Lo esencial en 30 segundos
- De la Ley 19.628 (1999) a la Ley 21.719: la reforma más profunda del sistema chileno de datos.
- Aplica a toda organización, pública o privada, que trate datos personales en Chile, incluidas empresas extranjeras.
- Derechos ARSOP para las personas y multas de hasta 20.000 UTM para las organizaciones.
- La fiscalización plena de la Agencia de Protección de Datos Personales comienza el 1 de diciembre de 2026.
Si buscaste "ley de protección de datos" sin saber el número exacto, estás en el lugar correcto. En Chile, esa búsqueda apunta hoy a dos normas que conviene entender juntas: la histórica Ley 19.628, vigente desde 1999, y la nueva Ley 21.719, publicada el 13 de diciembre de 2024, que la moderniza por completo. Esta página es un punto de partida: te explica qué es la ley de protección de datos, a quién obliga, qué derechos otorga a las personas, qué exige a las empresas y qué sanciones contempla. Si quieres el panorama legal completo, parte por la guía definitiva de la Ley 21.719.
Piénsalo como un mapa general, no como un manual paso a paso. Aquí encontrarás la visión de conjunto; cuando necesites bajar al terreno operativo (qué documentar, en qué orden y con qué evidencia), te derivamos a nuestra guía definitiva de cumplimiento, que desarrolla cada punto en detalle.
Qué es la ley de protección de datos y por qué importa
La ley de protección de datos es el conjunto de normas que regula cómo las organizaciones recolectan, almacenan, usan, comparten y eliminan la información que identifica a una persona: su nombre, RUT, correo, datos de salud, hábitos de consumo, ubicación o cualquier otro dato que permita reconocerla. Su propósito de fondo es sencillo pero exigente: que las personas conserven el control sobre su propia información y que quienes la tratan lo hagan de forma legítima, segura y transparente.
Importa porque los datos personales dejaron de ser un subproducto administrativo y se convirtieron en un activo crítico, y también en un riesgo. Una filtración, un uso indebido o una base de datos sin control ya no son solo un problema técnico: son un problema legal, reputacional y financiero. Para cualquier organización en Chile, entender la ley de protección de datos es hoy tan básico como entender sus obligaciones tributarias o laborales.
Este cambio de estatus es lo que explica la reforma reciente. Chile pasó de un modelo pensado para los registros de la década de 1990 a un modelo diseñado para la economía digital, donde el tratamiento masivo de datos es la norma y no la excepción.
De la Ley 19.628 a la Ley 21.719: qué cambia y por qué
Durante más de dos décadas, la protección de datos en Chile se rigió por la Ley 19.628, de 1999. Fue pionera en su momento, pero quedó corta frente a internet, la nube, la analítica de datos y la inteligencia artificial. No contaba con una autoridad de control efectiva ni con un régimen de sanciones disuasivo, lo que en la práctica dejaba muchas obligaciones sin consecuencias reales.
La Ley 21.719, publicada el 13 de diciembre de 2024, cambia ese escenario de raíz. Es la reforma más profunda del sistema chileno de protección de datos: introduce una autoridad fiscalizadora con dientes, un catálogo claro de derechos para las personas, obligaciones concretas para quienes tratan datos y un régimen de multas de peso. En lugar de un mero deber declarativo, instala un modelo de responsabilidad exigible.
Esta nueva ley se inspira en el estándar europeo, el Reglamento General de Protección de Datos (GDPR). Eso significa que Chile adopta conceptos y exigencias equivalentes a los que ya rigen en Europa: principios como la responsabilidad proactiva, roles definidos de responsable y encargado, evaluaciones de riesgo y deberes de seguridad. Para las empresas, alinear el país con el marco europeo tiene una ventaja práctica: facilita operar y hacer negocios con organizaciones que ya cumplen ese estándar internacional.
- Ley 19.628 (1999): marco histórico, sin autoridad de control efectiva ni sanciones disuasivas.
- Ley 21.719 (13 de diciembre de 2024): reforma integral que moderniza el sistema y lo alinea con el GDPR.
