Lo esencial en 30 segundos
- La Ley 21.719 moderniza la protección de datos personales en Chile y se inspira en el GDPR europeo.
- Fue publicada el 13 de diciembre de 2024 y su cumplimiento es obligatorio desde el 1 de diciembre de 2026.
- Aplica a toda organización —pública o privada, grande o PYME— que trate datos personales en Chile.
- Las multas llegan hasta 20.000 UTM, y se triplican por reincidencia (hasta 60.000 UTM o un porcentaje de los ingresos).
- El camino: diagnóstico de brechas → políticas y consentimiento → tecnología → mejora continua.
En un mundo cada vez más digitalizado, la protección de los datos personales dejó de ser un asunto técnico para convertirse en una prioridad de negocio. Chile no es la excepción: con la promulgación de la Ley 21.719, el país dio un paso trascendental para salvaguardar la privacidad de las personas y alinearse con los estándares internacionales más exigentes. Esta normativa moderniza por completo el marco legal anterior y cambia la forma en que las empresas deben manejar la información personal.
Su implementación no es solo una obligación legal: es una oportunidad para fortalecer la confianza con tus clientes y asegurar la sostenibilidad del negocio. En esta guía desglosamos todo lo que necesitas saber —desde los fundamentos hasta los pasos prácticos— para cumplir a tiempo y evitar las onerosas multas asociadas al incumplimiento. Si quieres una visión general de nuestros servicios, revisa también la página Ley 21.719.
1. ¿Qué es exactamente la Ley 21.719?
La Ley 21.719, publicada el 13 de diciembre de 2024, es la nueva normativa chilena que regula la protección y el tratamiento de los datos personales. Su objetivo principal es fortalecer los derechos de los titulares de los datos y establecer un marco legal robusto para su manejo por parte de empresas, instituciones públicas y privadas, e incluso desarrolladores individuales. Tras un período de adecuación de 24 meses, su cumplimiento es obligatorio desde el 1 de diciembre de 2026, fecha en que la nueva Agencia de Protección de Datos Personales podrá fiscalizar y sancionar.
En esencia, la ley busca que cualquier entidad que recopile, almacene, use o transfiera datos personales lo haga de manera transparente, segura y con el consentimiento explícito del titular. Ya no basta con tener una política de privacidad genérica: ahora las organizaciones deben ser proactivas, informando claramente para qué se usarán los datos y permitiendo a las personas ejercer control sobre ellos.
Comparación con la ley anterior (19.628)
La Ley 21.719 no deroga completamente la antigua Ley N° 19.628 de 1999 sobre Protección de la Vida Privada, sino que la modifica y complementa. Sin embargo, cambia radicalmente el enfoque y le da una preponderancia mucho mayor a la protección de datos. Mientras la 19.628 había quedado obsoleta y con un alcance limitado, la 21.719 introduce principios fundamentales y obligaciones más estrictas. Las diferencias clave incluyen:
- Consentimiento explícito: exige un consentimiento claro e inequívoco, a diferencia del consentimiento tácito que permitía la ley anterior.
- Ampliación de derechos: fortalece los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) e introduce el derecho a la portabilidad de datos.
- Agencia de Protección de Datos Personales: crea una entidad fiscalizadora autónoma con facultades para supervisar el cumplimiento y aplicar sanciones.
- Principios rectores: licitud, finalidad, proporcionalidad, calidad, seguridad y responsabilidad proactiva.
Comparación con el GDPR europeo
La Ley 21.719 se inspira fuertemente y se alinea estrechamente con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, uno de los marcos de privacidad más estrictos del mundo. Esta similitud no es casualidad: Chile busca facilitar el intercambio de datos con países que ya cumplen altos estándares. Las principales similitudes incluyen el consentimiento libre e informado, los derechos del titular, la responsabilidad proactiva (accountability), las evaluaciones de impacto y la notificación de brechas de seguridad.
