La Ley 21.719 de Protección de Datos Personales fue publicada el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026. A partir de esa fecha, toda empresa que trate datos personales en Chile —sin importar tamaño ni rubro— deberá cumplir 11 obligaciones concretas, bajo sanciones de hasta UF 20.000. Este artículo resume cada una en lenguaje ejecutable.
Contexto: por qué la Ley 21.719 cambia las reglas del juego
Desde 1999, Chile reguló la protección de datos personales con la Ley 19.628 sobre Protección de la Vida Privada. Esa ley quedó obsoleta hace más de una década: no contemplaba internet, redes sociales, cloud computing ni transferencias internacionales masivas. Las multas eran simbólicas y no existía una autoridad fiscalizadora.
La Ley 21.719 corrige todo eso. Crea la Agencia de Protección de Datos Personales con potestad sancionadora real, eleva las multas hasta UF 20.000 y obliga a las empresas a documentar, justificar y demostrar el cumplimiento de un conjunto de principios y deberes. Es, en la práctica, el GDPR chileno: alineado en estructura, conceptos y exigencias con el reglamento europeo.
Hasta ahora bastaba con tener una política de privacidad genérica en el sitio web. Desde diciembre de 2026, tendrás que demostrar con evidencia que cumples cada principio, mantienes un registro actualizado de tratamientos, gestionas derechos en plazos definidos y notificas brechas a la autoridad. No alcanza con buenas intenciones.
Las 11 obligaciones clave de la Ley 21.719
1. Establecer una base de licitud para cada tratamiento
La Ley 21.719 prohíbe tratar datos personales sin una fuente de licitud explícitamente reconocida. Las principales son:
- Consentimiento libre, informado, específico e inequívoco del titular.
- Ejecución de un contrato en el que el titular es parte.
- Cumplimiento de una obligación legal (por ejemplo, retención tributaria).
- Interés legítimo del responsable, siempre que no prevalezcan los derechos del titular.
- Protección de intereses vitales del titular o de otra persona.
- Cumplimiento de una misión de interés público (sector público).
Para cada tratamiento de tu organización —desde el CV de un postulante hasta el correo de un cliente en tu CRM— deberás identificar y documentar cuál de estas bases lo justifica. Si no la encuentras, el tratamiento es ilícito.
2. Cumplir los principios rectores
La ley establece principios que deben respetarse en todo tratamiento. Los más relevantes en la práctica son:
- Licitud, lealtad y transparencia: el titular debe saber qué se hace con sus datos.
- Finalidad: los datos solo pueden usarse para los fines informados al recolectarlos.
- Proporcionalidad y minimización: recolectar solo lo estrictamente necesario.
- Calidad: los datos deben ser exactos y estar actualizados.
- Seguridad: proteger los datos mediante medidas técnicas y organizativas adecuadas.
- Responsabilidad (accountability): el responsable debe poder demostrar el cumplimiento.
- Confidencialidad: los datos solo pueden ser conocidos por personas autorizadas.
"Demostrar el cumplimiento" es el punto neurálgico: la Agencia podrá pedir evidencia y la carga de la prueba está sobre la empresa.
3. Llevar un Registro de Actividades de Tratamiento (RAT)
El RAT es el documento central de la nueva ley. Es un inventario obligatorio donde, por cada operación de tratamiento, debes registrar:
- Identificación del responsable (y, si aplica, del encargado y del DPD).
- Finalidad del tratamiento.
- Base de licitud aplicable.
- Categorías de titulares y de datos.
- Destinatarios de los datos (incluyendo encargados).
- Transferencias internacionales y garantías aplicadas.
- Plazos de conservación y políticas de supresión.
- Descripción de las medidas técnicas y organizativas de seguridad.
El RAT debe estar permanentemente actualizado y disponible para la Agencia de Protección de Datos Personales cuando lo requiera. Excel funciona para empresas pequeñas; a partir de cierta complejidad se vuelve insostenible.
4. Designar un Delegado de Protección de Datos (DPD)
El DPD es la figura encargada de supervisar el cumplimiento dentro de la organización. La Ley 21.719 lo exige obligatoriamente cuando:
- Se trate de un órgano u organismo público.
- Las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran observación habitual y sistemática de titulares a gran escala.
