Ley 21.719 entra en vigencia el 1 de diciembre de 2026. Prepara tu empresa →
Ley 21.719 · Protección de Datos

Ley 21.719 Chile: Guía completa de protección de datos personales para empresas (2026)

12 min de lectura Yourdevs SpA

Tienes hasta diciembre de 2026 para cumplir la Ley 21.719. Si no lo haces, las multas alcanzan $1.5 millones USD. La buena noticia: no es complicado si lo haces ahora. Esta guía te muestra exactamente qué debes hacer, a quién le aplica, cuánto cuesta, y cómo prepararte sin dañar tu negocio.

Hablar con un experto Ver servicio

Última actualización: 6 de mayo de 2026 · Vigencia: 1 de diciembre de 2026

01

¿Qué es la Ley 21.719 de protección de datos en Chile?

De la Ley 19.628 a la Ley 21.719

La vieja Ley 19.628 (1999) no cubría nube, SaaS, APIs ni IA. Era insuficiente para el Chile digital de 2026.

Llegó la Ley 21.719 en 2024. Entra en plena vigencia 1 de diciembre de 2026. Tienes 7 meses.

¿Llegaste buscando el reglamento? Publicamos una nota separada sobre el estado oficial del reglamento de la Ley 21.719 y sobre lo que conviene preparar antes de diciembre de 2026.

Una ley alineada con el estándar europeo

Se basó en GDPR (la ley europea). Si tus clientes o socios están en Europa, esto te simplifica: cumples con Ley 21.719 y GDPR al mismo tiempo.

Cumplir no es solo documentación: también necesitas seguridad técnica real (cifrado, accesos controlados, logs de auditoría).

Las tres novedades que más te importan: (1) Hay una Agencia que fiscaliza. (2) Las multas son altas. (3) Los clientes tienen derechos nuevos (borrar datos, portabilidad, recibir aviso de brechas).

4 conceptos que necesitas saber ahora

Dato Personal
Cualquier información que identifique o permita identificar a una persona natural. Nombre, RUT, correo, dirección IP, datos de geolocalización, hábitos de consumo.
Datos Sensibles
Categoría especial con protección reforzada: origen étnico, opiniones políticas, salud, vida sexual, datos biométricos, afiliación sindical, datos penales.
Responsable del Tratamiento
Empresa u organización que decide el propósito y los medios del tratamiento. Es quien asume la responsabilidad legal principal ante la Agencia y ante los titulares.
Encargado del Tratamiento
Quien trata datos por cuenta del responsable (ej.: proveedor SaaS, empresa de TI externa, call center). Debe haber un contrato de encargo que cumpla los requisitos legales.

8 reglas para tratar datos correctamente

Todos tus datos personales deben cumplir estos 8 principios:

  • Licitud: base legal válida (consentimiento, contrato, ley, interés legítimo).
  • Finalidad: los datos se recogen para fines determinados, explícitos y legítimos.
  • Proporcionalidad: solo los datos estrictamente necesarios para el fin.
  • Calidad: los datos deben ser exactos, completos y actualizados.
  • Responsabilidad proactiva: demostrar activamente el cumplimiento (accountability).
  • Seguridad: medidas técnicas y organizativas para proteger los datos.
  • Transparencia: informar a los titulares de manera clara y accesible.
  • Confidencialidad: quienes tratan datos están sujetos al deber de secreto.
02

¿A quién aplica la Ley 21.719?

Toda empresa que trate datos personales

Si tienes empleados, clientes o usuarios web en Chile: estás dentro. La ley aplica a TODAS las empresas que tratan datos de personas en Chile, sin excepción por tamaño.

¿Tu empresa es extranjera pero vende a clientes chilenos? También te aplica.

¿Cuán pequeña es muy pequeña? No existe tamaño mínimo. Desde una freelancer hasta Amazon: todos están bajo Ley 21.719.

El reloj ya está corriendo: cronología

Dic 2024
Promulgación de la Ley 21.719
La ley fue publicada en el Diario Oficial. Se inicia el período de adecuación de 24 meses.
2025
Constitución de la Agencia de Protección de Datos
La Agencia comienza a instalarse, dictar reglamentos e instrucciones. Las empresas deben seguir sus lineamientos desde su publicación.
Mar–Nov 2026
Ventana crítica de adecuación
Última oportunidad para implementar políticas, controles tecnológicos, capacitaciones y registros de actividades de tratamiento. Yourdevs puede acompañarte en este proceso.
1 Dic 2026
Vigencia plena — inicio de fiscalización
La Agencia puede iniciar investigaciones e imponer sanciones a partir de esta fecha. Incumplir ya no es una opción.
Dic 2026 – Dic 2027
Ventana de gracia para PYMEs
Durante los primeros 12 meses, las empresas de menor tamaño (según Ley 20.416) podrán recibir amonestaciones por escrito en lugar de multas. La amonestación queda registrada y puede considerarse en futuras fiscalizaciones.

