Chile llevaba más de 25 años con la misma ley de protección de datos: la Ley 19.628 de 1999, redactada antes de que existieran las redes sociales, el comercio electrónico o el almacenamiento en la nube. En ese tiempo, la digitalización transformó por completo la forma en que las empresas recopilan, usan y comparten información personal.
La Ley 21.719 llega a modernizar ese marco. No es solo una actualización de texto legal: es un cambio estructural en las obligaciones de toda empresa que trate datos personales en Chile. Y a diferencia de la ley anterior, ahora hay un organismo con poder real de fiscalizar y multar.
¿Qué cambia con la Ley 21.719?
La Ley 21.719 introduce seis cambios fundamentales respecto a la normativa anterior:
1. Agencia de Protección de Datos Personales. Por primera vez, Chile tiene un organismo autónomo dedicado exclusivamente a fiscalizar el cumplimiento normativo en protección de datos. Tiene facultades para investigar, sancionar y dictar normas. No hay evasión posible: es el equivalente chileno al equivalente de la AEPD española o la CNIL francesa.
2. Sanciones económicas reales. La Ley 19.628 solo permitía acciones civiles ante tribunales ordinarios, lo que hacía el proceso lento y costoso para el afectado. La Ley 21.719 establece multas directas de hasta 20.000 UTM (~$1.433 MM CLP) para infracciones gravísimas, aplicables por la Agencia sin necesidad de ir a tribunales civiles, más una multa por reincidencia de hasta el 4% de los ingresos anuales.
3. Nuevos derechos de los titulares. A los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) se suman la portabilidad de datos (el derecho a recibir los propios datos en formato estructurado) y el derecho al olvido (la posibilidad de exigir la eliminación definitiva de información).
4. DPO (Delegado de Protección de Datos). Organizaciones que traten datos sensibles a gran escala o realicen vigilancia sistemática de personas deben designar un DPO, ya sea interno o externo. Para clínicas, centros de salud y empresas de RRHH, esto es prácticamente obligatorio.
5. Evaluaciones de Impacto de Privacidad (DPIA). Para tratamientos de alto riesgo (como el uso masivo de datos médicos, biométricos o el perfilamiento de personas) se requiere realizar una DPIA antes de iniciar el tratamiento.
6. Protocolo de brechas en 72 horas. Si ocurre una filtración o acceso no autorizado a datos personales, tienes 72 horas para notificar a la Agencia y potencialmente a las personas afectadas. No hacerlo es una infracción grave por sí sola.
¿Cuándo rige y qué plazos tiene?
La Ley 21.719 no entró en vigencia de un día para otro. Su implementación es gradual, pero los plazos de adecuación ya vencieron para la mayoría de las organizaciones. Este es el estado actual:
Las 5 obligaciones más importantes
Independientemente del tamaño de tu empresa, estas son las obligaciones que debes tener en orden desde ya:
¿Quiénes tienen mayor riesgo?
No todas las empresas tienen la misma exposición. El riesgo está directamente relacionado con el tipo de datos que tratan y el volumen de personas involucradas.
Los datos médicos, diagnósticos, resultados de exámenes y fichas de pacientes son datos sensibles bajo la Ley 21.719. Esto significa que aplica la categoría máxima de sanciones (20.000 UTM / ~$1.433 MM CLP) y que el DPO es probablemente obligatorio si tratan datos de salud de forma sistemática. Una clínica sin programa de protección de datos es una clínica con riesgo existencial. Ver consultor Ley 21.719 para clínicas →
Otros sectores con alta exposición:
- Empresas de RRHH y staffing: Manejan datos laborales, financieros y de salud previsional de grandes volúmenes de personas. Alto riesgo de incumplimiento.
- E-commerce y retail: Datos de compra, tarjetas de crédito y comportamiento de navegación. El consentimiento y los formularios ARCO son críticos.
- Fintech e inmobiliarias: Historial crediticio, patrimonio y datos financieros. Alta sensibilidad y riesgo reputacional ante filtraciones.
- Educación: Datos de menores de edad. La ley aplica protección reforzada para datos de niños y adolescentes.
- Cualquier PYME con formulario web: Si tienes un formulario de contacto, newsletters o CRM, ya estás tratando datos personales y tienes obligaciones.
El DPO: ¿es obligatorio para tu empresa?
El Delegado de Protección de Datos (DPO, por sus siglas en inglés) es la figura responsable de velar por el cumplimiento normativo dentro de la organización. La Ley 21.719 lo hace obligatorio en estos casos:
- Organismos públicos que traten datos personales.
- Empresas que traten datos sensibles a gran escala (datos de salud, biométricos, religiosos, políticos, financieros detallados).
- Organizaciones que realicen vigilancia sistemática a gran escala de personas (videovigilancia masiva, tracking de comportamiento, etc.).
Las sanciones concretas: ¿cuánto puedes perder?
La Ley 21.719 clasifica las infracciones en tres niveles y establece rangos de multa basados en la UTM (Unidad Tributaria Mensual, ~$71.649 CLP a julio 2026). Además, en caso de reincidencia la empresa arriesga hasta el 4% de sus ingresos anuales por ventas y servicios en Chile o el triple de la multa original, lo que resulte mayor, y la Agencia puede sumar sanciones accesorias como suspensión del tratamiento (hasta 30 días), prohibición temporal o definitiva, y publicación de la resolución sancionatoria:
| Tipo de infracción | Multa máxima | Equivalente CLP aprox. | Ejemplos |
|---|---|---|---|
| Leve | 5.000 UTM | ~$358 MM CLP | No publicar política de privacidad, fallos menores de documentación |
| Grave | 10.000 UTM | ~$716 MM CLP | No notificar una brecha en 72h, no atender solicitudes ARCO, no tener inventario de datos |
| Gravísima | 20.000 UTM | ~$1.433 MM CLP | Tratar datos sin consentimiento, ceder datos sin autorización, datos sensibles sin protección adecuada |
Además de las multas administrativas, el titular afectado puede iniciar acciones civiles independientes por daños y perjuicios. En el caso de datos sensibles (como datos médicos de pacientes) los daños civiles pueden ser considerablemente mayores que la multa misma.
Plan de cumplimiento: 6 pasos para implementar
La implementación de un programa de protección de datos no ocurre de un día para otro, pero tampoco requiere años. Este es el proceso que seguimos en IDATA Chile con nuestros clientes:
Preguntas frecuentes
Conclusión: el tiempo de "prepararse" terminó
La Ley 21.719 no está en consulta pública ni en período de gracia: está vigente y la Agencia de Protección de Datos tiene capacidad operativa para fiscalizar. Cada semana que tu empresa trata datos personales sin un programa formal de cumplimiento es una semana de exposición real.
Lo positivo: implementar un programa de protección de datos con IDATA Chile toma entre 2 y 6 semanas según el tamaño de tu empresa, y cuesta una fracción de la multa mínima que podrías enfrentar. El cálculo es simple.
Las empresas con programa formal de protección de datos ganan licitaciones que exigen acreditación de cumplimiento, generan mayor confianza en sus clientes y reducen el riesgo de incidentes costosos. El cumplimiento normativo no es solo un gasto: es una ventaja competitiva.
Diagnóstico gratuito de protección de datos para tu empresa
Evaluamos tu situación en 48 horas y te entregamos un plan de acción concreto. Sin compromiso.