- Las actividades principales consistan en el tratamiento a gran escala de datos sensibles o de datos relativos a infracciones y condenas.
El DPD puede ser interno o externo (figura del DPD virtual), siempre que tenga conocimientos especializados, independencia y recursos suficientes. Sus funciones incluyen asesorar, supervisar, actuar como punto de contacto con la Agencia y con los titulares, y cooperar con la autoridad.
5. Gestionar las solicitudes de derechos ARCOP+
Los titulares tienen el derecho a ejercer un conjunto de prerrogativas, conocido como ARCOP+:
| Derecho | Qué permite al titular |
|---|---|
| Acceso | Saber qué datos suyos están siendo tratados y con qué finalidad. |
| Rectificación | Corregir datos inexactos o incompletos. |
| Cancelación / Supresión | Eliminar los datos cuando ya no son necesarios o el consentimiento se retira. |
| Oposición | Oponerse a tratamientos basados en interés legítimo o marketing directo. |
| Portabilidad | Recibir los datos en formato estructurado y transferirlos a otro responsable. |
| Bloqueo | Suspender temporalmente el tratamiento mientras se resuelve una controversia. |
| No sometimiento a decisiones automatizadas | Que decisiones con efectos significativos no se basen únicamente en algoritmos. |
La empresa debe tener un canal claro para recibir estas solicitudes, responder en plazo (la ley fija plazos específicos en su reglamento) y dejar trazabilidad documental de cada respuesta.
6. Notificar brechas de seguridad a la Agencia
Una brecha de datos personales —acceso no autorizado, fuga, pérdida, alteración o destrucción— debe notificarse a la Agencia de Protección de Datos Personales tan pronto como sea posible una vez que el responsable haya tomado conocimiento. Si la brecha implica un alto riesgo para los titulares, también deben notificarse directamente a los afectados.
La notificación debe incluir naturaleza de la brecha, categorías y volumen aproximado de titulares afectados, consecuencias probables, medidas adoptadas y datos de contacto del DPD. Mantener un registro interno de brechas es obligatorio aunque no lleguen a notificarse.
Aunque el plazo exacto será fijado por el reglamento, la práctica internacional comparada (GDPR europeo) marca 72 horas como ventana de notificación. Empresas chilenas que ya hayan adoptado ese estándar tendrán una transición más simple.
7. Realizar Evaluaciones de Impacto (EIPD) en tratamientos de alto riesgo
Antes de iniciar un tratamiento que probablemente implique un alto riesgo para los derechos del titular, la empresa debe realizar una Evaluación de Impacto en la Protección de Datos (EIPD, equivalente al DPIA del GDPR). Los casos típicos son:
- Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado (scoring crediticio, perfiles de comportamiento, decisiones automatizadas con efectos legales).
- Tratamiento a gran escala de datos sensibles (salud, biométricos, orientación sexual, opiniones políticas, datos de menores).
- Observación sistemática de zonas de acceso público a gran escala (videovigilancia).
- Uso de tecnologías nuevas que puedan generar riesgos.
La EIPD debe documentar el tratamiento, evaluar la necesidad y proporcionalidad, identificar los riesgos y describir las medidas para mitigarlos. Si tras la EIPD persiste un riesgo alto, debe consultarse a la Agencia antes de iniciar el tratamiento.
8. Implementar Medidas de Seguridad (técnicas y organizativas) apropiadas
La ley exige implementar medidas que aseguren un nivel de seguridad adecuado al riesgo, incluyendo —según corresponda—:
- Seudonimización y cifrado de datos personales.
- Capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios.
- Capacidad de restaurar la disponibilidad y el acceso a los datos en caso de incidente físico o técnico (continuidad y respaldo).
- Procesos para verificar, evaluar y valorar regularmente la eficacia de las medidas.
- Control de accesos basado en roles y necesidad de conocer.
- Registro y monitoreo de actividades sobre datos personales.
Una empresa que ya cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001 tiene buena parte de este punto resuelto: el Anexo A de la norma 2022 cubre prácticamente la totalidad de medidas técnicas y organizativas exigibles.
