Compliance · Riesgo legal

Multas de Hasta $400 Millones: Las Sanciones de la Nueva Ley de Datos en Chile

Qué conductas sanciona la Ley 21.719, cómo se calculan las multas por infracción y qué pasos tomar ahora para reducir tu exposición antes de que entre en vigencia.

Por Equipo Cercai
·
Abril 2026
·
7 min de lectura

Hasta $1.400 millones de pesos. Ese es el monto maximo que podria pagar tu empresa si no cumple con la nueva Ley de Proteccion de Datos Personales en Chile. Y no es una cifra teorica: la Ley 21.719, publicada en diciembre de 2024 y que entra en vigencia el 1 de diciembre de 2026, crea una Agencia de Proteccion de Datos con facultades reales de fiscalizacion y sancion. Esta ley no es cosmetica. Tiene dientes.

Las multas pueden alcanzar el 4% de la facturacion anual de una empresa grande en caso de reincidencia, un esquema sancionatorio directamente inspirado en el GDPR europeo. Para una empresa chilena que facture $50.000 millones al ano, eso son $2.000 millones en riesgo. Si crees que “a mi no me va a pasar”, este articulo va a cambiar tu perspectiva. Te mostramos exactamente cuanto cuestan las multas, que conductas las gatillan y que puedes hacer ahora — antes de que sea tarde.

Por que Chile necesitaba esta ley

Hasta ahora, la proteccion de datos personales en Chile se regia por la Ley 19.628, promulgada en 1999. Esa ley tenia un problema fundamental: no habia nadie que la hiciera cumplir. No existia un fiscalizador dedicado, las sanciones eran simbolicas y el unico camino para un ciudadano afectado era demandar en tribunales civiles — un proceso largo, caro y que casi nadie seguia.

El resultado fue predecible. Chile se convirtio en uno de los paises de la OCDE con peor proteccion de datos personales. Las empresas recopilaban informacion sin consentimiento real, compartian bases de datos sin restriccion y las filtraciones se tapaban bajo la alfombra porque no habia obligacion de notificarlas.

La Ley 21.719 cambia todo. Crea la Agencia de Proteccion de Datos Personales como organo autonomo con facultades para investigar, sancionar y suspender operaciones de tratamiento de datos. Alinea a Chile con estandares internacionales — el GDPR europeo y la LGPD brasilena — y establece un regimen sancionatorio escalonado donde las multas realmente duelen. Si quieres entender la ley completa en detalle, te recomiendo nuestra guia completa sobre la Ley 21.719.

Los 3 niveles de sanciones: de $349 millones a $1.400 millones

La Ley 21.719 clasifica las infracciones en tres niveles de gravedad, cada uno con multas progresivamente mayores. Los montos se expresan en UTM (Unidad Tributaria Mensual), que a marzo de 2026 equivale a $69.889 CLP. Veamos cada nivel en detalle.

Infracciones leves — Hasta 5.000 UTM ($349 millones CLP)

Son las infracciones mas “suaves”, pero $349 millones no es un monto menor para ninguna empresa. Como alternativa, la Agencia puede optar por una amonestacion escrita en casos de baja gravedad. Las conductas que califican como infracciones leves incluyen:

  • Incumplir el deber de informacion: no comunicar a los titulares que datos recopilas, para que, ni con que base legal.
  • No responder solicitudes ARCOP dentro del plazo: cuando un cliente pide acceso, rectificacion, cancelacion, oposicion o portabilidad de sus datos, tienes 30 dias para responder. Si no lo haces, es infraccion.
  • No mantener medios de contacto actualizados: la ley exige que los titulares tengan un canal claro para ejercer sus derechos. Si tu politica de privacidad tiene un email que nadie revisa, estas en falta.
  • No informar cambios en la politica de privacidad: cualquier modificacion en como tratas los datos debe ser comunicada a los afectados.
  • Omisiones menores en el Registro de Actividades de Tratamiento (RAT): el RAT es obligatorio y debe estar completo. Si tiene datos parciales o desactualizados, la Agencia puede sancionar.

Infracciones graves — Hasta 10.000 UTM ($699 millones CLP)

Aqui las multas se duplican y las conductas son significativamente mas serias. En caso de reincidencia para empresas no clasificadas como PYME, la multa puede alcanzar el 2% de los ingresos anuales por ventas y servicios si este monto supera las 10.000 UTM. Las conductas graves incluyen:

  • Tratar datos personales sin consentimiento valido: recopilar, almacenar o usar datos de personas sin su autorizacion explicita o sin otra base legal que lo justifique.
  • No notificar brechas de seguridad en 72 horas: si se filtran datos personales, tienes un maximo de 72 horas para informar a la Agencia. Si la brecha afecta a los titulares, debes avisarles de inmediato.
  • Cambiar la finalidad del tratamiento sin autorizacion: si recopilaste datos para un proposito y los usas para otro distinto sin consentimiento, es infraccion grave.
  • Comunicar datos a terceros sin consentimiento: compartir bases de datos con proveedores, socios o compradores sin la autorizacion de los titulares.
  • Obstaculizar el ejercicio de derechos ARCOP: no solo no responder, sino activamente impedir que una persona acceda, rectifique o elimine sus datos.
  • Incumplir obligaciones de seguridad: no tener medidas tecnicas y organizativas adecuadas para proteger los datos que manejas.
  • Transferencias internacionales sin garantias: enviar datos personales fuera de Chile sin cumplir los requisitos de la ley (paises adecuados, clausulas contractuales, etc.).

