La Ley de Datos Personales en Chile (Ley 21.719) cambia las reglas del juego para todas las organizaciones que tratan datos de personas naturales. Esta guía explica qué cambia respecto a la antigua Ley 19.628, a quién aplica, los plazos hasta diciembre 2026, las sanciones de hasta 20.000 UTM y cuándo contratar consultoría de implementación.
El salto regulatorio es enorme · de declarativa a operativa · empresas tienen hasta diciembre 2026 para adecuarse
¿Qué es la Ley de Datos Personales en Chile?
La Ley de Datos Personales en Chile actualmente vigente es la Ley 21.719, publicada en diciembre de 2024 y con vigencia plena desde diciembre de 2026. Esta ley reemplaza a la antigua Ley 19.628 (vigente desde 1999) y eleva el estándar chileno al nivel del Reglamento General de Protección de Datos (GDPR) europeo.
La Ley de Datos Personales regula cómo las organizaciones públicas y privadas:
- Recopilan datos de personas naturales (empleados, clientes, usuarios, proveedores).
- Tratan esos datos (almacenamiento, análisis, segmentación, automatización).
- Transfieren datos a terceros (proveedores, partners, países).
- Eliminan datos al finalizar su tratamiento legítimo.
Además crea la Agencia de Protección de Datos Personales, organismo público con facultades de fiscalización, multas y resolución de reclamos.
De la Ley 19.628 a la Ley 21.719: qué cambia
El salto es enorme. La Ley 19.628 era esencialmente declarativa: prohibía cosas pero tenía poca fiscalización. La Ley 21.719 es operativa: exige procesos, evidencias y responsables formales.
| Aspecto | Ley 19.628 (anterior) | Ley 21.719 (vigente) |
|---|---|---|
| Agencia fiscalizadora | No existía | Agencia de Protección de Datos Personales |
| Multas máximas | Bajas, poco aplicadas | Hasta 20.000 UTM (≈ CLP 1.300M) |
| Bases de licitud | Consentimiento amplio | 6 bases tasadas (consentimiento, contrato, ley, interés vital, interés legítimo, función pública) |
| Derechos de los titulares | Acceso, rectificación, cancelación | ARCO+ ampliados (acceso, rectificación, cancelación, oposición, portabilidad, oposición a decisiones automatizadas, bloqueo) |
| Registro de tratamientos (RAT) | No obligatorio | Obligatorio para la mayoría de organizaciones |
| Evaluación de impacto (EIPD) | No exigida | Obligatoria para tratamientos de alto riesgo |
| Delegado de Protección de Datos (DPD) | No existía | Obligatorio en casos previstos por ley |
| Notificación de brechas | No obligatoria | Obligatoria a la Agencia en plazos específicos |
| Datos sensibles | Concepto limitado | Concepto ampliado (incluye datos biométricos, genéticos, de NNA) |
A quién aplica la Ley de Datos Personales
La Ley de Datos Personales aplica a:
- Toda organización pública o privada que trate datos personales de personas naturales en Chile.
- Sin importar el tamaño: aplica desde el pequeño emprendimiento hasta la multinacional.
- Sin importar el rubro: salud, retail, banca, educación, tecnología, manufactura, ONG, sector público.
- Empresas extranjeras que ofrecen bienes o servicios a personas en Chile, o que monitorean su comportamiento.
Si tu organización tiene empleados, clientes, usuarios, suscriptores, donantes, alumnos, pacientes o proveedores personas naturales, la Ley de Datos Personales te aplica. No hay excepciones por tamaño.
Plazos y sanciones de la Ley de Datos Personales
Plazo de adecuación
La Ley 21.719 fue publicada en diciembre de 2024 con un período de adecuación de aproximadamente 24 meses. La vigencia plena es en diciembre de 2026. Desde esa fecha, la Agencia de Protección de Datos puede fiscalizar y aplicar sanciones efectivas.
Sanciones por incumplimiento
Las multas se clasifican en tres niveles:
- Infracciones leves: hasta 5.000 UTM (≈ CLP 325 millones).
- Infracciones graves: hasta 10.000 UTM (≈ CLP 650 millones).
- Infracciones gravísimas: hasta 20.000 UTM (≈ CLP 1.300 millones).
Además de la multa, la Agencia puede:
- Ordenar la suspensión del tratamiento de datos.
- Ordenar la cancelación de bases de datos ilegales.
- Publicar las infracciones, generando daño reputacional.
Qué debe tener tu empresa para cumplir la Ley de Datos Personales
Una empresa preparada para diciembre 2026 debe tener implementados estos seis componentes operativos:
1. RAT (Registro de Actividades de Tratamiento)
Un inventario formal y vivo de todos los tratamientos de datos personales de la organización: qué datos, para qué fin, base de licitud, plazo de conservación, destinatarios, transferencias internacionales y medidas de seguridad. Es la "fotografía contable" de la privacidad.
2. Bases de licitud documentadas
Para cada tratamiento, se debe identificar y documentar la base de licitud que lo justifica (consentimiento, contrato, ley, interés vital, interés legítimo o función pública). El consentimiento ya no sirve para todo; tiene requisitos formales más estrictos.
3. Procesos de derechos ARCO+
Procedimiento operativo para responder a solicitudes de titulares: acceso, rectificación, cancelación, oposición, portabilidad, oposición a decisiones automatizadas, bloqueo. Plazos legales, registros y trazabilidad.
