Compliance · Datos personales

Ley 21.719: Lo Que Toda Empresa en Chile Debe Saber Antes de Diciembre 2026

La nueva Ley de Protección de Datos ya tiene fecha de vigencia. Esto es lo que tu empresa debe hacer ahora para no arriesgar sanciones de hasta $400 millones.

Por Equipo Cercai
·
Abril 2026
·
9 min de lectura

Quedan menos de 9 meses para que entre en vigencia la Ley 21.719 de Proteccion de Datos Personales. Si tu empresa trata datos de clientes, empleados o proveedores y aun no ha tomado medidas, el reloj corre en tu contra. Las multas pueden llegar hasta los $1.400 millones de pesos chilenos.

El 1 de diciembre de 2026, Chile dara un salto historico en materia de proteccion de datos personales. La Ley 21.719 moderniza por completo el marco regulatorio chileno, elevandolo a estandares comparables con el GDPR europeo. Se crea la Agencia de Proteccion de Datos Personales, un organo autonomo con facultades fiscalizadoras y sancionadoras reales, algo que hasta ahora no existia en el pais.

Esto no es un cambio menor. Por primera vez, las empresas en Chile enfrentaran consecuencias economicas serias por el mal manejo de datos personales. En esta guia te explicamos todo lo que necesitas saber para prepararte a tiempo y evitar sanciones que pueden poner en riesgo la continuidad de tu negocio.

Que es la Ley 21.719 de Proteccion de Datos Personales

La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024. Modifica sustancialmente la antigua Ley 19.628 sobre Proteccion de la Vida Privada, que estaba vigente desde 1999 y era considerada obsoleta e insuficiente para el contexto digital actual.

La nueva normativa establece un marco completo y moderno que incluye tres pilares fundamentales:

  1. Derechos ARCOP para los titulares de datos: Acceso (saber que datos tuyos tiene una empresa), Rectificacion (corregir datos inexactos), Cancelacion (solicitar la eliminacion de tus datos), Oposicion (negarte a que se traten tus datos en ciertos casos) y Portabilidad (obtener una copia de tus datos en formato electronico estructurado para llevarlos a otro proveedor).
  2. Bases de licitud para el tratamiento de datos: Las empresas ya no podran tratar datos personales “porque si”. Necesitaran una base legal valida: consentimiento explicito del titular, ejecucion de un contrato, obligacion legal, interes vital, interes publico o interes legitimo del responsable.
  3. Agencia de Proteccion de Datos Personales: Un organo autonomo, vinculado al Ministerio de Economia, con facultades para fiscalizar, investigar, interpretar la ley e imponer sanciones. Sera el equivalente chileno de las autoridades de proteccion de datos europeas.

Ademas, la ley crea el Registro Nacional de Sanciones y Cumplimiento, donde se inscribiran tanto los responsables sancionados como aquellas organizaciones que hayan adoptado modelos de prevencion de infracciones, un incentivo directo para quienes se adelanten al cumplimiento.

A quien aplica la Ley 21.719

La respuesta corta: a practicamente toda empresa que opere en Chile.

Si tu empresa recopila, almacena o utiliza datos personales de cualquier tipo, esta ley te aplica. No importa si eres una pyme con 5 empleados o una corporacion con miles de clientes. Estos son algunos ejemplos concretos:

  • Tienes una base de datos de clientes con nombres, emails o telefonos.
  • Envias campanas de email marketing o mensajes por WhatsApp.
  • Gestionas datos de empleados (contratos, sueldos, datos de salud).
  • Operas un e-commerce que registra datos de compra y despacho.
  • Usas herramientas de analytics que rastrean comportamiento de usuarios.
  • Tienes camaras de seguridad que graban a personas.
  • Manejas fichas clinicas, expedientes legales o datos financieros de terceros.

Si alguno de estos casos describe tu operacion, la Ley 21.719 te aplica directamente. Y si tratas datos sensibles (salud, origen etnico, orientacion sexual, datos biometricos, informacion financiera), las obligaciones son aun mas estrictas.

Obligaciones principales para las empresas

La ley introduce un conjunto de obligaciones que toda organizacion debera cumplir antes del 1 de diciembre de 2026. Estas son las mas relevantes:

Registro de Actividades de Tratamiento (RAT)

Cada empresa debera mantener un registro documentado y actualizado de todas las actividades de tratamiento de datos que realiza. Este registro debe incluir: que datos se recopilan, con que finalidad, cual es la base de licitud, quienes tienen acceso, a quienes se transfieren y cuales son los plazos de conservacion. Piensa en el RAT como el “inventario” completo de todos los datos personales que maneja tu organizacion.