Multas de la Ley 21.719 (Chile)

El régimen sancionatorio de la Ley 21.719 es significativamente más severo que el de la Ley 19.628. Las infracciones se clasifican en tres categorías, con multas en Unidades Tributarias Mensuales (UTM):

Categoría Multa máxima Ejemplos de infracción
Leve Hasta 5.000 UTM (~$370 millones CLP) No informar adecuadamente a los titulares, falta de política de privacidad, incumplimientos formales del registro de actividades.
Grave Hasta 10.000 UTM (~$740 millones CLP) Tratar datos sin base legal, no atender derechos de los titulares, transferir datos internacionalmente sin garantías adecuadas.
Gravísima Hasta 20.000 UTM (~$1.480 millones CLP) Tratar datos sensibles sin autorización, vulneración de seguridad con daño grave, reincidencia en infracción grave.

Nota: los valores en pesos son referenciales basados en el valor UTM a marzo de 2026. Los montos exactos dependen del valor UTM vigente al momento de la infracción.

Ventana de gracia para PYMEs (Artículo sexto transitorio). Durante los primeros 12 meses desde la entrada en vigencia (1 dic 2026 – 1 dic 2027), las empresas de menor tamaño según la Ley 20.416 podrán recibir amonestaciones por escrito en lugar de multas. La amonestación señalará la gravedad de la infracción, la conducta infractora y las circunstancias atenuantes o agravantes. Esta amonestación queda sujeta al deber de registro (artículo 39), por lo que no es un "pase libre": el incumplimiento queda documentado y puede considerarse en futuras fiscalizaciones.

Multiplicador por reincidencia. Si una empresa infringe la ley y vuelve a infringirla dentro de los 5 años siguientes, la multa original puede triplicarse o aplicarse el 2% a 4% de los ingresos anuales del infractor —lo que resulte mayor. En la práctica: una empresa con $1.000 millones CLP de ingresos anuales enfrentaría entre $20 y $40 millones CLP por una infracción grave reincidente, antes de considerar si el tope de UTM resulta aún más alto.

Más allá de la multa: el riesgo reputacional

La Agencia puede publicar sus resoluciones sancionatorias. Una multa de millones de pesos es un impacto financiero; el daño a la reputación frente a clientes, proveedores y empleados puede ser aún mayor. Las empresas que demuestren una cultura de cumplimiento proactivo tendrán ventaja competitiva en licitaciones y relaciones B2B.

02B

Las 5 obligaciones concretas que exige la Ley 21.719

La Agencia no te pide que conozcas la ley: te pide que hagas 5 cosas concretas.

01
Registro de Actividades de Tratamiento (RAT)

El RAT es el inventario formal de todos los tratamientos de datos que realiza tu empresa. No es una lista de sistemas: es un documento estructurado que, por cada tratamiento, debe indicar:

  • Categorías de datos personales tratados y de titulares involucrados
  • Finalidad del tratamiento y base legal que lo legitima
  • Destinatarios o categorías de destinatarios (incluyendo transferencias internacionales)
  • Plazos de conservación o criterios para determinarlos
  • Descripción general de las medidas de seguridad aplicadas
  • Identificación del responsable, del encargado si aplica, y del Delegado de Protección de Datos

El RAT debe mantenerse actualizado y estar disponible para la Agencia cuando lo solicite. Es la primera cosa que un fiscalizador pedirá.

02
Base de licitud para cada tratamiento

La ley establece seis bases legales que legitiman el tratamiento de datos. Tratar datos sin ninguna de estas bases es una infracción grave. Las seis bases son:

  • Consentimiento: libre, específico, informado e inequívoco. Debe poder revocarse.
  • Contrato: el tratamiento es necesario para ejecutar un contrato con el titular.
  • Obligación legal: una ley o reglamento chileno exige el tratamiento.
  • Interés vital: proteger la vida o integridad física del titular u otra persona.
  • Interés público: misiones de interés público o ejercicio de poderes públicos.
  • Interés legítimo: el responsable o un tercero tiene un interés legítimo que no perjudica los derechos del titular.
03
Mecanismos ARCO+: derechos de los titulares en 30 días

La ley reconoce a los titulares un conjunto de derechos que en Chile se denominan ARCO+: Acceso, Rectificación, Cancelación (supresión), Oposición, Portabilidad y Bloqueo. Tu empresa debe tener un canal habilitado para recibir estas solicitudes y un proceso interno para resolverlas dentro del plazo legal de 30 días corridos (prorrogables por otros 30 en casos justificados).

Operacionalizarlo implica: (1) definir quién recibe y tramita las solicitudes, (2) documentar el flujo de aprobación interno, (3) tener la capacidad técnica de efectivamente suprimir, exportar o corregir datos en todos los sistemas donde residen, incluidos los SaaS de terceros.

