Multas y sanciones de la Ley 21.719: lo que debes saber para evitarlas.

En el dinámico panorama digital actual, la protección de datos personales ha dejado de ser una opción para convertirse en una obligación legal ineludible. En Chile, la promulgación de la Ley 21.719 ha marcado un antes y un después, estableciendo un marco robusto para el tratamiento de la información personal. Sin embargo, más allá de los beneficios de una mayor privacidad para los ciudadanos, esta ley conlleva un componente crítico para las empresas: las multas y sanciones por incumplimiento.

Ignorar o subestimar las implicaciones de la Ley 21.719 no solo pone en riesgo la reputación de tu empresa, sino que también puede traducirse en pérdidas económicas significativas. En este artículo desglosamos el régimen de sanciones que contempla la ley, analizamos casos reales de incumplimiento en el ámbito internacional que sirven de advertencia, y te proporcionamos consejos prácticos para evitar estas costosas consecuencias. Si buscas el panorama completo de la normativa, revisa primero nuestra guía definitiva de la Ley 21.719.

Tipos de multas y sanciones en la Ley 21.719

La Ley 21.719 establece un sistema de infracciones y sanciones diseñado para asegurar el cumplimiento efectivo de la normativa. Las multas no son arbitrarias: su monto se determina considerando la gravedad de la infracción, la naturaleza de los datos afectados, el número de personas perjudicadas, la intencionalidad del infractor y la reincidencia, entre otros criterios. La ley clasifica las infracciones en tres categorías principales, con multas expresadas en Unidades Tributarias Mensuales (UTM):

Categoría	Multa base	Reincidencia
Leves	Amonestación o hasta 5.000 UTM	La multa puede triplicarse
Graves	Hasta 10.000 UTM	Hasta el triple, o 2% de los ingresos anuales por ventas y servicios en Chile*
Gravísimas	Hasta 20.000 UTM	Hasta el triple (60.000 UTM), o 4% de los ingresos anuales por ventas y servicios en Chile*

Como muestra la tabla, la multa base más alta es la de las infracciones gravísimas (20.000 UTM). La cifra de 60.000 UTM no es el tope general: corresponde exclusivamente a la triplicación por reincidencia de una infracción gravísima. Las conductas típicas de cada categoría son:

• Infracciones leves: incumplimientos formales o de menor impacto en la privacidad, como omisiones en la información al titular.
• Infracciones graves: tratamiento de datos sin base legal adecuada o falta de respuesta a las solicitudes de derechos del titular (ARCO) dentro de los plazos.
• Infracciones gravísimas: daño considerable a los titulares, violaciones masivas de datos, tratamiento ilícito de datos sensibles u obstrucción a la fiscalización de la Agencia.

Cómo se calcula la multa y qué es la reincidencia

Entender la mecánica de la sanción evita malentendidos habituales. La multa base depende de la categoría de la infracción y la Agencia la gradúa dentro del rango según los criterios ya mencionados. La reincidencia ocurre cuando el responsable comete una nueva infracción de la misma categoría dentro del plazo que fija la ley tras una sanción previa; en ese escenario, la multa puede triplicarse respecto del tope de la categoría. Por eso una infracción gravísima reincidente puede llegar hasta 60.000 UTM.

Más allá del componente económico, la ley contempla sanciones accesorias que pueden afectar gravemente la operación: la suspensión temporal de las actividades de tratamiento y la publicidad de la sanción en un registro nacional de cumplimiento. Y existe una vía relevante de mitigación: contar con un Modelo de Prevención de Infracciones debidamente certificado opera como circunstancia atenuante al determinar la sanción.

Más allá de las multas económicas, el incumplimiento puede acarrear otras consecuencias graves:

• Daño reputacional: una violación de datos o sanción pública puede destruir la confianza de los clientes y dañar la imagen de marca de forma irreparable.
• Pérdida de confianza y clientes: un incidente o mal manejo de datos puede llevar a la fuga de clientes y dificultar la captación de nuevos.
• Acciones legales: los afectados pueden reclamar indemnizaciones por daños y perjuicios, sumando costos legales y compensaciones.
• Suspensión de actividades: en casos extremos y reiterados, la Agencia podría ordenar la suspensión temporal del tratamiento de datos.

Casos reales de incumplimiento: lecciones del mundo

Para comprender la magnitud de las sanciones, es útil observar casos reales en países que ya aplican normativas similares al GDPR, que inspiró a la Ley 21.719. Estos ejemplos demuestran que las autoridades imponen multas sustanciales sin importar el tamaño o reconocimiento de la marca.

Google (Francia): falta de transparencia y consentimiento

En 2019, la CNIL multó a Google con 50 millones de euros por falta de transparencia, información inadecuada y ausencia de consentimiento válido para la personalización de anuncios. El caso subraya la importancia del consentimiento explícito y la claridad en las políticas de privacidad.

British Airways (Reino Unido): brecha de seguridad por falta de medidas

En 2019, la ICO propuso una multa de 183 millones de libras (aprox. 204 M€) a British Airways por una brecha que afectó a medio millón de clientes, debida a la falta de medidas de seguridad que permitieron robar datos de pago. El caso destacó la seriedad con que se toman las brechas de seguridad.

H&M (Alemania): monitoreo ilegal de empleados

En 2020, la autoridad de Hamburgo multó a H&M con 35,3 millones de euros por recopilar y almacenar ilegalmente datos personales de empleados, incluyendo detalles de su vida privada, salud y creencias. Resalta la importancia de proteger los datos de los empleados y limitar la recopilación de información sensible.

