Calculando días restantes… hasta que la Agencia de Protección de Datos Personales tenga plena facultad de fiscalización sobre tu empresa.

El 1 de diciembre de 2026 no es una fecha simbólica. Es el día en que termina el período de adecuación de la Ley 21.719 y comienza la fiscalización sin atenuantes. Las empresas que lleguen sin un programa de cumplimiento mínimo (RAT, política de privacidad, canal ARCO+P+B y protocolo de brechas) quedan expuestas desde el primer día.

$1.433MM CLP multa máxima por infracción gravísima
4% De ingresos anuales, en caso de reincidencia
72h Plazo para notificar una brecha de datos

Línea de tiempo: de la publicación a la plena vigencia

13 diciembre 2024
Publicación de la Ley 21.719 en el Diario Oficial
Comienza el período de adecuación de 24 meses.
2025
Instalación de la Agencia de Protección de Datos Personales
El organismo fiscalizador se constituye e inicia funcionamiento adelantado, publicando guías e instrucciones.
2026 · Ahora
Último tramo del período de adecuación
Las empresas deben tener su programa de cumplimiento operativo antes de la plena vigencia.
1 diciembre 2026
Plena vigencia y fiscalización activa sin atenuantes
La Agencia puede investigar de oficio, sancionar y ordenar medidas correctivas sobre cualquier empresa.

¿Cuánto arriesgas exactamente?

Tipo de infracción Multa máxima Equivalente CLP aprox. Ejemplos
Leve 5.000 UTM ~$358 MM CLP No publicar política de privacidad, fallos menores de documentación
Grave 10.000 UTM ~$716 MM CLP No notificar una brecha en 72h, no atender solicitudes ARCO+P+B, no tener RAT
Gravísima 20.000 UTM ~$1.433 MM CLP Tratar datos sin consentimiento, ceder datos sin autorización, datos sensibles sin protección

Conversión referencial: 1 UTM ≈ $71.649 CLP a julio 2026. Los montos en CLP varían mes a mes según el valor vigente de la UTM.

Además de la multa base, la reincidencia puede elevar la sanción hasta el 4% de los ingresos anuales por ventas y servicios en Chile, o el triple de la multa original, lo que resulte mayor. La Agencia también puede aplicar sanciones accesorias: suspensión del tratamiento hasta por 30 días, prohibición temporal o definitiva, y publicación de la resolución sancionatoria en un registro público.

Cómo reducir la sanción: el modelo de prevención de infracciones

La Ley 21.719 contempla un modelo de prevención de infracciones (artículos 49 a 53): un programa formal de cumplimiento (con políticas, controles, capacitación y un DPD designado) que la empresa puede acreditar ante la Agencia. No es obligatorio, pero funciona como atenuante: si ocurre una infracción y la empresa puede demostrar que contaba con un modelo de prevención implementado de buena fe, la Agencia puede aplicar una sanción menos drástica, de forma similar a como opera el modelo de prevención de delitos de la Ley 21.595.

La Agencia también administra el Registro Nacional de Sanciones y Cumplimiento, un registro público con doble función: publica las sanciones aplicadas (por 5 años) pero también inscribe a las empresas que adoptaron un modelo de prevención, como incentivo reputacional para quienes se adelantan.

Qué significa esto según tu sector

Clínicas y centros de salud Tratan datos sensibles (fichas médicas, diagnósticos) de forma sistemática, lo que las expone directamente a la categoría de infracción gravísima y hace casi obligatorio el DPO.
E-commerce y retail El riesgo típico es no responder solicitudes ARCOP a tiempo y usar datos de compra para fines distintos a los informados (ej. marketing sin consentimiento específico).
RRHH y empresas de staffing Manejan datos laborales, de salud previsional y antecedentes de grandes volúmenes de personas, con alta probabilidad de brechas si no hay control de acceso por rol.

Checklist: qué debes tener listo antes del 1 de diciembre

1
Registro de Actividades de Tratamiento (RAT) El inventario de qué datos tratas, con qué finalidad y dónde. Cómo construirlo →
2
Política de privacidad publicada Visible en tu sitio web, actualizada y coherente con lo que realmente haces con los datos.
3
Canal formal para derechos ARCO+P+B Un proceso documentado, con plazos de respuesta controlados. Guía completa de derechos ARCOP →
4
Protocolo de respuesta ante brechas Definido, ensayado y con responsables claros para notificar en 72 horas.
5
Evaluación de la necesidad de DPO Determinar si tu empresa está obligada a designarlo. ¿Necesitas un DPO externo? →
El costo de esperar sube, no baja. La experiencia con normativas similares en otros países mostró que las empresas que implementaron a última hora pagaron significativamente más (en horas de consultoría, en presión de plazos y en riesgo de errores) que las que empezaron con tiempo. A meses de la plena vigencia, cada semana que pasa reduce el margen de maniobra.

Preguntas frecuentes

Conclusión: el plazo no se mueve

A diferencia de otros procesos regulatorios, la fecha del 1 de diciembre de 2026 ya está fijada por ley. No depende de reglamentos pendientes ni de prórrogas administrativas. Lo único que puede cambiar es qué tan preparada llega tu empresa ese día.

Diagnóstico gratuito antes de la plena vigencia

Evaluamos en 48 horas qué te falta y en cuánto tiempo puedes cerrarlo con IDATA Chile.