Evaluaciones de Impacto en Proteccion de Datos (EIPD)

Cuando el tratamiento de datos represente un riesgo alto para los derechos de las personas, la empresa debera realizar una Evaluacion de Impacto en Proteccion de Datos antes de iniciar ese tratamiento. Esto aplica especialmente cuando se procesan datos sensibles a gran escala, se implementan sistemas de decision automatizada, o se realizan perfilados sistematicos de individuos.

Notificacion de brechas de seguridad

Si ocurre una filtracion, hackeo o acceso no autorizado a datos personales, la empresa debera notificar a la Agencia de Proteccion de Datos Personales sin dilacion indebida y, cuando sea posible, dentro de las 72 horas siguientes a tomar conocimiento del incidente. Ademas, si la brecha representa un riesgo alto para los titulares afectados, tambien debera notificarlos directamente. No basta con “solucionar el problema internamente” y seguir adelante.

Delegado de Proteccion de Datos (DPO)

La designacion de un Delegado de Proteccion de Datos es obligatoria para organismos publicos y para empresas privadas que traten datos a gran escala o que manejen datos sensibles como parte central de su actividad. El DPO actua como enlace entre la organizacion y la Agencia, supervisa los procesos internos de tratamiento y asesora sobre la correcta aplicacion de la ley. Incluso si no estas obligado a tener uno, contar con esta figura puede reducir significativamente tu riesgo regulatorio.

Politicas de privacidad actualizadas

Las tipicas politicas de privacidad genericas copiadas de internet ya no sirven. La ley exige que las empresas informen de manera clara, precisa y accesible sobre: la identidad del responsable, los datos que recopilan, las finalidades del tratamiento, las bases de licitud, los derechos ARCOP del titular y como ejercerlos, los plazos de conservacion y si se realizan transferencias internacionales de datos.

Consentimiento explicito e informado

Cuando la base de licitud sea el consentimiento, este debe ser libre, informado, especifico e inequivoco. Nada de casillas pre-marcadas, textos escondidos en terminos y condiciones interminables, ni consentimientos “generales” que cubran todo. El titular debe saber exactamente para que autoriza el uso de sus datos, y debe poder retirar ese consentimiento en cualquier momento con la misma facilidad con que lo otorgo.

Sanciones: cuanto puede costar el incumplimiento

Aqui es donde la Ley 21.719 muestra su verdadero impacto. A diferencia de la normativa anterior, que carecia de un regimen sancionatorio efectivo, la nueva ley establece tres niveles de infracciones con multas significativas:

Infracciones leves: hasta 5.000 UTM (~$349 millones CLP)

Se consideran leves infracciones como: no informar adecuadamente al titular sobre el tratamiento de sus datos, no tener actualizada la politica de privacidad, o no responder a tiempo las solicitudes de ejercicio de derechos ARCOP. Pueden sancionarse con amonestacion por escrito o multa.

Infracciones graves: hasta 10.000 UTM (~$699 millones CLP)

Incluyen tratar datos personales sin una base de licitud valida, no notificar brechas de seguridad a la Agencia, realizar transferencias internacionales de datos sin cumplir los requisitos legales, u obstaculizar las labores de fiscalizacion de la Agencia. Tambien se incluyen las vulneraciones de medidas de seguridad cuando se deriven de negligencia.

Infracciones gravisimas: hasta 20.000 UTM (~$1.398 millones CLP)

Las mas severas abarcan el tratamiento fraudulento de datos, la entrega de informacion falsa a la Agencia, o reincidir en infracciones graves. En casos de reincidencia, las multas pueden triplicarse hasta 60.000 UTM.

Para empresas que no califican como pymes, existe una clausula adicional: en infracciones graves y gravisimas con reincidencia, la multa puede alcanzar el 2% o 4% de la facturacion anual de la empresa, respectivamente, si ese monto resulta mayor que la multa fija en UTM. Un porcentaje que recuerda directamente al GDPR europeo.

Dato importante para pymes: Durante el primer ano de vigencia (diciembre 2026 a diciembre 2027), las pequenas y medianas empresas estaran sujetas solo a amonestaciones, no a multas economicas. Pero eso no significa que puedas ignorar la ley: la Agencia igualmente puede fiscalizar, y al terminar ese periodo de gracia, las multas aplicaran retroactivamente a infracciones no corregidas.

