Ley 21.719 en Chile: qué cambia y cómo prepararte (vigencia diciembre 2026)
La Ley N° 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026 (texto oficial — Biblioteca del Congreso Nacional). Para muchas empresas chilenas esto significa que tienen poco más de seis meses (al momento de escribir este artículo) para adaptar políticas, procesos, contratos y, sobre todo, el software que día a día maneja datos de clientes, empleados y proveedores.
Esta no es una actualización menor. Es un cambio de paradigma equivalente al que vivió Europa con el RGPD en 2018: deja atrás la lógica de los años noventa que tenía la Ley 19.628 sobre Protección de la Vida Privada y nos pone en línea con los estándares internacionales modernos. Multas que pueden superar los $1.400 millones de pesos, una nueva Agencia de Protección de Datos Personales con poderes reales y la obligación de notificar brechas en 72 horas. Quien siga improvisando se va a estrellar.
De la Ley 19.628 a la Ley 21.719: el salto que se viene
La Ley 19.628 sobre Protección de la Vida Privada rigió Chile por más de 25 años y, en términos prácticos, hace mucho que no protege a nadie. Tres limitaciones críticas obligaron a su reemplazo:
- No tenía autoridad de control: cualquier reclamo debía judicializarse, lo que era prohibitivamente caro y lento.
- Las multas eran simbólicas: en muchos casos menos costosas que cumplir.
- No exigía estándares técnicos: cualquier empresa podía decir "protegemos tus datos" sin justificar cómo.
La Ley 21.719 corrige estos tres puntos: crea la Agencia de Protección de Datos Personales, eleva las multas hasta 20.000 UTM y obliga a aplicar principios concretos como privacidad por diseño, minimización y rendición de cuentas demostrable.
Los nuevos principios que rigen el tratamiento
La ley enumera principios que dejan de ser declaraciones de buenas intenciones y pasan a ser exigibles judicialmente. Los más relevantes desde el punto de vista del software:
Rendición de cuentas (accountability)
Ya no basta con decir que cumples: tienes que demostrarlo. La empresa debe mantener un registro de actividades de tratamiento, documentar evaluaciones de impacto cuando corresponda y poder acreditar ante la Agencia las medidas técnicas y organizativas aplicadas. En la práctica, esto significa: documentación viva, contratos con encargados, logs de estrategia y políticas internas firmadas por el responsable.
Privacidad por diseño y por defecto
Cuando se diseña un nuevo sistema, la privacidad debe estar integrada desde la arquitectura, no añadida como un parche al final. Por defecto, deben aplicarse las opciones más protectoras posibles, sin requerir acción del titular. En el software, esto se traduce en: cifrado obligatorio en reposo y tránsito, anonimización por defecto en analítica, pseudonimización en bases de prueba y permisos mínimos por rol.
Minimización de datos
Solo puedes recolectar y tratar los datos que sean estrictamente necesarios para la finalidad declarada. Si tu formulario pide la fecha de nacimiento pero solo necesitas confirmar mayoría de edad, estás incumpliendo. Si tu CRM guarda el RUT del cónyuge del contacto sin justificación, también.
Calidad de los datos
Los datos tratados deben ser exactos, actualizados y pertinentes. Esto crea una obligación operativa real: procesos para que el titular pueda corregir, depurar bases obsoletas y bloquear información manifiestamente errónea.
Bases legales explícitas para tratar datos
La Ley 21.719 inspirándose claramente en el RGPD europeo enumera seis bases legales en las que puedes apoyarte para tratar datos personales. Sin una de ellas, el tratamiento es ilegal:
- Consentimiento libre, específico, informado e inequívoco del titular.
- Ejecución de un contrato o medidas precontractuales solicitadas por el titular.
- Cumplimiento de una obligación legal del responsable (facturación, retenciones, contabilidad).
- Protección de intereses vitales del titular o de otra persona física.
- Misión de interés público o ejercicio de autoridad pública.
- Interés legítimo del responsable, siempre que no prevalezcan derechos del titular (test de ponderación).
Para cada flujo de tratamiento en tu empresa deberás poder identificar y documentar cuál de estas bases aplica. Un CRM, por ejemplo, normalmente combinará consentimiento (newsletter), ejecución de contrato (gestión de cliente activo) e interés legítimo (analítica de embudo).
Derechos ARCO+ ampliados
Los titulares ganan derechos nuevos respecto a la Ley 19.628. El conjunto ahora se conoce como ARCO+:
- Acceso: saber qué datos tuyos tiene la empresa y cómo los trata.