Infracciones gravisimas — Hasta 20.000 UTM ($1.400 millones CLP)

El nivel mas alto de sanciones. Para empresas grandes reincidentes, la multa puede escalar al 4% de los ingresos anuales por ventas y servicios. Ademas, la Agencia puede ordenar la suspension total de las operaciones de tratamiento de datos — lo que en la practica puede paralizar un negocio. Las conductas gravisimas son:

  • Tratamiento fraudulento de datos personales: obtener o usar datos mediante engano, suplantacion o medios ilegitimos.
  • Tratar datos sensibles sin autorizacion: datos de salud, origen etnico, orientacion sexual, datos biometricos o afiliacion politica tratados sin consentimiento explicito.
  • Uso malicioso de datos personales: utilizar datos para discriminacion, persecucion u otros fines ilegitimos.
  • Omision deliberada de notificacion de brechas: saber que hubo una filtracion y ocultarla intencionalmente. Esto es distinto a la infraccion grave (no notificar a tiempo): aqui el elemento es la intencion de ocultar.
  • Obstruir investigaciones de la Agencia: negarse a cooperar, destruir evidencia o entregar informacion falsa durante una fiscalizacion.
  • Incumplir sanciones previas: si ya te multaron y no corriges la conducta, la siguiente sancion es gravisima automaticamente.

Tabla resumen de sanciones

NivelMulta maximaMonto en CLP (2026)Reincidencia empresas grandes
Leves5.000 UTM$349 millonesAmonestacion o multa
Graves10.000 UTM$699 millonesHasta 2% ingresos anuales
Gravisimas20.000 UTM$1.400 millonesHasta 4% ingresos anuales + suspension

Comparacion con multas internacionales: Chile aprendio de Europa

Si estos montos te parecen altos, mira lo que ha pasado en Europa desde que el GDPR entro en vigencia en 2018. Las multas no son teoricas — se aplican y duelen:

  • Meta (Facebook/Instagram): 1.200 millones de euros (2023) por transferencias ilegales de datos a Estados Unidos.
  • Amazon: 746 millones de euros (2021) por procesamiento de datos personales sin consentimiento adecuado.
  • TikTok: 345 millones de euros (2023) por violaciones en el tratamiento de datos de menores.
  • H&M: 35 millones de euros (2020) por vigilancia ilegal de empleados.

Chile miro estos precedentes y diseno su regimen sancionatorio con la misma logica: las multas deben ser proporcionales al tamano de la empresa y lo suficientemente altas como para que cumplir sea mas barato que infringir. El tope del 4% de facturacion anual es identico al del GDPR.

RegulacionMulta maxima absolutaPorcentaje de facturacionVigencia
Chile (Ley 21.719)20.000 UTM (~$1.400M CLP)Hasta 4%Dic 2026
GDPR (Europa)20 millones EURHasta 4%Mayo 2018
LGPD (Brasil)50 millones BRLHasta 2%Ago 2020

La diferencia clave es que Brasil limita su porcentaje al 2%, mientras Chile y Europa llegan al 4%. Chile decidio no quedarse corto. La leccion de Europa fue clara: las multas bajas no cambian comportamientos. Las altas si.

3 escenarios reales de multas en Chile

Para aterrizar los numeros, veamos tres escenarios realistas de empresas chilenas que podrian enfrentar sanciones cuando la ley entre en vigencia.

Escenario 1: E-commerce con filtracion no notificada

Una tienda online con 50.000 clientes sufre un ciberataque. Se filtran nombres, emails, telefonos y direcciones de despacho. El equipo de TI detecta la brecha un lunes, pero la gerencia decide “investigar internamente primero” y no notifica a la Agencia. Pasan 10 dias.

Resultado: Infraccion grave por no notificar en 72 horas. Multa potencial: hasta $699 millones CLP. Si la empresa factura $20.000 millones anuales y es reincidente, la multa podria llegar a $400 millones (2% de ingresos). Ademas, la Agencia podria exigir que notifique a los 50.000 afectados, con el dano reputacional que eso implica.

Escenario 2: Clinica que comparte datos de pacientes

Una clinica privada comparte fichas medicas de pacientes con un laboratorio farmaceutico para un “estudio de mercado” sin consentimiento explicito de los pacientes. Los datos incluyen diagnosticos, medicamentos recetados y datos biometricos.