Como preparar tu empresa antes de diciembre 2026

La buena noticia es que todavia tienes tiempo para prepararte. La mala noticia es que ese tiempo se esta acabando. Implementar un programa de cumplimiento serio no se hace en dos semanas. Este es un checklist practico para empezar hoy:

1. Realiza una auditoria de datos personales

Antes de cumplir con la ley, necesitas saber exactamente que datos tienes. Mapea todos los flujos de datos personales de tu organizacion: que datos recopilas, donde se almacenan, quien tiene acceso, para que se usan y si se comparten con terceros. No puedes proteger lo que no conoces.

2. Construye tu Registro de Actividades de Tratamiento

Con la auditoria como base, documenta cada actividad de tratamiento en un registro formal. Incluye la finalidad, la base de licitud, las categorias de datos, los destinatarios, los plazos de conservacion y las medidas de seguridad aplicadas. Este registro es obligatorio y la Agencia puede solicitarlo en cualquier momento.

3. Actualiza tus politicas de privacidad y consentimiento

Revisa y reescribe tus politicas de privacidad para que cumplan con los requisitos de la ley. Implementa mecanismos de consentimiento que sean claros, especificos y facilmente revocables. Revisa tambien los formularios de tu sitio web, las landing pages y cualquier punto donde recojas datos.

4. Implementa medidas de seguridad tecnicas y organizativas

Asegurate de que los datos personales esten protegidos con cifrado, controles de acceso, respaldos regulares y protocolos de respuesta a incidentes. Documenta todo: la Agencia evaluara no solo si ocurrio una brecha, sino si la empresa tenia medidas razonables implementadas para prevenirla.

5. Capacita a tu equipo

El eslabon mas debil en proteccion de datos siempre es el factor humano. Todos los colaboradores que manejan datos personales deben entender sus obligaciones bajo la nueva ley. Realiza capacitaciones periodicas y establece protocolos claros para situaciones comunes: como responder a una solicitud de acceso, que hacer ante una brecha, como obtener consentimiento valido.

6. Evalua si necesitas un Delegado de Proteccion de Datos

Si tu empresa trata datos sensibles, opera en sectores como salud, finanzas o educacion, o maneja grandes volumenes de datos personales, probablemente necesites designar un DPO. Incluso si no es obligatorio para tu caso, tener un responsable interno o externo de proteccion de datos puede ser la diferencia entre cumplimiento proactivo y una multa millonaria.

7. Adopta un modelo de prevencion de infracciones

La ley contempla que las empresas que adopten voluntariamente modelos certificados de prevencion de infracciones pueden beneficiarse de atenuantes en caso de sancion, e inscribirse en el Registro Nacional de Cumplimiento. Es una forma concreta de demostrar buena fe ante la Agencia y reducir tu exposicion al riesgo.

No esperes a diciembre: actua ahora

La Ley 21.719 no es una amenaza: es una oportunidad para modernizar la forma en que tu empresa maneja los datos de sus clientes, empleados y socios comerciales. Las empresas que se adelanten al cumplimiento no solo evitaran multas, sino que construiran una ventaja competitiva basada en la confianza.

Pero la ventana se cierra. Implementar un programa de cumplimiento completo puede tomar entre 3 y 6 meses dependiendo del tamano y complejidad de tu organizacion. Si empiezas hoy, llegas con margen. Si esperas a septiembre, ya sera tarde para hacerlo bien.

En Cercai te ayudamos a cumplir con la Ley 21.719 antes de la fecha limite. Nuestro servicio de Proteccion de Datos Personales con ShieldData combina inteligencia artificial con asesoria experta para que tu empresa este 100% preparada: desde la auditoria inicial hasta la implementacion de medidas tecnicas y la capacitacion de tu equipo.

Solicitar diagnostico gratuito

Evaluamos el estado actual de tu empresa frente a la Ley 21.719 sin costo ni compromiso. Conoce mas sobre nuestro servicio de proteccion de datos.

IA para Abogados

Descubre como la inteligencia artificial transforma estudios juridicos en Chile.

Ver solucion completa
Sigue leyendo

Otros artículos que te pueden interesar

Sanciones

Multas de Hasta $400 Millones: Las Sanciones de la Nueva Ley de Datos en Chile

Cuánto arriesgas si no cumples y qué conductas se sancionan específicamente.
Abogados

Cómo la IA está Transformando los Estudios Jurídicos en Chile

Cómo los estudios jurídicos ayudan a sus clientes con el cumplimiento legal.
Automatización

Automatización de Procesos con IA: Cómo Eliminar Tareas Manuales en tu Empresa

Automatiza la gestión de consentimiento y tratamiento de datos personales.
Guía completa

Inteligencia Artificial para Empresas en Chile: Guía Completa 2026

El contexto más amplio de la IA para empresas en Chile en 2026.