← Volver al blog

La Agencia de Protección de Datos Personales: qué es, qué puede hacer y cómo fiscaliza

Chile tuvo una ley de protección de datos durante más de dos décadas, pero no una autoridad especializada que la hiciera cumplir. Eso cambia con la Ley 21.719 y la Agencia de Protección de Datos Personales, cuya fiscalización plena comienza el 1 de diciembre de 2026. Esta guía explica qué es, qué puede hacer y qué documentación tendrás que poder mostrar.

Fiscalización · Ley 21.719

Lo esencial en 30 segundos

  • La Agencia de Protección de Datos Personales es la autoridad de control que crea la Ley 21.719: el sistema chileno tenía reglas desde 1999, pero no un órgano especializado dedicado a hacerlas cumplir.
  • Su tarea es fiscalizar el cumplimiento de la Ley 21.719 y sancionar las infracciones que constata. Alcanza tanto a responsables como a encargados.
  • Las multas se escalonan según la gravedad, con topes de 5.000, 10.000 y 20.000 UTM. Las sanciones aplicadas se publican en el Registro Nacional de Sanciones.
  • El eje del nuevo marco es la responsabilidad proactiva: RAT, procedimiento de derechos ARSOP, gestión de brechas y documentación de respaldo (EIPD y DPO cuando corresponda).
  • La fiscalización plena comienza el 1 de diciembre de 2026. Lo que se mide no es tu intención de cumplir, sino la evidencia de que cumples.

La Ley 21.719, publicada el 13 de diciembre de 2024, moderniza el marco chileno de protección de datos y entra en fiscalización plena el 1 de diciembre de 2026. Entre todos sus cambios hay uno que reordena el resto: la creación de la Agencia de Protección de Datos Personales, la autoridad de control que el sistema chileno no tenía. Si quieres el panorama completo, parte por nuestra guía sobre la ley de protección de datos en Chile.

Este artículo es una radiografía de esa autoridad: qué es, qué puede hacer, a quién alcanza y qué documentación tendrás que poder mostrar cuando llegue a preguntar.

Qué es la Agencia de Protección de Datos Personales

La Ley 19.628, vigente desde 1999, fue durante más de dos décadas el marco chileno de protección de datos. El sistema que construyó tenía reglas, pero no un órgano especializado dedicado a vigilar su cumplimiento: normas en el papel y poca presión práctica para aplicarlas.

La Agencia corrige ese vacío. Es la autoridad de control del nuevo marco: un órgano especializado cuya tarea es fiscalizar cómo tratan los datos personales las organizaciones y sancionar las infracciones que constata. El diseño no parte de cero: la Ley 21.719 se inspira en el GDPR europeo, donde las autoridades de protección de datos son el motor del sistema.

Por eso su aparición es el cambio institucional más relevante del nuevo marco. Las figuras que la ley introduce (el RAT, los derechos ARSOP, el deber de notificar brechas) solo se vuelven exigibles porque hay alguien encargado de exigirlas. Sin autoridad de control, un catálogo de deberes es una declaración de buenas intenciones; con ella, pasa a ser un estándar verificable.

Qué puede hacer la Agencia: fiscalizar y sancionar

La Ley 21.719 le entrega a la Agencia lo que el sistema anterior nunca tuvo: la fiscalización del cumplimiento y la potestad de sancionar. La primera define cómo llega a tu organización; la segunda, cuánto cuesta que llegue y no encuentre nada.

Conviene precisar el alcance, porque ahí se equivocan muchas empresas. La fiscalización mira tanto al responsable (quien decide para qué y cómo se tratan los datos) como al encargado (quien los trata por cuenta de otro). Tener la casa ordenada no basta si los proveedores que procesan datos por cuenta de tu empresa no están al mismo nivel: en toda esa cadena la evidencia también tiene que existir.