- Rectificación: corregir datos inexactos o desactualizados.
- Cancelación / Supresión: solicitar borrado, salvo obligación legal de conservación.
- Oposición: oponerse a tratamientos específicos por motivos legítimos.
- Portabilidad: recibir los datos en formato estructurado y comúnmente usado (típicamente JSON o CSV) para transferirlos a otro responsable.
- Bloqueo: suspender temporalmente el tratamiento sin necesidad de eliminar.
El plazo máximo para responder es de 15 a 30 días hábiles según el derecho. Cualquier empresa con clientes activos debe implementar un canal claro, automatizado en lo posible y trazable, para recibir y resolver estas solicitudes.
Multas y sanciones
Esta es la sección que despierta a los gerentes generales. La Ley 21.719 clasifica las infracciones en tres niveles, con multas calculadas en UTM (Unidad Tributaria Mensual). A mayo de 2026, 1 UTM equivale a $70.588 CLP (Gobierno de Chile — Valores UTM 2026):
| Categoría | Multa máxima | Equivalente CLP aprox. (UTM may 2026) | Ejemplo típico |
|---|---|---|---|
| Leve | Hasta 5.000 UTM | ~$353 millones | No mantener registro de actividades de tratamiento |
| Grave | Hasta 10.000 UTM (o hasta 2% de ingresos anuales) | ~$706 millones | Tratamiento sin base legal, falta de medidas de seguridad razonables |
| Gravísima | Hasta 20.000 UTM (o hasta 4% de ingresos anuales) | ~$1.412 millones | Brechas con afectación masiva, tratamiento ilícito de datos sensibles |
Para las infracciones graves y gravísimas, la Agencia puede aplicar multas de hasta el 2% o 4% de los ingresos anuales por venta y servicios en Chile, según la gravedad (sin perjuicio del tope en UTM). Es el mecanismo de "techo proporcional" que pega fuerte en compañías grandes. El valor exacto de la UTM se actualiza mes a mes según IPC; verificar el valor vigente al calcular cualquier multa específica.
¿Necesitas Delegado de Protección de Datos (DPO)?
La figura del Delegado de Protección de Datos es obligatoria en ciertos casos específicos:
- Organismos y servicios públicos.
- Empresas cuyo giro principal implique tratamiento masivo o sistemático de datos personales (telcos, bancos, retail, plataformas digitales).
- Empresas que traten datos sensibles a gran escala (salud, biometría, datos genéticos, ideología, vida sexual).
El DPO puede ser interno o externalizado, debe tener autonomía funcional y reportar directamente a la alta dirección. No requiere ser abogado, pero sí conocimiento sólido de derecho de datos y seguridad de la información.
Notificación de brechas: 72 horas
Cuando ocurre un incidente que afecta a datos personales (acceso no autorizado, exfiltración, pérdida, alteración), el responsable debe notificar a la Agencia sin demora indebida, idealmente dentro de 72 horas de tomar conocimiento (art. 14 quáter, Ley 21.719). La notificación debe incluir:
- Naturaleza de la brecha y categorías de datos afectados.
- Número aproximado de titulares afectados.
- Consecuencias probables.
- Medidas adoptadas o propuestas para mitigar el daño.
Si la brecha implica alto riesgo para los derechos de los titulares, además se les debe comunicar directamente sin demora indebida. Esto exige tener procedimientos internos pre-armados, no improvisados en el momento.
Checklist técnico para preparar tu software
Esta es la lista mínima viable que recomendamos en sintesia.cl para que cualquier ERP, CRM o aplicación web esté en línea con la Ley 21.719. Si construyes desde cero, son requisitos de diseño. Si tienes un sistema legacy, son tareas de adaptación urgentes:
- Registro de actividades de tratamiento: documento vivo con cada flujo, finalidad, base legal, categorías de datos, plazo de conservación y destinatarios.
- Política de privacidad pública actualizada con los nuevos derechos, bases legales y datos de contacto del DPO si aplica.
- Formulario o canal de ejercicio de derechos ARCO+, idealmente con flujo automatizado en la aplicación que registre solicitud, plazo y respuesta.
- Audit logs (bitácoras de estrategia): quién accedió a qué dato personal, cuándo y desde dónde. Retenidos al menos 12 meses.
- Cifrado en tránsito (TLS 1.2+) y en reposo de la base de datos. En PostgreSQL/Supabase se logra con pgcrypto o cifrado a nivel de disco.
- Política de retención automatizada: jobs programados que eliminen o anonimicen datos pasado el plazo declarado.
