Datos Personales 6 min de lectura 11 julio 2026 Cuenta regresiva
Multas Ley 21.719: Qué Pasa si no Cumples Antes del 1 de Diciembre de 2026
Quedan pocos meses para que la Ley 21.719 entre en plena vigencia. Desde el 1 de diciembre de 2026, la Agencia de Protección de Datos Personales tiene plenas facultades para fiscalizar y sancionar. Este es el checklist real de lo que debes tener listo, y cuánto puedes perder si no lo tienes.
Calculando días restantes… hasta que la Agencia de Protección de Datos Personales tenga plena facultad de fiscalización sobre tu empresa.
El 1 de diciembre de 2026 no es una fecha simbólica. Es el día en que termina el período de adecuación de la Ley 21.719 y comienza la fiscalización sin atenuantes. Las empresas que lleguen sin un programa de cumplimiento mínimo (RAT, política de privacidad, canal ARCO+P+B y protocolo de brechas) quedan expuestas desde el primer día.
$1.433MMCLP multa máxima por infracción gravísima
4%De ingresos anuales, en caso de reincidencia
72hPlazo para notificar una brecha de datos
Línea de tiempo: de la publicación a la plena vigencia
13 diciembre 2024
Publicación de la Ley 21.719 en el Diario Oficial
Comienza el período de adecuación de 24 meses.
2025
Instalación de la Agencia de Protección de Datos Personales
El organismo fiscalizador se constituye e inicia funcionamiento adelantado, publicando guías e instrucciones.
2026 · Ahora
Último tramo del período de adecuación
Las empresas deben tener su programa de cumplimiento operativo antes de la plena vigencia.
1 diciembre 2026
Plena vigencia y fiscalización activa sin atenuantes
La Agencia puede investigar de oficio, sancionar y ordenar medidas correctivas sobre cualquier empresa.
¿Cuánto arriesgas exactamente?
Tipo de infracción
Multa máxima
Equivalente CLP aprox.
Ejemplos
Leve
5.000 UTM
~$358 MM CLP
No publicar política de privacidad, fallos menores de documentación
Grave
10.000 UTM
~$716 MM CLP
No notificar una brecha en 72h, no atender solicitudes ARCO+P+B, no tener RAT
Gravísima
20.000 UTM
~$1.433 MM CLP
Tratar datos sin consentimiento, ceder datos sin autorización, datos sensibles sin protección
Conversión referencial: 1 UTM ≈ $71.649 CLP a julio 2026. Los montos en CLP varían mes a mes según el valor vigente de la UTM.
Además de la multa base, la reincidencia puede elevar la sanción hasta el 4% de los ingresos anuales por ventas y servicios en Chile, o el triple de la multa original, lo que resulte mayor. La Agencia también puede aplicar sanciones accesorias: suspensión del tratamiento hasta por 30 días, prohibición temporal o definitiva, y publicación de la resolución sancionatoria en un registro público.
Cómo reducir la sanción: el modelo de prevención de infracciones
La Ley 21.719 contempla un modelo de prevención de infracciones (artículos 49 a 53): un programa formal de cumplimiento (con políticas, controles, capacitación y un DPD designado) que la empresa puede acreditar ante la Agencia. No es obligatorio, pero funciona como atenuante: si ocurre una infracción y la empresa puede demostrar que contaba con un modelo de prevención implementado de buena fe, la Agencia puede aplicar una sanción menos drástica, de forma similar a como opera el modelo de prevención de delitos de la Ley 21.595.
La Agencia también administra el Registro Nacional de Sanciones y Cumplimiento, un registro público con doble función: publica las sanciones aplicadas (por 5 años) pero también inscribe a las empresas que adoptaron un modelo de prevención, como incentivo reputacional para quienes se adelantan.
Qué significa esto según tu sector
Clínicas y centros de saludTratan datos sensibles (fichas médicas, diagnósticos) de forma sistemática, lo que las expone directamente a la categoría de infracción gravísima y hace casi obligatorio el DPO.
E-commerce y retailEl riesgo típico es no responder solicitudes ARCOP a tiempo y usar datos de compra para fines distintos a los informados (ej. marketing sin consentimiento específico).
RRHH y empresas de staffingManejan datos laborales, de salud previsional y antecedentes de grandes volúmenes de personas, con alta probabilidad de brechas si no hay control de acceso por rol.
Checklist: qué debes tener listo antes del 1 de diciembre
1
Registro de Actividades de Tratamiento (RAT)El inventario de qué datos tratas, con qué finalidad y dónde. Cómo construirlo →
2
Política de privacidad publicadaVisible en tu sitio web, actualizada y coherente con lo que realmente haces con los datos.
Protocolo de respuesta ante brechasDefinido, ensayado y con responsables claros para notificar en 72 horas.
5
Evaluación de la necesidad de DPODeterminar si tu empresa está obligada a designarlo. ¿Necesitas un DPO externo? →
El costo de esperar sube, no baja. La experiencia con normativas similares en otros países mostró que las empresas que implementaron a última hora pagaron significativamente más (en horas de consultoría, en presión de plazos y en riesgo de errores) que las que empezaron con tiempo. A meses de la plena vigencia, cada semana que pasa reduce el margen de maniobra.
Preguntas frecuentes
La Ley 21.719 fue publicada el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026, momento desde el cual la Agencia de Protección de Datos Personales tiene plenas facultades de fiscalización y sanción sobre todas las empresas que traten datos personales en Chile.
La multa máxima es de 20.000 UTM (aproximadamente $1.433 millones CLP a julio 2026) para infracciones gravísimas. En caso de reincidencia, la empresa puede arriesgar hasta el 4% de sus ingresos anuales por ventas y servicios en Chile, o el triple de la multa original, lo que resulte mayor.
Como mínimo: Registro de Actividades de Tratamiento (RAT), política de privacidad publicada, canal formal para responder solicitudes ARCO+P+B, protocolo de respuesta a brechas en 72 horas, y evaluación de si tu empresa requiere designar un DPO.
La Agencia de Protección de Datos Personales ya está operativa y puede investigar y aplicar algunas facultades desde antes de la plena vigencia, aunque su capacidad sancionatoria completa se activa el 1 de diciembre de 2026. La Ley 19.628, vigente mientras tanto, también contempla acciones civiles por incumplimiento. En la práctica, cuanto antes se implemente un programa de cumplimiento, menor es la ventana de exposición.
Aplica a cualquier empresa que trate datos personales, sin importar su tamaño. Una PYME con un formulario de contacto, un CRM o una base de clientes ya está tratando datos personales y tiene obligaciones. Lo que sí varía según el tamaño y el riesgo es la exigencia de designar un DPO, que es obligatoria solo para quienes tratan datos sensibles a gran escala.
Conclusión: el plazo no se mueve
A diferencia de otros procesos regulatorios, la fecha del 1 de diciembre de 2026 ya está fijada por ley. No depende de reglamentos pendientes ni de prórrogas administrativas. Lo único que puede cambiar es qué tan preparada llega tu empresa ese día.
Diagnóstico gratuito antes de la plena vigencia
Evaluamos en 48 horas qué te falta y en cuánto tiempo puedes cerrarlo con IDATA Chile.