  • Fiscalizar el cumplimiento de la Ley 21.719 por parte de quienes tratan datos personales, sean responsables o encargados.
  • Aplicar sanciones cuando constata infracciones, dentro del régimen de multas en UTM que la propia ley establece.
  • Dejar registro público de lo que sanciona: las sanciones aplicadas se publican en el Registro Nacional de Sanciones.

Desde cuándo fiscaliza: el 1 de diciembre de 2026

Dos fechas ordenan el calendario. La Ley 21.719 se publicó el 13 de diciembre de 2024 y su fiscalización plena comienza el 1 de diciembre de 2026. Entre ambas hay casi dos años, y ahí está el malentendido más caro: leer ese margen como una prórroga en lugar de como tiempo de trabajo.

La fecha no marca el inicio de la preparación, marca el momento en que te miden. Un RAT levantado a la carrera, un procedimiento de derechos ARSOP que nadie ha probado o un protocolo de brechas escrito la semana anterior no producen lo único que una autoridad puede revisar: evidencia con historia, con fechas y con responsables. Lo que se improvisa en noviembre de 2026 se nota.

Qué documentación puede revisar una fiscalización

Una fiscalización se reduce a una pregunta formulada de muchas maneras: ¿puedes demostrarlo? Ese es el núcleo de la responsabilidad proactiva que atraviesa la Ley 21.719: no basta con cumplir, hay que poder acreditarlo con documentación y registros. El detalle dependerá de cada caso, pero las figuras que la propia ley define indican dónde va a mirar:

En las organizaciones mal preparadas se repite una frase, y no es mala fe: lo hacemos, pero no está documentado. Frente a una autoridad que evalúa evidencia, eso se parece demasiado a no hacerlo. Si respondes solicitudes de titulares pero no registras cuándo llegaron, quién las atendió y qué contestaste, no tienes cómo probarlo. La evidencia no es un subproducto del cumplimiento: es el producto.

  • El Registro de Actividades de Tratamiento (RAT): qué datos tratas, con qué finalidad, por cuánto tiempo, con quién los compartes y bajo qué resguardos.
  • El procedimiento de derechos ARSOP: cómo recibes, verificas, respondes y registras las solicitudes de acceso, rectificación, supresión, oposición y portabilidad.
  • La gestión de brechas: cómo detectas los incidentes, cómo los evalúas y cómo cumples el deber de notificar.
  • La relación con tus encargados: qué proveedores tratan datos por cuenta de tu empresa, con qué instrucciones y bajo qué controles.
  • La documentación de respaldo: la EIPD en los tratamientos que lo ameritan y la designación de un DPO cuando corresponda.

Multas en UTM y Registro Nacional de Sanciones

La Ley 21.719 establece un régimen de multas escalonado según la gravedad de la infracción, con tres topes:

Las cifras están expresadas en UTM y no en pesos, y ese detalle tiene consecuencias: al ser una unidad reajustable, el techo de la multa se mantiene en el tiempo en términos reales. En el tramo más alto, la magnitud alcanza para afectar el resultado anual de una compañía mediana. Ese salto de escala explica por qué la protección de datos dejó de ser un asunto exclusivamente legal y llegó a la mesa del directorio.

La sanción económica no es el único costo, y a menudo no es el más caro. La ley contempla un Registro Nacional de Sanciones donde se publican las sanciones aplicadas. Esa publicidad convierte un expediente administrativo en información consultable: por un cliente que evalúa renovar un contrato, por un comité de licitación, por tu competencia. La multa se paga una vez; el registro queda.

  • Hasta 5.000 UTM en el tramo más bajo del régimen.
  • Hasta 10.000 UTM en el tramo intermedio.
  • Hasta 20.000 UTM en el tramo más alto.

