← Volver al blog

De la Ley 19.628 a la Ley 21.719: qué cambia realmente

La Ley 19.628 rigió en Chile durante un cuarto de siglo sin una autoridad de control especializada que la hiciera cumplir. La Ley 21.719, publicada el 13 de diciembre de 2024 y con fiscalización plena desde el 1 de diciembre de 2026, cambia esa ecuación por completo: crea la Agencia de Protección de Datos Personales, define derechos exigibles y establece multas que sí pesan. Esta es la comparación que importa.

Ley 21.719

Lo esencial en 30 segundos

  • La Ley 19.628, de 1999, fue pensada para un mundo de registros y ficheros previo a internet: enunciaba obligaciones, pero no contó con una autoridad de control especializada ni con un régimen sancionatorio de efecto disuasivo.
  • La Ley 21.719 crea la Agencia de Protección de Datos Personales, con facultades para fiscalizar y sancionar. Por primera vez existe una contraparte institucional real.
  • Aparecen instrumentos concretos de gestión: Registro de Actividades de Tratamiento (RAT), Evaluación de Impacto (EIPD), Delegado de Protección de Datos (DPO), roles diferenciados de responsable y encargado, y el deber de notificar brechas.
  • El régimen de multas escala hasta 5.000, 10.000 o 20.000 UTM según la gravedad, y existe un Registro Nacional de Sanciones.
  • El cambio de fondo es la responsabilidad proactiva, un principio que la ley toma del GDPR europeo: ya no basta con declarar que cumples, tienes que poder demostrarlo con evidencia.

En casi todas las primeras reuniones con una empresa aparece la misma frase: nosotros ya cumplimos con la ley de datos. Casi siempre significa lo mismo: hay una política de privacidad publicada en el sitio web, una casilla de consentimiento en algún formulario y la tranquilidad de que nadie ha reclamado nunca. Durante veinticinco años, bajo la Ley 19.628, eso alcanzaba en la práctica. Con la Ley 21.719 deja de alcanzar. Si quieres el panorama completo, parte por nuestra guía sobre la ley de protección de datos en Chile.

No se trata de un cambio de redacción ni de una actualización cosmética del texto anterior. Es un cambio de modelo: de una norma declarativa a un sistema con autoridad, obligaciones verificables y consecuencias. En este artículo comparamos ambas leyes en las dimensiones que realmente mueven la aguja, y cerramos con las brechas que aparecen cuando una empresa contrasta su cumplimiento heredado con lo que exige el nuevo estándar.

Qué hacía la Ley 19.628 y para qué mundo fue pensada

Cuando se publicó la Ley 19.628, en 1999, Chile puso por escrito que los datos personales merecen protección en un momento en que el tema casi no estaba en la conversación pública. Ese mérito es real y conviene reconocerlo antes de criticarla. El problema no fue su intención, sino el mundo para el que fue escrita: un mundo de archivos, registros y bases de datos que se consultaban de manera puntual, mucho antes de que la vida comercial, laboral y financiera de una persona quedara repartida en decenas de sistemas conectados entre sí.

En ese contexto, la 19.628 funcionó sobre todo como una declaración de principios: dejó asentado que las personas tienen algo que decir sobre su propia información. Pero su arquitectura suponía tratamientos identificables, estables y de bajo volumen. No anticipaba plataformas digitales, perfilamiento, analítica masiva, proveedores en la nube ni flujos internacionales de información como práctica cotidiana de cualquier empresa mediana.

El resultado fue una norma que envejeció rápido. A medida que tratar datos se volvió una función central de prácticamente cualquier negocio, la distancia entre lo que la ley describía y lo que ocurría en la operación real se hizo cada vez más grande.

Los límites de la 19.628: obligaciones sin consecuencias

Un marco legal necesita tres cosas para funcionar: reglas claras, alguien que las supervise y consecuencias cuando se incumplen. La 19.628 tenía lo primero de forma parcial, y carecía de lo segundo y lo tercero en la magnitud necesaria.

Sin una autoridad de control especializada no había un organismo dedicado que interpretara la norma, fijara criterios comunes, fiscalizara por iniciativa propia ni recibiera reclamos con capacidad real de resolverlos. La carga de reaccionar recaía casi por entero en la persona afectada, que rara vez tenía el tiempo, la información o los incentivos para hacerlo.

Y sin un régimen sancionatorio de peso, incumplir salía barato. Cuando el costo esperado del incumplimiento se acerca a cero, la protección de datos deja de ser una decisión de gestión y se convierte en un trámite: se redacta una política, se publica y el asunto se da por cerrado. Durante años, eso fue lo que en Chile se entendió por cumplir.

  • Sin autoridad especializada: nadie con mandato dedicado para interpretar la norma, fijar criterios ni fiscalizar de oficio.
  • Sin sanciones de peso: el incumplimiento no tenía un costo capaz de cambiar una decisión de negocio.
  • Carga sobre el titular: la persona afectada debía impulsar por su cuenta cualquier reclamo.
  • Sin instrumentos de gestión: no contemplaba figuras como el registro de actividades, la evaluación de impacto ni el delegado de protección de datos.
  • Diseño previo a internet: la norma no fue pensada para tratamientos masivos, automatizados ni tercerizados.