9. Regular contractualmente al Encargado del tratamiento
Cuando contratas un proveedor que trata datos personales por tu cuenta —SaaS de email marketing, CRM, cloud, payroll, antivirus, analytics— ese proveedor es un Encargado del tratamiento. La Ley 21.719 exige que la relación esté regida por un contrato (o instrumento jurídico equivalente) que estipule, como mínimo:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- Tipo de datos personales y categorías de titulares.
- Obligaciones y derechos del responsable.
- Que el encargado actúe solo siguiendo instrucciones documentadas del responsable.
- Garantía de confidencialidad del personal del encargado.
- Medidas de seguridad implementadas.
- Condiciones para la subcontratación (sub-encargados).
- Asistencia para responder solicitudes de derechos y notificar brechas.
- Devolución o supresión de los datos al término del contrato.
En la práctica, esto significa revisar y actualizar los contratos con todos tus proveedores que accedan a datos personales de clientes, empleados o postulantes.
10. Cumplir las reglas de transferencias internacionales
Si tus datos viajan fuera de Chile —servidores en AWS us-east-1, herramientas SaaS con sede en EE.UU. o Europa, integraciones con casa matriz— estás haciendo una transferencia internacional. La Ley 21.719 permite estas transferencias solo si:
- El país de destino ofrece un nivel adecuado de protección reconocido por la Agencia, o
- Se aplican garantías apropiadas (cláusulas contractuales tipo, normas corporativas vinculantes, certificaciones), o
- Se obtuvo el consentimiento explícito del titular informado del riesgo, o
- Aplica una excepción específica (cumplimiento de contrato, interés público, etc.).
Esto exige mapear todos los flujos transfronterizos de datos en tu RAT y formalizar las garantías aplicables, típicamente con cláusulas contractuales en contratos con proveedores extranjeros.
11. Estar preparado para fiscalización y sanciones
La Agencia de Protección de Datos Personales tendrá facultades amplias: fiscalizar, requerir información, ordenar medidas correctivas y aplicar sanciones. La estructura sancionatoria es la siguiente:
| Tipo de infracción | Multa máxima | Ejemplos típicos |
|---|---|---|
| Leve | Hasta UF 5.000 | No mantener el RAT, no atender una solicitud ARCOP+ en plazo, defectos formales. |
| Grave | Hasta UF 10.000 | Tratar datos sin base de licitud, no notificar brechas, incumplir las obligaciones como encargado. |
| Gravísima | Hasta UF 20.000 | Tratamiento ilícito de datos sensibles, obstaculizar a la Agencia, reincidencia grave, transferencias internacionales prohibidas. |
Las multas se gradúan considerando la naturaleza y gravedad de la infracción, el carácter intencional o culposo, el grado de cooperación, las medidas adoptadas para mitigar daños, antecedentes previos y la facturación del infractor. Una empresa puede ser sancionada incluso si no causó un daño concreto a titulares: la infracción formal basta.
Tabla comparativa: Ley 21.719 vs GDPR vs Ley 19.628
| Aspecto | Ley 19.628 (1999) | Ley 21.719 (2024) | GDPR (UE) |
|---|---|---|---|
| Autoridad fiscalizadora | No existe | Agencia de Protección de Datos Personales | Autoridad de control nacional |
| RAT obligatorio | No | Sí | Sí |
| DPD obligatorio | No | Sí, en casos específicos | Sí, en casos específicos |
| Notificación de brechas | No | Sí, a la Agencia y, si aplica, a titulares | Sí, en 72 h a la autoridad |
| EIPD / DPIA | No | Sí, en tratamientos de alto riesgo | Sí, en tratamientos de alto riesgo |
| Multa máxima | ~CLP 10 UTM | UF 20.000 (~CLP 760 M) | 4% facturación global o €20 M |
| Portabilidad | No | Sí | Sí |
Calendario hasta diciembre 2026: qué hacer cada trimestre
Si tu empresa todavía no ha empezado, el siguiente calendario es el mínimo razonable:
| Trimestre | Hitos |
|---|---|
| Q2 2026 | Diagnóstico inicial, mapeo de flujos de datos, designación preliminar del DPD, presupuesto. |
| Q3 2026 | Construcción del RAT, identificación de bases de licitud, revisión de contratos con encargados, política de privacidad nueva. |
| Q4 2026 (inicio) | EIPD para tratamientos de alto riesgo, capacitación interna, procedimientos de derechos ARCOP+ y brechas, medidas técnicas y organizativas. |
| Dic 2026 | Entrada en vigor. Auditoría interna previa, cierre de pendientes, comunicación a clientes y proveedores. |
Empezar antes es siempre mejor. Las empresas que llegan a diciembre de 2026 sin un RAT funcional quedan expuestas a sanciones desde el primer día.