Esta alineación posiciona a Chile como referente regional, pero impone un desafío de adaptación. Si tu empresa ya cumple con el GDPR o tiene operaciones internacionales, te recomendamos revisar nuestra comparación detallada en Diferencias entre la Ley 21.719 y el GDPR.
2. ¿A quién afecta y qué implica para las empresas chilenas?
La Ley 21.719 tiene un alcance amplio y afecta a cualquier entidad —persona natural o jurídica, pública o privada— que trate datos personales en el territorio nacional. Esto incluye desde grandes corporaciones hasta PYMES, emprendedores y organizaciones sin fines de lucro. Si tu empresa recopila, almacena, utiliza o transfiere cualquier información que pueda identificar a una persona, esta ley te aplica.
Obligaciones legales específicas
La ley impone obligaciones tanto al responsable del tratamiento (quien decide sobre los datos) como al encargado del tratamiento (quien los trata por cuenta del responsable). Las más relevantes:
- Principio de licitud: todo tratamiento debe tener una base legal clara, siendo el consentimiento la más común.
- Principio de finalidad: los datos deben recogerse con fines específicos, explícitos y legítimos.
- Proporcionalidad y minimización: solo recopilar los datos estrictamente necesarios.
- Calidad: los datos deben ser exactos, completos y actualizados.
- Seguridad: implementar medidas técnicas y organizativas adecuadas.
- Transparencia e información: informar de manera clara cómo, por qué y por cuánto tiempo se recopilan los datos.
- Registro de actividades de tratamiento: mantener un registro detallado de todas las actividades.
- Evaluaciones de Impacto (EIPD): obligatorias para tratamientos de alto riesgo.
- Notificación de brechas: informar a la Agencia y, en ciertos casos, a los afectados.
Tipos de datos protegidos
La ley protege los datos personales —cualquier información relativa a una persona identificada o identificable—: identificación (nombre, RUT), contacto, financieros, de salud, biométricos, genéticos, de ubicación y de comportamiento online. Otorga una protección reforzada a los datos sensibles —origen racial, ideología política, creencias, estado de salud, vida sexual, datos biométricos y genéticos—, cuyo tratamiento requiere consentimiento explícito y reforzado.
En la práctica, esto impacta de lleno a áreas como Recursos Humanos (datos de empleados), Marketing y Ventas (bases de datos y cookies), Servicio al Cliente (grabaciones y chats) y E-commerce (datos de pago y envío). La ley exige un cambio de paradigma: pasar de un enfoque reactivo a uno proactivo, integrando la privacidad desde el diseño y por defecto en todas las operaciones.
3. Pasos para cumplir efectivamente con la Ley 21.719
El cumplimiento no es un evento único, sino un proceso continuo que requiere un enfoque estructurado y la adaptación de las prácticas internas. Estos son los pasos clave:
1. Diagnóstico inicial de brechas
El primer paso es entender dónde está tu empresa hoy frente a la nueva ley. El diagnóstico debe incluir un inventario de datos (qué se recopila, dónde se almacena, quién accede y con quién se comparte), un mapeo de procesos de extremo a extremo, el análisis de las bases legales actuales, la revisión de contratos con terceros y una evaluación de riesgos. Es la base sobre la que se prioriza todo lo demás; puedes ver cómo lo abordamos con clientes reales en nuestros casos de éxito.
2. Implementación de políticas y procedimientos
Con las brechas identificadas, se desarrollan e implementan: una política de privacidad clara y accesible, políticas internas de manejo de datos, procedimientos para el ejercicio de derechos ARCO, un plan de gestión de incidentes de seguridad y acuerdos de confidencialidad y encargo de tratamiento con empleados y terceros.
3. Gestión del consentimiento
El consentimiento es la piedra angular de la ley. Ya no es válido el consentimiento tácito o implícito. Ahora debe ser libre (sin coacción), específico (para fines determinados), informado, inequívoco (mediante una acción afirmativa clara) y revocable con la misma facilidad con que se otorgó. Las empresas deben revisar todos los puntos de recolección —formularios web, contratos, aplicaciones— y mantener un registro del consentimiento.