Qué introduce realmente la Ley 21.719

La Ley 21.719, publicada el 13 de diciembre de 2024, no actualiza el texto anterior: cambia el modelo. Pasa de una lógica declarativa a una lógica de gestión verificable, con institucionalidad detrás y consecuencias asociadas. La fiscalización plena comienza el 1 de diciembre de 2026, y en nuestra experiencia ese es el plazo que más empresas están subestimando.

La pieza central es la creación de la Agencia de Protección de Datos Personales, con facultades para fiscalizar y sancionar. Por primera vez existe una contraparte institucional: un organismo que puede revisar cómo tu empresa trata los datos. Esa sola diferencia reordena todo lo demás, porque convierte cada obligación en algo que alguien puede venir a verificar.

Sobre esa base, la ley incorpora un conjunto de instrumentos concretos, inspirados en el GDPR europeo:

Y por encima de todo está el principio de responsabilidad proactiva: no basta con cumplir, hay que poder demostrar que se cumple. La evidencia deja de ser un accesorio del programa de privacidad y pasa a ser el programa mismo.

  • Derechos ARSOP: acceso, rectificación, supresión, oposición y portabilidad, exigibles ante quien trata los datos, con la Agencia como autoridad encargada de fiscalizar su cumplimiento.
  • Registro de Actividades de Tratamiento (RAT): el inventario de qué datos tratas, para qué, con quién los compartes y por cuánto tiempo.
  • Evaluación de Impacto (EIPD): el análisis de los tratamientos que suponen un riesgo relevante para las personas.
  • Delegado de Protección de Datos (DPO): una figura con responsabilidad definida sobre el programa de privacidad.
  • Notificación de brechas: el deber de notificar los incidentes que afectan datos personales.
  • Roles diferenciados de responsable y encargado: tus proveedores entran en la ecuación y la relación con ellos debe quedar formalizada.

Comparación conceptual: la 19.628 frente a la 21.719

Si hubiera que resumir el cambio en una frase, sería esta: la 19.628 describía un deber, la 21.719 organiza un sistema. Estas son las dimensiones donde la diferencia se vuelve tangible:

Leídas en conjunto, estas diferencias apuntan a lo mismo. La protección de datos deja de ser un texto legal en el pie de página del sitio web y pasa a ser un proceso con dueño, evidencia, plazos internos y auditoría. Es un cambio de naturaleza, no de grado.

  • Autoridad: antes, ningún organismo especializado con facultades reales. Ahora, la Agencia de Protección de Datos Personales, que fiscaliza y sanciona.
  • Lógica de cumplimiento: antes, declarativa (bastaba afirmar que se cumplía). Ahora, responsabilidad proactiva (hay que demostrarlo con evidencia).
  • Derechos: antes, un reconocimiento limitado y de ejercicio incierto. Ahora, el catálogo ARSOP, exigible y fiscalizado por la Agencia.
  • Instrumentos internos: antes, ninguno definido. Ahora, RAT, EIPD, DPO y notificación de brechas.
  • Cadena de proveedores: antes, sin distinción operativa clara. Ahora, roles diferenciados de responsable y encargado, con obligaciones propias para cada uno.
  • Sanciones: antes, sin efecto disuasivo real. Ahora, multas de hasta 5.000, 10.000 o 20.000 UTM según la gravedad, más un Registro Nacional de Sanciones.
  • Estándar de referencia: antes, una norma local aislada. Ahora, una ley que se inspira en el GDPR europeo.

Multas y Registro Nacional de Sanciones: el fin del incumplimiento barato

El componente que más rápido captura la atención de un directorio es el económico. La Ley 21.719 establece un régimen de multas que escala según la gravedad de la infracción: hasta 5.000 UTM, hasta 10.000 UTM y hasta 20.000 UTM en el tramo más alto. Son cifras que cambian la conversación. Dejan de ser un costo operativo asumible y pasan a ser un riesgo que el directorio tiene que mirar de frente.

El efecto, además, no es solo financiero. La ley contempla un Registro Nacional de Sanciones, que deja constancia de las sanciones aplicadas. Para una empresa que vende confianza, y hoy casi todas venden algo de confianza, ese es un costo difícil de cuantificar y todavía más difícil de revertir.

Pero el punto de fondo no es la multa. Es que ahora existe alguien con facultades para verificar, y consecuencias reales atadas al resultado de esa verificación. Eso es exactamente lo que la 19.628 nunca tuvo, y por eso su incumplimiento nunca dolió.

Si tu empresa creía cumplir con la 19.628, esto es lo que falta

El estándar cambió de objeto. Antes se evaluaba lo que declarabas; ahora se evalúa lo que puedes demostrar. Y la mayoría de las organizaciones descubre, al hacer el ejercicio, que le falta incluso el punto de partida: un inventario confiable de los datos que trata.

Estas son las brechas que aparecen con más frecuencia cuando se contrasta un cumplimiento heredado de la 19.628 con lo que exige la 21.719:

Ninguna de estas brechas se cierra en una semana, y varias dependen de áreas distintas: tecnología, legal, operaciones y personas. Por eso el 1 de diciembre de 2026 está mucho más cerca de lo que sugiere el calendario.