Cómo prepararse antes del 1 de diciembre de 2026

Prepararse para la Agencia no es un trámite de última semana. Lo que tendrás que mostrar no se construye a la carrera: exige levantar información dispersa entre áreas, tomar decisiones que nadie ha tomado todavía y dejarlas por escrito. Este es el camino corto:

Detrás de cada punto hay un mismo principio: la responsabilidad proactiva. La Agencia no evaluará tu discurso sobre privacidad, sino tu capacidad de demostrar, con documentos y fechas, que tomaste decisiones informadas y las ejecutaste. Aun cuando exista un hallazgo, quien llega con la carpeta ordenada discute un ajuste; quien improvisa discute su credibilidad completa. Por eso el 1 de diciembre de 2026 no es la fecha para empezar a prepararse: es la fecha en que te miden.

  • Levanta tu RAT y mantenlo vivo: es la base sobre la que se apoya todo lo demás.
  • Diseña un procedimiento de derechos ARSOP que funcione de verdad: canal de entrada, responsable, verificación de identidad, plazo interno de respuesta y registro de cada solicitud.
  • Prepara un protocolo de brechas que cubra detección, evaluación, notificación y aprendizaje posterior.
  • Ordena tu cadena de encargados: qué proveedores tratan datos por cuenta de tu empresa, con qué instrucciones y bajo qué controles.
  • Evalúa si corresponde designar un DPO y realizar una EIPD en los tratamientos de mayor riesgo.
  • Deja rastro de todo: decisiones, fechas, responsables y evidencia de ejecución. Un documento sin fecha no prueba cuándo hiciste las cosas.

Llega preparado a la fiscalización de la Agencia

En AlayIAtrust ayudamos a organizaciones chilenas a construir la evidencia que la Agencia podrá revisar desde el 1 de diciembre de 2026: RAT, procedimiento de derechos ARSOP, protocolo de brechas, relación con encargados y documentación de respaldo. Solicita un diagnóstico y conoce tu punto de partida real.

Solicitar diagnóstico

Preguntas frecuentes

¿Qué es la Agencia de Protección de Datos Personales?

Es la autoridad de control que crea la Ley 21.719 para vigilar el cumplimiento de la normativa chilena de protección de datos. Bajo la Ley 19.628, vigente desde 1999, el sistema tenía reglas pero no un órgano especializado dedicado a hacerlas cumplir. La Agencia fiscaliza a quienes tratan datos personales, sean responsables o encargados, y puede sancionar las infracciones que constata.

¿Desde cuándo fiscaliza la Agencia?

La Ley 21.719 se publicó el 13 de diciembre de 2024 y su fiscalización plena comienza el 1 de diciembre de 2026. Ese margen de casi dos años está para adecuarse, no para postergar el trabajo: el RAT, el procedimiento de derechos ARSOP y la gestión de brechas toman meses. El 1 de diciembre de 2026 es la fecha de evaluación, no el punto de partida.

¿Qué documentación puede revisar la Agencia en una fiscalización?

El detalle depende de cada caso, pero las figuras de la propia ley indican dónde mirará: el Registro de Actividades de Tratamiento (RAT), el procedimiento con que atiendes los derechos ARSOP, la gestión de brechas y el deber de notificarlas, la relación con tus encargados y la documentación de respaldo, como la EIPD y la designación de un DPO cuando corresponda. El principio detrás es la responsabilidad proactiva: no basta con cumplir, hay que poder acreditarlo.

¿De cuánto son las multas y dónde se publican las sanciones?

El régimen se escalona según la gravedad de la infracción, con topes de 5.000, 10.000 y 20.000 UTM. Además, la ley contempla un Registro Nacional de Sanciones donde se publican las sanciones aplicadas. Ese componente reputacional suele pesar más que la multa: el pago se hace una vez, la publicación queda.

También te puede interesar

Guía esencial

Ley de Protección de Datos en Chile: la guía completa

Fiscalización

Fiscalización de la Agencia: qué te pedirán y cómo prepararte

Sanciones

Multas y sanciones de la Ley 21.719

Próximo paso

¿Tu empresa está lista
para diciembre 2026?

Diagnóstico de 30 minutos sin compromiso.

Solicitar diagnóstico