Resultado: Infraccion gravisima por tratar datos sensibles (salud) sin autorizacion y comunicarlos a terceros. Multa potencial: hasta $1.400 millones CLP. Si es una cadena de clinicas con facturacion alta, el 4% de ingresos podria superar ampliamente este monto. La Agencia podria ademas ordenar la suspension del tratamiento de datos — lo que en una clinica significa basicamente dejar de operar.

Escenario 3: PYME que ignora solicitud de eliminacion

Un ex-cliente de una empresa de servicios envia un email pidiendo que eliminen todos sus datos personales (derecho de cancelacion ARCOP). La empresa no tiene un proceso para manejar estas solicitudes, el email se pierde en la bandeja de entrada, y nunca responden. El cliente reclama ante la Agencia.

Resultado: Infraccion leve por no responder en plazo. Multa potencial: hasta $349 millones CLP, aunque para una primera infraccion de una PYME la Agencia probablemente aplique una multa menor o amonestacion. Pero si el patron se repite — multiples clientes sin respuesta, sin proceso ARCOP implementado — la conducta escala a infraccion grave por obstaculizar sistematicamente el ejercicio de derechos.

La moraleja en los tres casos es la misma: no tener procesos claros es lo que genera las multas. No es necesario tener mala intencion; basta con no estar preparado.

Como evitar las multas: la preparacion es todo

La buena noticia es que la ley entra en vigencia en diciembre de 2026. Todavia tienes tiempo para prepararte. La mala noticia es que implementar un programa de cumplimiento serio no se hace en dos semanas. Estas son las acciones concretas que deberias iniciar ahora:

  1. Mapea todos los datos personales que manejas: que recopilas, de quien, para que, donde los almacenas, con quien los compartes. Este es tu Registro de Actividades de Tratamiento (RAT).
  2. Implementa un proceso ARCOP: un canal claro para que las personas ejerzan sus derechos de acceso, rectificacion, cancelacion, oposicion y portabilidad, con plazos de respuesta definidos.
  3. Establece un protocolo de brechas: define quien detecta, quien evalua, quien notifica y en que plazos. Las 72 horas pasan rapido cuando no hay un proceso.
  4. Revisa consentimientos y bases legales: asegurate de que cada dato que tratas tiene una base legal valida. El consentimiento debe ser libre, informado, especifico e inequivoco.
  5. Designa un responsable de proteccion de datos: ya sea un DPO interno o externo, alguien debe supervisar el cumplimiento de forma continua.
  6. Implementa un Modelo de Prevencion de Infracciones (MPI): la ley contempla que las empresas que tengan un MPI certificado puedan obtener reduccion significativa de multas.

La inteligencia artificial puede automatizar gran parte de este proceso. Desde el mapeo automatico de datos hasta la gestion de solicitudes ARCOP y la deteccion proactiva de brechas, las herramientas basadas en IA reducen el tiempo y costo de implementacion de forma dramatica. Lo que antes requeria meses de consultoria manual hoy se puede hacer en semanas.

No esperes a la primera multa

Cada mes que pasa sin prepararte es un mes menos para cumplir antes de diciembre de 2026. Las empresas que empiecen ahora van a tener tiempo para implementar con calma, capacitar a sus equipos y ajustar procesos. Las que esperen al ultimo trimestre van a improvisar — y las multas de la Ley 21.719 no perdonan la improvisacion.

En Cercai ayudamos a empresas chilenas a implementar cumplimiento completo de la Ley 21.719 con ShieldData, nuestra plataforma que automatiza el RAT, la gestion ARCOP, la notificacion de brechas y las evaluaciones de impacto — todo potenciado con inteligencia artificial.

Agenda tu diagnostico gratuito de cumplimiento. En 30 minutos evaluamos el estado actual de tu empresa y te entregamos un plan de accion concreto. Sin compromiso, sin letra chica. Solo claridad sobre lo que necesitas hacer antes de que la ley entre en vigencia.

IA para Abogados

Descubre como la inteligencia artificial transforma estudios juridicos en Chile.

Ver solucion completa
Sigue leyendo

Otros artículos que te pueden interesar

Compliance

Ley 21.719: Lo Que Toda Empresa en Chile Debe Saber Antes de Diciembre 2026

El panorama completo de la ley, sus requisitos y fechas clave.
Abogados

Cómo la IA está Transformando los Estudios Jurídicos en Chile

Cómo la IA ayuda a los estudios a asesorar sobre cumplimiento legal.
Automatización

Automatización de Procesos con IA: Cómo Eliminar Tareas Manuales en tu Empresa

Automatiza el cumplimiento de datos personales y reduce el riesgo operativo.
Selección de proveedor

Agencia de Inteligencia Artificial en Chile: Cómo Elegir y Cuánto Cuesta

Cómo encontrar el proveedor adecuado para implementar cumplimiento con IA.