Conclusión: del cumplimiento formal al cumplimiento demostrable
La Ley 21.719 marca el fin del cumplimiento simbólico en Chile. No basta con tener una política de privacidad colgada en el footer del sitio web. La autoridad podrá fiscalizar, exigir evidencia y sancionar formalmente. La buena noticia es que las 11 obligaciones se pueden cumplir con un proyecto estructurado de 6 a 12 meses, especialmente si la empresa ya tiene madurez en seguridad de la información (por ejemplo, ISO 27001 implementado o en proceso).
La pregunta no es si tu empresa tiene que adaptarse, sino cuándo empieza. Y el cuándo correcto, hoy, es ya.
¿Necesitas ayuda para empezar?
En Confiden360 acompañamos a empresas chilenas en todo el proceso de adaptación a la Ley 21.719: desde el diagnóstico inicial hasta el cumplimiento operativo. El primer diagnóstico es gratuito.
Agendar diagnóstico gratuito → Ver servicio de implementación →Preguntas frecuentes
¿Cuándo entra en vigor la Ley 21.719?
La Ley 21.719 entra en plena vigencia 24 meses después de su publicación en el Diario Oficial (diciembre 2024), es decir, en diciembre de 2026. Las empresas tienen ese plazo para adaptarse.
¿La Ley 21.719 aplica a pequeñas empresas y startups?
Sí. La ley aplica a toda persona natural o jurídica que trate datos personales en territorio chileno, sin importar el tamaño. No hay umbral de facturación, empleados o volumen de datos para quedar excluido.
¿Cuál es la multa máxima por incumplir la Ley 21.719?
Las infracciones gravísimas pueden multarse con hasta UF 20.000 (aproximadamente CLP 760 millones a mayo 2026). Las graves llegan a UF 10.000 y las leves a UF 5.000. Se considera la facturación anual del infractor.
¿Qué es el RAT (Registro de Actividades de Tratamiento)?
Es un inventario obligatorio de todas las operaciones de tratamiento de datos personales que realiza una organización, incluyendo finalidad, base de licitud, categorías de datos, destinatarios, transferencias internacionales y plazo de conservación.
¿Cuándo es obligatorio designar un DPD?
La Ley 21.719 exige DPD a organismos públicos y a empresas privadas cuando sus actividades principales requieran observación sistemática y a gran escala de titulares, o cuando traten datos sensibles a gran escala.
¿En cuánto tiempo se debe notificar una brecha de datos?
La Ley 21.719 establece la obligación de notificar a la Agencia tan pronto como sea posible una vez tomado conocimiento. El reglamento fijará los plazos exactos; la práctica internacional comparada (GDPR) marca 72 horas como referencia.
¿Qué son los derechos ARCOP+?
Son los derechos que la Ley 21.719 otorga al titular de datos: Acceso, Rectificación, Cancelación (supresión), Oposición y Portabilidad. El "+" incluye también el bloqueo y el derecho a no ser objeto de decisiones automatizadas.
¿Qué empresas necesitan hacer una EIPD?
Toda empresa que realice tratamientos de alto riesgo: uso de tecnologías nuevas, evaluación sistemática de aspectos personales (scoring, perfiles), tratamiento masivo de datos sensibles, o videovigilancia a gran escala.
¿La Ley 21.719 reemplaza a la Ley 19.628?
Sí. La Ley 21.719 modifica y reemplaza el régimen general de la Ley 19.628 sobre Protección de la Vida Privada, alineando a Chile con estándares internacionales como el GDPR europeo.
¿Puedo empezar a prepararme antes de que la ley entre en vigor?
Sí, y es altamente recomendable. Empresas que esperan a diciembre 2026 enfrentan riesgo de incumplimiento desde el día uno. Lo correcto es iniciar el diagnóstico, el RAT y la designación del DPD durante 2026.