Amazon (Luxemburgo): récord por publicidad dirigida

En 2021, la autoridad de Luxemburgo impuso una multa récord de 746 millones de euros a Amazon por incumplir los principios de tratamiento del GDPR en relación con la publicidad dirigida. Demuestra que ni las grandes corporaciones están exentas de las sanciones más elevadas.

Samsung Electronics: cumplimiento y confianza

En contraste, empresas como Samsung Electronics han fortalecido la confianza digital implementando soluciones de gestión de consentimiento. Como resume Leanne White, Responsable de Privacidad de Datos de Samsung Electronics: «La mayor diferencia desde que trabajamos con OneTrust es que ahora le damos más control a los usuarios. Ellos deciden cómo se gestionan sus datos y eso genera confianza.» La inversión en herramientas adecuadas no solo evita sanciones, sino que genera ventaja competitiva.

10 consejos para evitar multas y asegurar el cumplimiento

1. Realiza un diagnóstico exhaustivo: identifica qué datos manejas, dónde se almacenan, cómo se procesan y quién accede a ellos. Un mapeo completo revela brechas y áreas de mejora.
2. Obtén consentimientos válidos: asegura que el consentimiento sea libre, específico, informado e inequívoco, y que pueda retirarse fácilmente.
3. Implementa medidas de seguridad robustas: cifrado, firewalls, control de acceso, copias de seguridad y capacitación constante.
4. Establece políticas y procedimientos claros: documenta tus políticas de privacidad, gestión de derechos ARCO y planes de respuesta a incidentes.
5. Designa un responsable de protección de datos (DPO): interno o externo, ayuda a supervisar el cumplimiento y a actuar como enlace con la Agencia.
6. Gestiona los derechos de los titulares: implementa procesos eficientes para acceso, rectificación, cancelación, oposición y portabilidad.
7. Capacita a tu personal: el error humano es una de las principales causas de brechas; invierte en formación continua.
8. Utiliza tecnología especializada: plataformas como OneTrust automatizan el mapeo de datos, los consentimientos, las solicitudes de derechos y la evaluación de riesgos.
9. Realiza auditorías periódicas: verifica con regularidad la efectividad de tus medidas y ajusta lo necesario.
10. Mantente actualizado: sigue de cerca los cambios en la Ley 21.719 y las directrices de la Agencia.

Conclusión: la prevención es la mejor inversión

La Ley 21.719 es un llamado a la acción para todas las empresas en Chile. Las multas por incumplimiento son una realidad ineludible, y los casos internacionales demuestran que las autoridades están decididas a hacer cumplir la normativa. Sin embargo, más allá del temor a las penalizaciones, esta ley representa una oportunidad para fortalecer la relación con tus clientes, construir una reputación sólida y asegurar la sostenibilidad de tu negocio.

La prevención es, sin duda, la mejor inversión. Al adoptar un enfoque proactivo, implementar las medidas adecuadas y contar con asesoramiento experto, tu empresa no solo evitará riesgos financieros y legales, sino que también se posicionará como un referente en confianza y transparencia. Si quieres dar el primer paso, conversemos en un diagnóstico.

Preguntas frecuentes sobre multas y sanciones

¿Cuál es la multa máxima de la Ley 21.719?

Las infracciones gravísimas se sancionan con multa de hasta 20.000 UTM: esa es la multa base más alta. Solo en caso de reincidencia la multa puede triplicarse y alcanzar hasta 60.000 UTM. Para empresas que no son de menor tamaño, la reincidencia gravísima puede sancionarse alternativamente con hasta el 4% de los ingresos anuales por ventas y servicios en Chile.

¿Cómo se calcula el porcentaje sobre los ingresos?

El porcentaje se aplica únicamente a la reincidencia y solo a empresas que no califican como de menor tamaño según la Ley 20.416: 2% de los ingresos anuales por ventas y servicios en Chile para una reincidencia grave y 4% para una reincidencia gravísima. La base de cálculo son los ingresos en Chile, no la facturación global.

¿Qué significa reincidencia?

Hay reincidencia cuando el responsable comete una nueva infracción de la misma categoría dentro del plazo que fija la ley tras una sanción previa. La consecuencia es que la multa puede triplicarse respecto del tope de la categoría, llegando hasta 60.000 UTM en el caso de una infracción gravísima reincidente.

¿Atenúa la sanción contar con un Modelo de Prevención de Infracciones?

Sí. Contar con un Modelo de Prevención de Infracciones debidamente certificado opera como circunstancia atenuante al momento de determinar la sanción. Demuestra responsabilidad proactiva y diligencia, y puede reducir el monto de la multa.

¿Desde cuándo puede sancionar la Agencia?

La Ley 21.719 fue publicada el 13 de diciembre de 2024 y su cumplimiento es obligatorio desde el 1 de diciembre de 2026, tras un período de adecuación de 24 meses. Desde esa fecha la Agencia de Protección de Datos Personales podrá fiscalizar y aplicar multas.

¿Qué pasa si no notifico una brecha de seguridad?

No notificar una brecha a la Agencia sin dilaciones indebidas —y, cuando corresponde, a los titulares afectados— es una conducta sancionable que suele clasificarse como infracción grave o gravísima según el riesgo y el daño causado. Puede acarrear multas y sanciones accesorias como la suspensión temporal de las actividades de tratamiento.