Ley 21.719: Guía completa para empresas chilenas 2026

Chile está a punto de estrenar un nuevo estándar de privacidad. La Ley 21.719, promulgada en diciembre de 2024, reforma profundamente la ley de protección de datos personales y exige a las empresas chilenas —sin importar su tamaño— adaptar sus operaciones antes de que la Agencia de Protección de Datos Personales inicie su actividad fiscalizadora.

Esta guía resume todo lo que necesitas saber: qué cambia, qué obliga, cómo prepararte y qué pasa si no cumples.

¿Qué es la Ley 21.719 y por qué importa ahora?

La Ley 21.719 reemplaza la antigua Ley 19.628 y eleva los estándares de protección de datos personales en Chile al nivel del Reglamento General de Protección de Datos (RGPD) europeo. Fue publicada en el Diario Oficial el 13 de diciembre de 2024 y contempla un período de vacancia legal de 24 meses para que las organizaciones se adapten.

Esto significa que el reloj ya está corriendo. Las empresas tienen hasta diciembre de 2026 para estar en conformidad.

¿A quién aplica?

La ley aplica a toda persona natural o jurídica que trate datos personales de personas naturales domiciliadas en Chile, independiente de:

• El tamaño de la empresa (PYME, startup o gran empresa)
• El sector económico
• Si el tratamiento ocurre dentro o fuera de Chile (extraterritorialidad)

Excepciones

Quedan fuera del alcance los datos tratados exclusivamente para uso personal, datos relativos a personas jurídicas, y ciertos tratamientos con fines domésticos.

Las 7 obligaciones clave para empresas

1. Base de legitimación para el tratamiento

No basta el consentimiento: la ley establece seis bases legales alternativas (contrato, interés legítimo, cumplimiento de obligación legal, etc.). Tu empresa debe identificar la base aplicable para cada finalidad de tratamiento.

2. Registro de actividades de tratamiento

Debes mantener un inventario actualizado de todos los flujos de datos: qué datos tratas, para qué, por cuánto tiempo, con quién los compartes. Este registro es exigible por la Agencia en cualquier momento.

3. Derechos ARCO+P (Acceso, Rectificación, Cancelación, Oposición, Portabilidad)

La ley añade el derecho de portabilidad (recibir los datos en formato estructurado) y el derecho de oposición al tratamiento automatizado. Tienes 10 días hábiles para responder las solicitudes de titulares.

4. Notificación de brechas en 72 horas

Si sufres un incidente de seguridad que afecte datos personales, debes notificar a la Agencia en un plazo máximo de 72 horas desde que tomas conocimiento.

5. Evaluación de Impacto en Protección de Datos (EIPD)

Para tratamientos de alto riesgo (perfilamiento, datos sensibles, vigilancia masiva), es obligatorio realizar una EIPD antes de iniciar el tratamiento.

6. Encargado de Protección de Datos (DPO)

Ciertas empresas —aquellas que traten datos de manera habitual o a escala, o que traten datos sensibles de forma masiva— deben designar un DPO. El cargo puede ser interno o externo.

7. Transferencias internacionales

Si compartes datos con proveedores o socios fuera de Chile (SaaS internacionales, por ejemplo), necesitas garantías adecuadas de protección o una de las excepciones previstas en la ley.

¿Qué datos se consideran sensibles?

La Ley 21.719 amplía la categoría de datos sensibles:

• Datos de salud, genéticos y biométricos
• Datos sobre vida y orientación sexual
• Datos raciales o étnicos
• Opiniones políticas, creencias religiosas o filosóficas
• Afiliación sindical
• Datos de geolocalización precisa (novedad respecto a la ley anterior)
• Datos de menores de edad

El tratamiento de datos sensibles requiere consentimiento explícito o una base legal especialmente cualificada.

Las sanciones: ¿cuánto puede costar no cumplir?

Las infracciones se clasifican en tres niveles:

| Nivel | Infracciones | Multa máxima | |-------|-------------|--------------| | Leves | Falta de registro, no responder derechos ARCO | 100 UTM (~$7M CLP) | | Graves | No notificar brecha, transferencias ilegales | 1.000 UTM (~$70M CLP) | | Gravísimas | Tratamiento de datos sensibles sin base legal | 10.000 UTM (~$700M CLP) |

Adicionalmente, la ley contempla la suspensión temporal del tratamiento y la posibilidad de acciones civiles por daños.

El plan de cumplimiento en 5 pasos

Paso 1: Diagnóstico de brecha (GAP Analysis)

Evalúa tu nivel actual de cumplimiento frente a los requisitos de la ley. Herramientas como el análisis de brecha de Askesis te generan un reporte con semáforo de riesgo y lista priorizada de brechas.

Paso 2: Mapeo de flujos de datos

Identifica qué datos personales tratas, dónde se almacenan, quién los procesa y con quién se comparten. Este inventario es la base del Registro de Actividades.

Paso 3: Capacitación del equipo

El 91% de los incidentes de ciberseguridad involucra error humano. Tu equipo necesita entender qué son los datos personales, cómo protegerlos y qué hacer ante un incidente.

Paso 4: Implementar controles técnicos

Cifrado en reposo y en tránsito, control de acceso por roles, gestión de parches, backups verificados, y un plan de respuesta ante incidentes con el protocolo de notificación de 72h.

Paso 5: Documentar y evidenciar

La Agencia puede requerir evidencia de cumplimiento en cualquier momento. Necesitas registros, políticas firmadas y logs auditables.

¿Cuándo empieza a fiscalizar la Agencia?

La Agencia de Protección de Datos Personales debe constituirse dentro del plazo de vacancia legal. Se espera que comience a operar formalmente a partir del segundo semestre de 2026, aunque algunas obligaciones como el Registro de Actividades pueden ser exigibles desde antes.

Conclusión

La Ley 21.719 no es una amenaza: es una oportunidad para que las empresas chilenas construyan confianza con sus clientes, empleados y socios. Las que se preparen ahora evitarán multas millonarias y estarán mejor posicionadas en un mercado que valora cada vez más la privacidad.

¿Quieres saber cuán lejos está tu empresa del cumplimiento? Realiza el análisis de brecha gratuito de Askesis y obtén un diagnóstico en menos de 10 minutos.