Chile llevaba más de 25 años con la misma ley de protección de datos: la Ley 19.628 de 1999, redactada antes de que existieran las redes sociales, el comercio electrónico o el almacenamiento en la nube. En ese tiempo, la digitalización transformó por completo la forma en que las empresas recopilan, usan y comparten información personal.

La Ley 21.719 llega a modernizar ese marco. No es solo una actualización de texto legal: es un cambio estructural en las obligaciones de toda empresa que trate datos personales en Chile. Y a diferencia de la ley anterior, ahora hay un organismo con poder real de fiscalizar y multar.

¿Ya estás en riesgo? Si tu empresa tiene un formulario de contacto web, una base de datos de clientes, fichas de empleados o gestiona datos médicos de pacientes, tienes obligaciones activas bajo la Ley 21.719 desde ya. No esperar no es una opción.
$1.433MM CLP multa máxima por infracción gravísima
72h Para notificar una brecha de datos al regulador
DPO Obligatorio para datos sensibles a gran escala
30d Plazo hábil para responder derechos ARCO+

¿Qué cambia con la Ley 21.719?

La Ley 21.719 introduce seis cambios fundamentales respecto a la normativa anterior:

1. Agencia de Protección de Datos Personales. Por primera vez, Chile tiene un organismo autónomo dedicado exclusivamente a fiscalizar el cumplimiento normativo en protección de datos. Tiene facultades para investigar, sancionar y dictar normas. No hay evasión posible: es el equivalente chileno al equivalente de la AEPD española o la CNIL francesa.

2. Sanciones económicas reales. La Ley 19.628 solo permitía acciones civiles ante tribunales ordinarios, lo que hacía el proceso lento y costoso para el afectado. La Ley 21.719 establece multas directas de hasta 20.000 UTM (~$1.433 MM CLP) para infracciones gravísimas, aplicables por la Agencia sin necesidad de ir a tribunales civiles, más una multa por reincidencia de hasta el 4% de los ingresos anuales.

3. Nuevos derechos de los titulares. A los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) se suman la portabilidad de datos (el derecho a recibir los propios datos en formato estructurado) y el derecho al olvido (la posibilidad de exigir la eliminación definitiva de información).

4. DPO (Delegado de Protección de Datos). Organizaciones que traten datos sensibles a gran escala o realicen vigilancia sistemática de personas deben designar un DPO, ya sea interno o externo. Para clínicas, centros de salud y empresas de RRHH, esto es prácticamente obligatorio.

5. Evaluaciones de Impacto de Privacidad (DPIA). Para tratamientos de alto riesgo (como el uso masivo de datos médicos, biométricos o el perfilamiento de personas) se requiere realizar una DPIA antes de iniciar el tratamiento.

6. Protocolo de brechas en 72 horas. Si ocurre una filtración o acceso no autorizado a datos personales, tienes 72 horas para notificar a la Agencia y potencialmente a las personas afectadas. No hacerlo es una infracción grave por sí sola.

¿Cuándo rige y qué plazos tiene?

La Ley 21.719 no entró en vigencia de un día para otro. Su implementación es gradual, pero los plazos de adecuación ya vencieron para la mayoría de las organizaciones. Este es el estado actual:

Diciembre 2024
Promulgación y publicación de la Ley 21.719
La ley es publicada en el Diario Oficial. Comienza el período de adecuación.
2025
Instalación de la Agencia de Protección de Datos
El organismo fiscalizador se constituye e inicia operaciones. Se publican primeras instrucciones y guías de cumplimiento.
2026 · Ahora
Fiscalización activa y sanciones aplicables
La Agencia tiene plenas facultades de investigación y sanción. Las empresas que no cumplan están expuestas a multas desde ya.
No esperes a ser investigado. La experiencia con el GDPR en Europa mostró que las empresas que implementaron a último momento pagaron costos 3 a 4 veces mayores que quienes lo hicieron con tiempo. Las primeras fiscalizaciones en Chile priorizarán los sectores de mayor riesgo: salud, finanzas y empresas con grandes bases de datos.