  • No existe un Registro de Actividades de Tratamiento: nadie sabe con precisión qué datos hay, dónde están ni quién los usa.
  • El consentimiento se usa como respaldo para todo, sin evidencia de cómo se obtuvo ni de qué tratamientos concretos cubre.
  • No hay un procedimiento operativo para responder solicitudes ARSOP con trazabilidad y dentro de plazos razonables.
  • Los proveedores que tratan datos por cuenta de la empresa no tienen contratos que reflejen la relación entre responsable y encargado.
  • No se han hecho evaluaciones de impacto sobre los tratamientos de mayor riesgo.
  • No hay un plan de respuesta a brechas que cubra detección, análisis y notificación.
  • No hay un responsable identificable del programa de privacidad ni evidencia de que el programa funcione.

Conclusión: lo que cambia es el modelo, no la redacción

La Ley 19.628 cumplió un papel histórico: puso el tema sobre la mesa cuando casi nadie hablaba de él. La Ley 21.719 hace lo que aquella no pudo: le da un dueño institucional, un catálogo de derechos exigible, instrumentos concretos y consecuencias. Al inspirarse en el GDPR, además, deja a las empresas chilenas conversando en el mismo idioma que sus clientes, socios y proveedores internacionales.

Para una organización que se creía cubierta, la conclusión es incómoda pero clara: el cumplimiento heredado de la 19.628 no se convierte automáticamente en cumplimiento de la 21.719. Hay que rehacer el trabajo desde el inventario. La buena noticia es que todavía queda tiempo y que el esfuerzo tiene retorno: un programa de privacidad bien construido no solo evita multas, también ordena la operación y sostiene la confianza que hoy define la relación con los clientes.

¿Tu cumplimiento sigue anclado en la Ley 19.628?

Hacemos el diagnóstico de brechas frente a la Ley 21.719 y te mostramos con evidencia qué falta antes de diciembre de 2026. Primera sesión de diagnóstico sin costo.

Solicitar diagnóstico

Preguntas frecuentes

¿Cuál es la diferencia principal entre la Ley 19.628 y la Ley 21.719?

La diferencia principal no está en el texto, sino en el modelo. La Ley 19.628, de 1999, enunciaba obligaciones pero no contó con una autoridad de control especializada ni con un régimen sancionatorio disuasivo, de modo que muchas de esas obligaciones quedaban sin consecuencias reales. La Ley 21.719 crea la Agencia de Protección de Datos Personales, con facultades para fiscalizar y sancionar, define un catálogo de derechos ARSOP, incorpora instrumentos concretos como el Registro de Actividades de Tratamiento, la evaluación de impacto, el Delegado de Protección de Datos y la notificación de brechas, y establece un régimen de multas de hasta 5.000, 10.000 o 20.000 UTM según la gravedad.

Si mi empresa cumplía con la Ley 19.628, ¿ya cumple con la Ley 21.719?

No. En la práctica, cumplir con la 19.628 solía significar tener una política de privacidad publicada y una cláusula de consentimiento en los formularios. La Ley 21.719 introduce el principio de responsabilidad proactiva: no basta con declarar que cumples, tienes que poder demostrarlo con evidencia. Eso exige, como mínimo, un inventario de tratamientos (RAT), un procedimiento real para atender solicitudes ARSOP, contratos que reflejen la relación con tus encargados, evaluaciones de impacto en los tratamientos de mayor riesgo y un plan de respuesta a brechas.

¿Desde cuándo se puede fiscalizar y sancionar bajo la Ley 21.719?

La Ley 21.719 fue publicada el 13 de diciembre de 2024 y su fiscalización plena comienza el 1 de diciembre de 2026. Desde esa fecha, la Agencia de Protección de Datos Personales podrá fiscalizar y aplicar el régimen sancionatorio. El tiempo intermedio es, precisamente, el período para levantar el inventario, cerrar brechas y dejar la evidencia en orden, un trabajo que involucra a tecnología, legal, operaciones y personas, y que no se resuelve en las últimas semanas.

¿La Ley 21.719 es lo mismo que el GDPR europeo?

No es lo mismo, pero se inspira en él y comparte su lógica de fondo: responsabilidad proactiva, derechos exigibles por las personas, roles diferenciados entre responsable y encargado, instrumentos como el registro de actividades y la evaluación de impacto, y una autoridad de control con potestad sancionatoria. Esa inspiración es una buena noticia práctica: si tu empresa ya opera bajo el estándar europeo, parte con ventaja, y si no lo hace, el trabajo que realices en Chile te acerca a un marco reconocido internacionalmente.

También te puede interesar

Guía esencial

Ley de Protección de Datos en Chile: la guía completa

Ley 21.719

Ley 21.719: guía definitiva para cumplir y evitar multas

Ley 21.719

Todos los plazos de la Ley 21.719: fechas clave

Próximo paso

¿Tu empresa está lista
para diciembre 2026?

Diagnóstico de 30 minutos sin compromiso.

Solicitar diagnóstico