- Pseudonimización en ambientes de QA, staging y bases de respaldo.
- Control de acceso por rol (RBAC) y principio de mínimo privilegio: nadie ve más datos de los necesarios.
- Autenticación de dos factores (2FA) en accesos administrativos, mínimo.
- Procedimiento documentado de notificación de brechas con plantillas, contactos y responsables claros.
- Contratos con encargados de tratamiento (proveedores cloud, SaaS, hosting) revisados y firmados con cláusulas de la Ley 21.719.
- Exportación de datos del titular en formato JSON o CSV (cumplimiento de portabilidad), accesible idealmente vía botón en el perfil del usuario.
No esperes a diciembre 2026: adaptar un software ya en producción a la Ley 21.719 suele ser bastante más caro que diseñarlo correctamente desde el primer día. Cada refactor de cifrado, cada esquema de logs añadido tardíamente y cada migración de datos para anonimizar registros antiguos se acumulan. El momento ideal para revisar es ahora.
La nueva Agencia de Protección de Datos Personales
La Agencia de Protección de Datos Personales (APDP) es la novedad institucional más relevante (Título VII, Ley 21.719). Será una corporación autónoma de derecho público, con personalidad jurídica propia y descentralizada. Sus principales atribuciones:
- Fiscalizar y sancionar incumplimientos, con potestad de aplicar las multas descritas.
- Recibir denuncias y reclamos de titulares afectados.
- Dictar normativa técnica complementaria que detallará muchos puntos que la ley deja abiertos.
- Mantener registros públicos de empresas, DPOs y modelos de cláusulas contractuales tipo.
- Cooperar con autoridades equivalentes de otros países (Unión Europea, ICO británica, INAI mexicano, AEPD española).
Una vez en funciones, la Agencia probablemente emitirá guías sectoriales (salud, fintech, retail, educación) que detallarán cómo cumplir en cada vertical específico.
Cómo empezar hoy: tres pasos concretos
Si lideras tecnología, operaciones o legal en una empresa chilena, recomendamos partir esta semana con tres acciones:
- Inventario de datos personales: lista todas las bases de datos, hojas de cálculo, CRMs, ERPs, herramientas SaaS y backups donde haya datos de personas naturales. Sin saber qué tienes, no puedes proteger nada.
- Mapeo de bases legales por flujo: para cada uso identificado, define con cuál de las seis bases legales lo justificas. Esto destapará qué tratamientos quedan sin sustento y requieren consentimiento o ajuste.
- Plan de adaptación técnica priorizado: con el inventario y mapeo en mano, define qué cambios al software son críticos (cifrado, logs, ARCO) y planifica un sprint dedicado en los próximos meses.
En sintesia.cl construimos plataformas con cumplimiento integrado desde el día uno: cifrado, audit logs, políticas RLS a nivel base de datos y formularios ARCO automatizados son parte estándar del entregable. Si tu stack se apoya en Supabase y PostgreSQL como solemos recomendar para empresas chilenas, muchos de estos requisitos se cubren con configuración nativa. Y si estás integrando además sistemas tributarios (DTE, retenciones), recuerda que los datos tributarios también están sujetos a la Ley 21.719: no son una excepción al deber de protección.
La Ley 21.719 no es una amenaza, es una oportunidad para profesionalizar la operación. Las empresas que lleguen a diciembre de 2026 con la casa ordenada generarán confianza, evitarán multas y, lo más importante, podrán mirar a la cara a sus clientes diciendo con verdad que sus datos están bien tratados.
Fuentes oficiales
- Ley 21.719 — texto oficial, Biblioteca del Congreso Nacional
- Ley 19.628 sobre Protección de la Vida Privada — BCN
- Gobierno de Chile — Valor UTM mensual 2026
- Secretaría de Gobierno Digital — Guía práctica de implementación de la nueva Ley de Datos Personales
- Diario Oficial de la República de Chile (publicación 13-dic-2024)
- Reglamento General de Protección de Datos (RGPD/GDPR) — referencia comparada
Nota: las normativas chilenas pueden actualizarse y la Agencia de Protección de Datos Personales dictará normativa técnica complementaria una vez en funciones. Verificadas al 26 de mayo de 2026 desde fuentes oficiales del Estado de Chile. Este artículo no constituye asesoría legal; para casos específicos consulte a un abogado especializado en protección de datos.
¿Tu software estará listo para diciembre 2026?
Hacemos estrategia legal-técnica de tu sistema actual y entregamos un plan priorizado para cumplir con la Ley 21.719 sin pánico ni multas.
Agendar Sesión Estratégica