Las 5 obligaciones más importantes

Independientemente del tamaño de tu empresa, estas son las obligaciones que debes tener en orden desde ya:

1
Registro de actividades de tratamiento (ROPA) Documenta qué datos personales trata tu empresa, con qué finalidad, dónde se almacenan, cuánto tiempo se conservan y quién tiene acceso. Es el inventario base de cumplimiento.
2
Consentimiento válido e informado El consentimiento debe ser explícito, específico para cada finalidad e informado. Los clásicos "acepto los términos y condiciones" no son suficientes. Debes rediseñar tus formularios web y físicos.
3
Política de privacidad publicada y actualizada Debe estar visible en tu sitio web, describir exactamente qué datos recopilas, cómo los usas, cuánto tiempo los conservas y cómo los titulares pueden ejercer sus derechos.
4
Canal formal para derechos ARCO+ Debes implementar un proceso documentado para atender solicitudes de acceso, rectificación, cancelación, oposición, portabilidad, derecho al olvido y bloqueo temporal. Plazo de respuesta: 30 días corridos, prorrogables por otros 30 (2 días hábiles si se solicita bloqueo temporal).
5
Protocolo de respuesta ante brechas (72 horas) Ante cualquier incidente de seguridad que afecte datos personales, debes tener un protocolo activado: contención, evaluación de impacto, notificación a la Agencia y posiblemente a los afectados, todo dentro de 72 horas.

¿Quiénes tienen mayor riesgo?

No todas las empresas tienen la misma exposición. El riesgo está directamente relacionado con el tipo de datos que tratan y el volumen de personas involucradas.

Clínicas y Centros de Salud · Máximo riesgo

Los datos médicos, diagnósticos, resultados de exámenes y fichas de pacientes son datos sensibles bajo la Ley 21.719. Esto significa que aplica la categoría máxima de sanciones (20.000 UTM / ~$1.433 MM CLP) y que el DPO es probablemente obligatorio si tratan datos de salud de forma sistemática. Una clínica sin programa de protección de datos es una clínica con riesgo existencial. Ver consultor Ley 21.719 para clínicas →

Otros sectores con alta exposición:

  • Empresas de RRHH y staffing: Manejan datos laborales, financieros y de salud previsional de grandes volúmenes de personas. Alto riesgo de incumplimiento.
  • E-commerce y retail: Datos de compra, tarjetas de crédito y comportamiento de navegación. El consentimiento y los formularios ARCO son críticos.
  • Fintech e inmobiliarias: Historial crediticio, patrimonio y datos financieros. Alta sensibilidad y riesgo reputacional ante filtraciones.
  • Educación: Datos de menores de edad. La ley aplica protección reforzada para datos de niños y adolescentes.
  • Cualquier PYME con formulario web: Si tienes un formulario de contacto, newsletters o CRM, ya estás tratando datos personales y tienes obligaciones.

El DPO: ¿es obligatorio para tu empresa?

El Delegado de Protección de Datos (DPO, por sus siglas en inglés) es la figura responsable de velar por el cumplimiento normativo dentro de la organización. La Ley 21.719 lo hace obligatorio en estos casos:

  • Organismos públicos que traten datos personales.
  • Empresas que traten datos sensibles a gran escala (datos de salud, biométricos, religiosos, políticos, financieros detallados).
  • Organizaciones que realicen vigilancia sistemática a gran escala de personas (videovigilancia masiva, tracking de comportamiento, etc.).
¿No estás en esos casos pero igual te conviene? Sí. Para cualquier PYME que maneje datos de clientes, empleados o proveedores, contar con un DPO externo es la forma más eficiente de minimizar el riesgo de incumplimiento. El DPO externo actúa como punto de contacto con la Agencia, gestiona las solicitudes ARCO y asesora en casos de incidentes, sin el costo de un empleado a tiempo completo.

Las sanciones concretas: ¿cuánto puedes perder?

