Cuando tu empresa almacena o procesa datos personales de personas domiciliadas en Chile usando un servicio con servidores en el extranjero, eso constituye una transferencia internacional de datos personales bajo la Ley 21.719 (Arts. 33–35).
No importa que el servicio sea gratuito, de uso cotidiano o que esté disponible mundialmente. El criterio es simple: ¿los datos de personas chilenas salen del país? Si la respuesta es sí, aplican las normas de transferencia internacional.
Esto incluye: correo corporativo en Gmail o Outlook, CRM en HubSpot o Salesforce, almacenamiento en Google Drive o Dropbox, bases de datos en AWS, Azure o GCP, y cualquier herramienta de RRHH, soporte o marketing con servidores fuera de Chile.
Los grandes proveedores tienen DPA disponible, pero debes aceptarlo activamente. No firmar el DPA equivale a no tener garantías.
| Servicio | País servidores | DPA disponible | Estado |
|---|---|---|---|
| Google Workspace (Gmail, Drive, Meet) | EE.UU. | Sí — Google Cloud DPA | Firmar DPA |
| Microsoft 365 (Teams, OneDrive) | EE.UU. | Sí — Microsoft DPA | Firmar DPA |
| AWS (servidores, bases de datos) | EE.UU. / global | Sí — AWS DPA | Firmar DPA |
| HubSpot (CRM) | EE.UU. | Sí — HubSpot DPA | Firmar DPA |
| Slack | EE.UU. | Sí — Slack DPA | Firmar DPA |
| Dropbox | EE.UU. | Sí — Dropbox DPA | Firmar DPA |
| Zoom | EE.UU. | Sí — Zoom DPA | Firmar DPA |
| SaaS sin DPA o sin política de privacidad | Desconocido | No verificado | Verificar urgente |
* Tener un DPA disponible no es suficiente: debe ser aceptado activamente en la configuración del servicio o mediante firma.
Lista todos los servicios externos donde guardas o procesas datos de clientes, empleados o proveedores. Incluye herramientas de RRHH, CRM, marketing, soporte y almacenamiento en la nube.
Busca en la documentación del proveedor su Data Processing Agreement (DPA), Cláusulas Contractuales Tipo (CCT) o equivalente. La mayoría de los grandes proveedores lo tienen disponible en su portal legal.
No basta con que el DPA exista. Debes aceptarlo activamente o firmarlo. Para Google y Microsoft esto se hace en la consola de administración. Para otros proveedores puede requerir una solicitud.
El inventario de datos personales debe incluir, para cada tratamiento que involucre un SaaS extranjero: el proveedor, el país donde se procesan los datos, el tipo de garantía (DPA/CCT) y la referencia al contrato.
La política pública de tratamiento de datos (Art. 14 ter N°8) debe mencionar las transferencias internacionales, las empresas destinatarias y las garantías aplicadas.
Sí. Almacenar datos personales de personas en Chile en servidores de Google, Microsoft, Amazon u otros proveedores con infraestructura fuera del país constituye una transferencia internacional bajo la Ley 21.719, independientemente de que sea un servicio de uso cotidiano.
La Ley 21.719 (Arts. 33-35) permite transferencias cuando: el país destino tiene nivel adecuado de protección reconocido por la Agencia; existen garantías adecuadas como cláusulas contractuales tipo o DPA; o aplica una excepción específica (consentimiento explícito, necesidad contractual, etc.).
Sí, siempre que los hayas aceptado activamente. Google, Microsoft y AWS ofrecen DPA que constituyen las garantías adecuadas que exige la ley. Debes aceptarlos en la consola de administración y documentar que lo hiciste.
Tienes tres opciones: negociar un DPA directamente con el proveedor; obtener consentimiento explícito e informado de cada titular para la transferencia internacional; o migrar a una herramienta alternativa con servidores en Chile o en un país con nivel adecuado de protección. Transferir sin garantías es infracción grave (hasta 10.000 UTM).
Te ayudamos a inventariar tus SaaS, verificar los DPA vigentes y documentar el cumplimiento antes de diciembre 2026.