5 días hábiles desde la notificación.

Esto incorpora una segunda instancia administrativa interna antes de que eventualmente intervengan otros mecanismos de tutela.

Protección de datos pasa a ser una materia disciplinaria

La resolución deja explícito que las infracciones a la ley de protección de datos podrán generar procedimientos disciplinarios contra funcionarios públicos.

Las investigaciones podrán iniciarse por:

Denuncias internas.
Denuncias de terceros.
Recomendaciones del Comité de Integridad.
Decisión de oficio de la Contralora General.

Además, el fiscal investigador deberá solicitar siempre un informe técnico al Oficial de Datos, salvo situaciones excepcionales.

CGR publica procedimiento para ejercer derechos sobre datos personales

Artículos relacionados

Potencial compromiso de 20 mil cuentas de Instagram tras falla en herramienta de recuperación asistida por IA

Universidad de Oxford revela brecha en plataforma de servicios profesionales operada por proveedor externo