4. EIPD para tratamientos de alto riesgo
Evaluación de Impacto en la Protección de Datos: análisis formal del riesgo para los titulares cuando un tratamiento puede generar daños significativos (perfilamiento masivo, datos sensibles a gran escala, vigilancia, decisiones automatizadas).
5. Delegado de Protección de Datos (DPD)
Figura formal que supervisa el cumplimiento y es punto de contacto con la Agencia. Obligatorio para organismos públicos y empresas que tratan datos sensibles a gran escala. Puede ser interno o externalizado como DPD Virtual.
6. Gestión y notificación de brechas
Procedimiento de detección, evaluación, contención y notificación de brechas de datos personales. La Ley exige notificar a la Agencia y a los titulares afectados dentro de plazos específicos.
Cuándo contratar consultoría de implementación de la Ley de Datos Personales
Una consultoría de implementación de la Ley de Datos Personales conviene cuando:
- La empresa no tiene un modelo formal de cumplimiento de privacidad. Si todo lo que existe son contratos genéricos y "política de privacidad" en la web, hay mucho por hacer.
- Se tratan datos sensibles o a gran escala. Salud, NNA, biometría, perfilamiento masivo o decisiones automatizadas requieren EIPD obligatoria.
- No hay equipo interno con experiencia en privacidad. RAT, bases de licitud, EIPD, ARCO+ y notificación de brechas son temas técnicos que requieren especialización.
- El plazo de diciembre 2026 está cerca. Una implementación seria toma 3 a 5 meses. Si arrancas en el tercer trimestre de 2026, llegas justo y con cumplimiento parcial.
Una consultoría especializada de implementación de la Ley de Datos Personales típicamente cubre los 6 componentes anteriores, deja una plataforma operativa para mantener el cumplimiento e incluye alianza legal especializada. Confiden360 ofrece este servicio combinado en su consultoría de implementación de la Ley de Datos Personales (Ley 21.719).
Cómo empezar: checklist práctico
Si tu empresa todavía no ha empezado, este es el orden recomendado:
- Diagnóstico inicial (2-3 semanas): mapear todos los tratamientos de datos personales y bases de licitud existentes.
- RAT formal (3-5 semanas): documentar cada tratamiento con la información requerida por la Ley.
- Políticas, contratos y avisos (4-6 semanas): actualizar política de privacidad, cláusulas de consentimiento, contratos con encargados de tratamiento.
- Procesos operativos (6-8 semanas): ARCO+, EIPD para tratamientos de alto riesgo, proceso de brechas.
- Capacitación interna (paralelo): equipo completo + RRHH, marketing, ventas, TI, legal.
- Designación de DPD (al final): interno o externalizado.
Para una guía completa de obligaciones empresariales, revisa el artículo sobre las 11 obligaciones clave de la Ley 21.719 para empresas chilenas.
Relación entre la Ley de Datos Personales e ISO 27001
La ISO 27001 implementa controles técnicos y organizacionales de seguridad de la información que cubren buena parte de los requisitos de la Ley de Datos Personales:
- Control de accesos.
- Cifrado de datos en tránsito y reposo.
- Gestión de incidentes (que se conecta con la notificación de brechas).
- Gestión de proveedores y transferencias.
- Continuidad operativa.
- Capacitación al personal.
Las empresas con ISO 27001 implementada llegan al cumplimiento de la Ley de Datos Personales con un 40-60% del trabajo ya hecho. Para el resto se requiere consultoría específica en privacidad: RAT, bases de licitud, EIPD, ARCO+ y políticas legales. Para empresas sin SGSI, ambas iniciativas pueden hacerse en paralelo con sinergias.
¿Tu empresa está lista para la Ley de Datos Personales (Ley 21.719)?
Confiden360 ofrece consultoría de implementación de la Ley de Datos Personales con metodología probada, plataforma operativa (Confirmer360) y alianza legal especializada. Diagnóstico inicial sin costo.
Agendar diagnóstico gratuito → Ver consultoría de implementación →Preguntas frecuentes sobre la Ley de Datos Personales en Chile
¿Qué es la Ley de Datos Personales en Chile?
Es la Ley 21.719, publicada en 2024, que reemplaza a la antigua Ley 19.628. Eleva el estándar chileno al nivel del GDPR europeo y entra en vigencia plena en diciembre de 2026.
¿A quién aplica la Ley de Datos Personales?
A toda organización pública o privada que trate datos personales de personas naturales en Chile, sin importar tamaño ni rubro. También a empresas extranjeras que ofrecen bienes o servicios a personas en Chile.
¿Cuáles son las sanciones?
Las multas pueden llegar hasta 20.000 UTM (≈ CLP 1.300 millones). Además, la Agencia puede ordenar suspensión del tratamiento, cancelación de bases de datos y publicar las infracciones.
¿Es obligatorio un Delegado de Protección de Datos (DPD)?
Es obligatorio para organismos públicos, empresas que tratan datos sensibles a gran escala o que realizan tratamientos masivos. En el resto de los casos es altamente recomendable.
¿Cuándo conviene contratar consultoría de implementación?
Cuando la empresa no tiene un modelo formal de cumplimiento, trata datos sensibles, no tiene equipo interno especializado o el plazo de diciembre 2026 está cerca. Una consultoría implementa el modelo completo en 3 a 5 meses.
¿Qué relación hay con ISO 27001?
ISO 27001 cubre 40-60% de los requisitos técnicos. Para el resto (RAT, bases de licitud, EIPD, ARCO+, contratos legales) se requiere consultoría específica en privacidad.