4. Rol del Delegado de Protección de Datos (DPO)
El DPO es un experto que actúa como punto de contacto entre la empresa, los titulares y la Agencia. Asesora sobre las obligaciones, supervisa el cumplimiento, atiende consultas, colabora con la Agencia y realiza auditorías internas. Su obligatoriedad depende de la naturaleza y escala del tratamiento, pero contar con uno —interno o externo— es clave para demostrar responsabilidad proactiva.
4. Tecnología y cumplimiento
Cumplir una normativa tan compleja puede parecer abrumador, sobre todo si manejas grandes volúmenes de datos o no cuentas con equipos legales y de TI especializados. La tecnología es un aliado indispensable: automatiza tareas, gestiona consentimientos y aporta la trazabilidad necesaria para demostrar el cumplimiento. Las plataformas de Gestión de Privacidad (PMP) suelen cubrir:
- Mapeo y descubrimiento de datos: identificar y clasificar automáticamente los datos personales en tus sistemas.
- Gestión de consentimientos: recopilar, registrar y administrar consentimientos y preferencias de cookies de forma granular.
- Gestión de solicitudes de derechos (DSAR): automatizar la recepción, verificación y respuesta a las solicitudes ARCO.
- Evaluaciones de impacto (EIPD): guiar la evaluación de riesgos en proyectos de alto riesgo.
- Gestión de incidentes: documentar y notificar brechas sin dilaciones indebidas.
- Gestión de proveedores: evaluar el riesgo de terceros con acceso a datos.
- Automatización de políticas: generar y mantener avisos y políticas siempre actualizadas.
Por qué OneTrust es la herramienta líder recomendada
Dentro del ecosistema de soluciones, OneTrust se ha consolidado como la plataforma líder a nivel global. Las razones:
- Cobertura integral: una suite todo en uno que cubre privacidad, seguridad y gobernanza de datos.
- Escalabilidad y adaptabilidad: sirve a empresas de todos los tamaños y se configura para diversas normativas globales.
- Tecnología de vanguardia: incorpora IA y automatización para simplificar tareas complejas.
- Reconocimiento del mercado: líder consistente en el Cuadrante Mágico de Gartner.
- Comunidad y soporte: una vasta red de usuarios, partners y expertos.
- Alianzas estratégicas: partners locales como AlayIAtrust en Chile aportan acompañamiento experto en el contexto normativo nacional.
Implementar una plataforma como OneTrust de la mano de un aliado experto no solo facilita el cumplimiento: convierte la gestión de la privacidad en una ventaja competitiva. Profundizamos en el cómo en Implementación de OneTrust en Chile.
5. Riesgos y multas por no cumplir la ley
El incumplimiento de la Ley 21.719 puede tener consecuencias severas. Más allá del daño reputacional, las empresas se exponen a sanciones económicas significativas. La ley clasifica las infracciones en tres categorías, con multas expresadas en Unidades Tributarias Mensuales (UTM) que aumentan progresivamente:
| Categoría | Multa base | Reincidencia |
|---|---|---|
| Leves | Amonestación o hasta 5.000 UTM | La multa puede triplicarse |
| Graves | Hasta 10.000 UTM | Hasta el triple, o 2% de los ingresos anuales por ventas y servicios en Chile* |
| Gravísimas | Hasta 20.000 UTM | Hasta el triple (60.000 UTM), o 4% de los ingresos anuales por ventas y servicios en Chile* |
*El cálculo porcentual sobre ingresos solo aplica a empresas que no califican como de menor tamaño según la Ley 20.416. La ley también contempla sanciones accesorias (como la suspensión temporal de actividades de tratamiento) y la publicidad de las sanciones en un registro nacional. Contar con un Modelo de Prevención de Infracciones certificado opera como atenuante.