La Ley 21.719 clasifica las infracciones en tres niveles y establece rangos de multa basados en la UTM (Unidad Tributaria Mensual, ~$71.649 CLP a julio 2026). Además, en caso de reincidencia la empresa arriesga hasta el 4% de sus ingresos anuales por ventas y servicios en Chile o el triple de la multa original, lo que resulte mayor, y la Agencia puede sumar sanciones accesorias como suspensión del tratamiento (hasta 30 días), prohibición temporal o definitiva, y publicación de la resolución sancionatoria:

Tipo de infracción Multa máxima Equivalente CLP aprox. Ejemplos
Leve 5.000 UTM ~$358 MM CLP No publicar política de privacidad, fallos menores de documentación
Grave 10.000 UTM ~$716 MM CLP No notificar una brecha en 72h, no atender solicitudes ARCO, no tener inventario de datos
Gravísima 20.000 UTM ~$1.433 MM CLP Tratar datos sin consentimiento, ceder datos sin autorización, datos sensibles sin protección adecuada

Además de las multas administrativas, el titular afectado puede iniciar acciones civiles independientes por daños y perjuicios. En el caso de datos sensibles (como datos médicos de pacientes) los daños civiles pueden ser considerablemente mayores que la multa misma.

El daño reputacional supera la multa. Una empresa que sufre una filtración masiva de datos de clientes o pacientes no solo paga la multa: pierde la confianza de su base de clientes, enfrenta cobertura mediática negativa y puede perder contratos corporativos que exigen acreditación de cumplimiento normativo.

Plan de cumplimiento: 6 pasos para implementar

La implementación de un programa de protección de datos no ocurre de un día para otro, pero tampoco requiere años. Este es el proceso que seguimos en IDATA Chile con nuestros clientes:

1
Diagnóstico de cumplimiento Evaluamos el estado actual de la empresa: qué datos se tratan, cómo, dónde se almacenan y cuáles son los riesgos principales. Entregable: informe ejecutivo y matriz de riesgos. Duración: 1–2 semanas.
2
Inventario de datos personales Levantamos un registro detallado de todos los datos personales: clientes, empleados, proveedores. Incluye mapa de flujos de datos y clasificación de sensibilidad. Duración: 1–2 semanas.
3
Políticas y documentación legal Redactamos la política de protección de datos, política de privacidad web, procedimiento ARCO, protocolo de brechas y cláusulas para contratos con clientes y proveedores.
4
Adecuación de formularios y sitio web Implementamos los mecanismos de consentimiento en formularios digitales y físicos, publicamos la política de privacidad y adaptamos los flujos de contacto al estándar legal.
5
Capacitación al equipo Sesiones diferenciadas por rol: dirección, administración y TI. Todos los colaboradores deben conocer qué pueden y no pueden hacer con datos personales en su función diaria.
6
Designación del responsable (DPO) Definimos la figura interna o externa responsable del cumplimiento continuo. Para quienes lo requieren, IDATA Chile actúa como DPO externo en modalidad mensual.

Preguntas frecuentes

Conclusión: el tiempo de "prepararse" terminó

La Ley 21.719 no está en consulta pública ni en período de gracia: está vigente y la Agencia de Protección de Datos tiene capacidad operativa para fiscalizar. Cada semana que tu empresa trata datos personales sin un programa formal de cumplimiento es una semana de exposición real.

Lo positivo: implementar un programa de protección de datos con IDATA Chile toma entre 2 y 6 semanas según el tamaño de tu empresa, y cuesta una fracción de la multa mínima que podrías enfrentar. El cálculo es simple.

Empresas que ya cumplieron: las ventajas competitivas son reales

Las empresas con programa formal de protección de datos ganan licitaciones que exigen acreditación de cumplimiento, generan mayor confianza en sus clientes y reducen el riesgo de incidentes costosos. El cumplimiento normativo no es solo un gasto: es una ventaja competitiva.

Diagnóstico gratuito de protección de datos para tu empresa

Evaluamos tu situación en 48 horas y te entregamos un plan de acción concreto. Sin compromiso.