GUÍA — ACTUALIZADA JULIO 2026
Guía definitiva de la Ley 21.719
Todo lo que una empresa que opera en Chile necesita entender del nuevo régimen de protección de datos, en una sola página y sin legalés.
01 — ¿Qué es la Ley 21.719?
La Ley 21.719, publicada el 13 de diciembre de 2024, reemplaza el régimen de datos personales que Chile tenía desde 1999 (Ley 19.628) por uno equivalente a los estándares europeos. Entra en vigencia el 1 de diciembre de 2026 y aplica a toda organización — pública o privada, grande o pequeña — que trate datos de personas en Chile, e incluso a empresas extranjeras que ofrezcan bienes o servicios a personas en Chile.
El cambio de fondo es uno: el cumplimiento deja de ser declarativo y pasa a ser demostrable y fiscalizado. Nace una agencia con poder sancionatorio, las multas alcanzan cifras de directorio y las personas obtienen derechos con plazos de respuesta obligatorios.
02 — Los conceptos que hay que dominar
Dato personal es cualquier información vinculada a una persona identificada o identificable: nombre y RUT, pero también correo, patente, geolocalización, imagen de cámara, registro de acceso, IP. Datos sensibles (salud, biometría, ideología, vida sexual, origen étnico) tienen protección reforzada.
Tratamiento es cualquier operación sobre esos datos: recolectar, almacenar, usar, comunicar, incluso eliminar. Quien decide el porqué y el cómo es el responsable (tu empresa); quien trata por cuenta de otro es el encargado (tu proveedor de nube, de remuneraciones, tu agencia de marketing).
Cada tratamiento necesita una base de licitud: consentimiento, ejecución de un contrato, obligación legal, interés legítimo u otras que fija la ley. Elegir la base correcta es la decisión de diseño más importante — el consentimiento ya no es la única vía, y muchas veces tampoco la adecuada.
03 — Las obligaciones para tu empresa
- Registro de actividades de tratamiento (RAT): inventario formal de todos tus tratamientos, con finalidad, base legal, destinatarios, plazos y medidas.
- Deber de información y transparencia: políticas y avisos que digan la verdad de lo que haces, en lenguaje claro.
- Seguridad proporcional al riesgo: medidas técnicas y organizativas adecuadas — control de acceso, cifrado, respaldos, gestión de incidentes.
- Notificación de brechas: ante una vulneración de seguridad, notificar a la Agencia (y a los afectados cuando corresponde) dentro de plazos estrictos.
- Contratos con encargados: todo proveedor que toque datos personales debe operar bajo contrato de tratamiento (DPA).
- Evaluaciones de impacto (EIPD): obligatorias para tratamientos de alto riesgo — datos sensibles a escala, observación sistemática, decisiones automatizadas.
- Transferencias internacionales: mover datos fuera de Chile exige país adecuado, cláusulas o garantías documentadas.
- Responsabilidad proactiva: el principio paraguas — no basta cumplir, hay que poder acreditar que cumples.
04 — Los derechos de las personas
Los titulares pueden ejercer ante tu empresa los derechos ARCOP: Acceso a sus datos, Rectificación de los inexactos, Cancelación cuando no haya razón para conservarlos, Oposición a tratamientos específicos y Portabilidad en formato estructurado. Se suma la protección frente a decisiones automatizadas significativas sin intervención humana.
Cada derecho tiene plazos de respuesta y no responder es infracción autónoma. La exigencia real es operativa: canal de recepción, verificación de identidad, criterio de resolución y registro de cada solicitud.
05 — Fiscalización y sanciones
La Agencia de Protección de Datos Personales fiscaliza de oficio o por denuncia — de cualquier persona, gratis. Las multas: hasta 5.000 UTM (leves), 10.000 UTM (graves) y 20.000 UTM (gravísimas). En reincidencia dentro de 24 meses: hasta el 2%–4% de los ingresos anuales por ventas y servicios en Chile.
Además puede suspender el tratamiento hasta 30 días, prohibirlo definitivamente y publicar la sanción en el registro nacional público. Para pymes existe una gracia sancionatoria de 12 meses (amonestación escrita antes que multa) — las obligaciones rigen igual desde el primer día.
06 — El modelo de prevención de infracciones (art. 49)
La joya escondida del régimen, y la sección que casi todos los resúmenes omiten. La ley permite adoptar un modelo de prevención de infracciones — análogo al modelo de prevención de delitos de la Ley 20.393 — con encargado de prevención, matriz de riesgos, protocolos, supervisión y canal interno.
Su efecto es material: contar con el modelo operando y con evidencia es atenuante al graduar sanciones, y puede certificarse. En un régimen con multas de hasta 20.000 UTM, la diferencia de graduación paga el modelo muchas veces. Lo cubrimos en detalle en nuestro servicio de Modelo de Prevención.
07 — Cómo partir
La secuencia probada: diagnóstico de brechas primero (saber dónde estás), documentación después (RAT, políticas, DPAs), luego flujos operativos (ARCOP, brechas) y finalmente mantención continua (DPO, monitoreo, actualización normativa). Detallamos los plazos realistas en el plan 30/60/90.
Dos formas gratuitas de empezar hoy: el autodiagnóstico interactivo (10 minutos, resultado inmediato) o el checklist de cumplimiento para trabajar con tu equipo.
NOTA LEGAL
Esta guía es informativa y no constituye asesoría legal. Los entregables de nuestros servicios son revisados por abogados especialistas en protección de datos.