Entre las conductas sancionables más habituales están el tratamiento de datos sin base legal, no atender los derechos del titular (ARCO), la falta de medidas de seguridad que deriva en una brecha, no notificar brechas sin dilaciones indebidas, transferencias internacionales sin garantías y la obstrucción a la labor de la Agencia. Analizamos el régimen completo en Multas y sanciones de la Ley 21.719.
Casos internacionales de referencia
Como la ley chilena se inspira en el GDPR, los casos europeos anticipan la severidad de las autoridades:
- Google (Francia, 2019): 50 M€ por falta de transparencia y consentimiento válido en la personalización de anuncios.
- British Airways (Reino Unido, 2019): propuesta de 183 M£ por una brecha que afectó a medio millón de clientes.
- H&M (Alemania, 2020): 35,3 M€ por monitoreo ilegal de empleados.
- Amazon (Luxemburgo, 2021): multa récord de 746 M€ por su tratamiento de datos con fines publicitarios.
Para entender el impacto real de una filtración —y cómo se habría evitado— revisa Historias reales de brechas de datos.
Conclusión
La Ley 21.719 es una realidad ineludible en Chile y su impacto es profundo y transformador. Más allá de las obligaciones legales y el riesgo de multas, representa una oportunidad única para construir una relación de mayor confianza y transparencia con tus clientes, fortaleciendo tu reputación y posicionándote como líder en un mercado cada vez más consciente de la privacidad.
El tiempo para la adaptación es ahora. Prepararse con anticipación no solo te permitirá cumplir con la ley antes del 1 de diciembre de 2026, sino también optimizar tus procesos, mejorar la seguridad de tu información y asegurar la sostenibilidad de tu negocio en la era digital.
¿Listo para asegurar el cumplimiento de tu empresa?
Especialistas en Ley 21.719 y partner OneTrust en Chile. Diagnóstico de 30 minutos, sin compromiso.
Agendar diagnósticoPreguntas frecuentes sobre la Ley 21.719
¿Cuándo entra en vigencia la Ley 21.719?
Fue publicada el 13 de diciembre de 2024 y su obligatoriedad plena comienza el 1 de diciembre de 2026, tras un período de adecuación de 24 meses. Desde esa fecha la Agencia de Protección de Datos Personales podrá fiscalizar y sancionar.
¿A quién aplica la Ley 21.719?
A cualquier persona natural o jurídica, pública o privada, que trate datos personales en Chile: desde grandes corporaciones hasta PYMES, emprendedores y organizaciones sin fines de lucro. Si recopilas, almacenas, usas o transfieres datos que identifican a una persona, la ley te aplica.
¿Cuáles son las multas por incumplir la ley?
Las infracciones se clasifican en leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM). En caso de reincidencia la multa puede triplicarse —hasta 60.000 UTM— o aplicarse un porcentaje de los ingresos anuales por ventas y servicios en Chile (2% en reincidencia grave y 4% en gravísima) para empresas que no son de menor tamaño.
¿Es obligatorio tener un Delegado de Protección de Datos (DPO)?
La figura del DPO está contemplada en la ley y su obligatoriedad depende de la naturaleza y escala del tratamiento. Aun cuando no sea obligatorio, contar con un DPO interno o externo es una medida clave para demostrar responsabilidad proactiva y coordinar el cumplimiento.
¿En qué se diferencia del GDPR europeo?
La Ley 21.719 se inspira fuertemente en el GDPR: comparten el consentimiento libre e informado, los derechos del titular, la responsabilidad proactiva, las evaluaciones de impacto y la notificación de brechas. Las diferencias principales están en los montos y la base de cálculo de las multas (en UTM y sobre ingresos en Chile) y en el diseño de la autoridad fiscalizadora.
¿Por dónde debe empezar una empresa?
Por un diagnóstico de brechas: inventariar qué datos se tratan, dónde se almacenan y con quién se comparten; mapear procesos; revisar bases legales y contratos con terceros; y evaluar riesgos. A partir de ese diagnóstico se priorizan políticas, gestión de consentimiento, atención de derechos y medidas de seguridad.