- Del cumplimiento declarativo al cumplimiento exigible, fiscalizado y sancionable.
A quién aplica la ley
El ámbito de aplicación es amplio y deliberadamente inclusivo. La ley alcanza a toda organización, pública o privada, que trate datos personales en Chile. No distingue por tamaño ni por sector: una gran empresa, una pyme, un municipio, un servicio público, una clínica, un colegio o una fundación quedan igualmente comprendidos si manejan información de personas.
La cobertura también trasciende las fronteras. Alcanza a empresas extranjeras que ofrezcan bienes o servicios en el país o que traten datos de personas ubicadas en Chile, aunque no tengan una oficina local. Esta dimensión, conocida como alcance extraterritorial, sigue la misma lógica del estándar europeo: lo que determina la obligación no es dónde está la empresa, sino a quién dirige su actividad.
La conclusión práctica es directa: si tu organización recolecta o usa datos de personas en Chile, la ley te aplica. La pregunta relevante ya no es si te toca, sino qué tan preparada está tu operación para responder.
Qué derechos otorga a las personas: ARSOP
El corazón de la ley es reconocer a las personas como titulares de sus datos, con derechos que pueden ejercer frente a cualquier organización que los trate. Estos derechos se agrupan bajo la sigla ARSOP y son el punto donde el marco legal se vuelve tangible en el día a día.
Para las organizaciones, estos derechos no son un adorno: se traducen en la obligación de tener canales para recibir solicitudes, verificar la identidad de quien las presenta y responder dentro de los plazos definidos. Un proceso ARSOP desordenado es una de las formas más rápidas de exponerse a un reclamo ante la autoridad.
- Acceso: la persona puede saber qué datos suyos tienes y cómo los tratas.
- Rectificación: puede exigir que corrijas datos inexactos o desactualizados.
- Supresión: puede pedir que elimines sus datos cuando ya no exista fundamento para conservarlos.
- Oposición: puede oponerse a determinados usos de sus datos.
- Portabilidad: puede solicitar sus datos en un formato que le permita reutilizarlos o llevarlos a otro proveedor.
Qué obligaciones impone a las empresas
Frente a esos derechos, la ley coloca un conjunto de deberes concretos sobre quienes tratan datos. El principio que los ordena a todos es la responsabilidad proactiva: no basta con cumplir; hay que ser capaz de demostrar que se cumple, con documentación, procesos y evidencia. La carga de la prueba se desplaza hacia la organización.
En términos prácticos, esto se aterriza en varias piezas que trabajan juntas. Toda actividad de tratamiento debe apoyarse en una base de licitud, es decir, una razón legítima para tratar los datos, como el consentimiento de la persona o el cumplimiento de un contrato u obligación legal. Y la relación entre quien decide los fines del tratamiento (el responsable) y quien lo ejecuta por encargo (el encargado) debe quedar regulada de forma expresa.
Sobre esa base se levantan las obligaciones operativas centrales que resumimos a continuación. Cada una de ellas es una pieza del cumplimiento, y su desarrollo detallado vive en nuestra guía definitiva.
- Registro de Actividades de Tratamiento (RAT): un inventario de qué datos tratas, con qué finalidad y sobre qué base de licitud.
- Evaluaciones de Impacto en Protección de Datos (EIPD): analizar y mitigar los riesgos antes de tratamientos que puedan afectar de forma significativa a las personas.
- Delegado de Protección de Datos (DPO): en los casos que corresponda, designar a un responsable de velar por el cumplimiento.
- Seguridad: aplicar medidas técnicas y organizativas adecuadas para proteger la información.
- Notificación de brechas: informar los incidentes de seguridad que afecten datos personales, según los deberes que fija la ley.
Qué sanciones establece y quién fiscaliza
El elemento que le da fuerza real a la ley es su régimen sancionatorio. El incumplimiento puede derivar en multas de peso, escalonadas según la gravedad de la infracción: hasta 5.000 UTM en los casos menos graves, hasta 10.000 UTM en los graves y hasta 20.000 UTM en los más gravísimos. Expresado en unidades tributarias mensuales, el techo de las sanciones convierte el descuido en un riesgo financiero material para cualquier organización.
La fiscalización queda en manos de la Agencia de Protección de Datos Personales, la nueva autoridad de control que la ley crea para este fin. Es el organismo encargado de supervisar el cumplimiento, recibir reclamos y aplicar sanciones. Su sola existencia marca la diferencia con el régimen anterior: por primera vez, hay una entidad con mandato específico para hacer cumplir las reglas.
El mensaje para las organizaciones es claro. La combinación de una autoridad activa y multas significativas transforma la protección de datos, que antes podía tratarse como una buena práctica opcional, en una obligación con consecuencias concretas.
Plazos clave y cómo empezar a prepararse
La fecha que ordena toda la planificación es el 1 de diciembre de 2026: ese es el momento en que comienza la fiscalización plena de la nueva ley. Hasta entonces existe una ventana de preparación, pero conviene leerla con realismo, porque adecuar procesos, sistemas y contratos toma tiempo y no se resuelve en las últimas semanas.
El punto de partida más útil es entender antes de actuar. Empezar por saber qué datos trata tu organización, para qué y con qué base de licitud es lo que permite después construir el RAT, decidir si necesitas un DPO, priorizar las EIPD y ordenar tus medidas de seguridad. Sin ese diagnóstico inicial, cualquier esfuerzo posterior corre el riesgo de quedar incompleto.
Esta página te dio la visión de conjunto. El paso siguiente natural es bajar al plan concreto: por dónde empezar, en qué orden y con qué entregables. Para eso, revisa nuestra guía definitiva de cumplimiento, donde cada obligación de este marco se desarrolla como un camino operativo, con checklists y prioridades. Si prefieres acompañamiento experto, en AlayIAtrust ayudamos a las organizaciones a construir esa confianza inteligente sobre sus datos, del diagnóstico a la implementación.
¿Listo para pasar de entender a cumplir?
Ya tienes la visión general de la ley de protección de datos en Chile. El siguiente paso es un diagnóstico concreto de tu organización frente a la Ley 21.719. En AlayIAtrust te acompañamos del análisis inicial a la implementación, con foco en construir confianza inteligente. Conversemos antes del 1 de diciembre de 2026.
Solicitar diagnósticoPreguntas frecuentes
¿Cuál es la ley de protección de datos vigente en Chile?
Conviven dos normas. La histórica Ley 19.628, de 1999, y la nueva Ley 21.719, publicada el 13 de diciembre de 2024, que reforma el sistema en profundidad. La fiscalización plena de la nueva ley comienza el 1 de diciembre de 2026, por lo que hoy es la referencia central para prepararse.
¿A quién aplica la ley de protección de datos?
A toda organización, pública o privada, que trate datos personales en Chile, sin importar su tamaño ni su sector. También alcanza a empresas extranjeras que ofrezcan bienes o servicios en el país o que traten datos de personas ubicadas en Chile, aunque no tengan oficina local.
¿Qué derechos me da la ley como titular de mis datos?
Los derechos ARSOP: Acceso, Rectificación, Supresión, Oposición y Portabilidad. Te permiten saber qué datos tuyos trata una organización, corregirlos, pedir su eliminación, oponerte a ciertos usos y solicitar tus datos en un formato reutilizable.
¿Qué multas contempla la Ley 21.719?
Las sanciones se escalonan según la gravedad: hasta 5.000 UTM en infracciones menos graves, hasta 10.000 UTM en las graves y hasta 20.000 UTM en las más gravísimas. La fiscalización está a cargo de la Agencia de Protección de Datos Personales, la nueva autoridad de control.
¿Cómo debería empezar mi empresa a prepararse?
El mejor primer paso es un diagnóstico: identificar qué datos tratas, para qué y con qué base de licitud. Sobre esa base se construyen el Registro de Actividades de Tratamiento, las evaluaciones de impacto, la designación de un DPO cuando corresponde y las medidas de seguridad. El detalle operativo lo encuentras en nuestra guía definitiva de cumplimiento.