04
DPIA: Evaluación de Impacto en Privacidad

La Evaluación de Impacto en Privacidad (DPIA) es obligatoria cuando el tratamiento proyectado conlleva un alto riesgo para los titulares. La ley señala que esto aplica, entre otros casos, a:

  • Tratamiento a gran escala de datos sensibles (salud, biométricos, penales)
  • Evaluación sistemática de personas basada en perfilamiento automatizado
  • Videovigilancia masiva en espacios de acceso público
  • Tratamientos que combinen fuentes de datos de manera que amplíen significativamente el riesgo
05
Gestión de incidentes: 72 horas para notificar

Cuando ocurra una vulneración de seguridad que afecte datos personales (brecha, acceso no autorizado, pérdida, destrucción), la Ley 21.719 exige notificar a la Agencia de Protección de Datos dentro de las 72 horas desde que el responsable tenga conocimiento del incidente.

Si la vulneración entraña un riesgo alto para los derechos de los titulares, también hay que notificar a los propios titulares afectados sin dilación indebida. Tener un procedimiento documentado y probado antes de que ocurra el incidente es la única manera de cumplir ese plazo bajo presión.

03

¿Cómo cumples? La parte técnica

Necesitas controles técnicos reales: cifrado, logs, accesos controlados. Microsoft 365 y Azure tienen todo listo nativamente.

Herramientas Microsoft para el cumplimiento

Microsoft Purview Data Map Inventario
Descubre y clasifica automáticamente los datos personales que residen en OneDrive, SharePoint, Exchange y bases de datos Azure SQL. Imprescindible para el Registro de Actividades de Tratamiento exigido por la ley.
Microsoft Purview Information Protection Clasificación
Etiqueta y cifra documentos según su nivel de sensibilidad (Público, Confidencial, Altamente Confidencial). Las etiquetas siguen al archivo donde quiera que vaya: correo, Teams, USB.
Microsoft Purview DLP Prevención de pérdida
Detecta y bloquea la salida no autorizada de datos personales por correo electrónico, Teams, SharePoint o la impresora. Las políticas de DLP pueden configurarse para cumplir la Ley 21.719 usando plantillas de Chile.
Microsoft Entra ID Control de acceso
Implementa autenticación multifactor (MFA), acceso condicional y gestión de identidades privilegiadas. Reduce drásticamente el riesgo de accesos no autorizados a datos personales.
Microsoft Intune Dispositivos
Gestión MDM/MAM que permite aplicar políticas de seguridad en computadores y celulares corporativos y BYOD: cifrado de disco, bloqueo remoto, borrado de datos en dispositivos robados.
Microsoft Purview Audit Trazabilidad
Registra quién accedió, modificó o eliminó datos personales y cuándo. Los logs de auditoría son evidencia clave ante la Agencia en caso de investigación o brecha de seguridad.
Microsoft Defender for Business Seguridad de endpoints
Protección antimalware, detección de amenazas y respuesta automatizada en todos los dispositivos. Ayuda a cumplir el principio de seguridad de la ley y a notificar brechas dentro del plazo exigido.
Compliance Manager Evaluación continua
Panel centralizado en Microsoft Purview que evalúa tu postura de cumplimiento frente a marcos regulatorios (incluida la normativa chilena) y genera planes de acción priorizados.

Antes del 1 de diciembre de 2026 conviene medir tu brecha real. Usa nuestro diagnóstico para identificar si hoy te faltan políticas, registro de tratamientos, controles DLP, trazabilidad o gestión de incidentes bajo la Ley 21.719.

Abrir diagnóstico Ver servicio
03B

¿Tu empresa usa SaaS internacional? Eso es una transferencia de datos

Guardar datos de tus clientes en Salesforce, HubSpot o Google Workspace en el extranjero: eso cuenta como "transferencia internacional". Debe estar documentada y cumplida.

Esto incluye a las herramientas más comunes en el mercado empresarial chileno:

HubSpot
Salesforce
AWS
Google Workspace
Notion
Slack
Mailchimp
Zendesk
Monday.com
Dropbox
Pipedrive
Intercom

¿Qué exige la ley para estas transferencias?

¿Qué necesitas? Un contrato de protección de datos con el proveedor. Sin contrato = infracción grave. Es lo más básico.

En la práctica, la mayoría de los grandes proveedores SaaS (AWS, Google, Microsoft, Salesforce, HubSpot) tiene disponibles Acuerdos de Procesamiento de Datos (DPA) que deben ser suscritos activamente por tu empresa —no basta con aceptar sus términos de uso generales.

Cómo auditar tu stack SaaS

Paso 1 Inventario
Levanta un listado de todos los SaaS que usa tu empresa. Incluye herramientas de marketing, ventas, RRHH, soporte, finanzas y productividad. Pregunta también por las que usan las distintas áreas sin pasar por TI (shadow IT).
Paso 2 Clasificación
Para cada SaaS, determina si procesa datos personales y de qué tipo. Un sistema de gestión de proyectos sin datos de clientes tiene menor riesgo que un CRM con historial completo de interacciones.
Paso 3 Contratos
Verifica si tienes suscrito el DPA del proveedor. Si no, solicitarlo y firmarlo es el paso mínimo. Revisa dónde se alojan los datos (región) y si el proveedor tiene certificaciones de seguridad relevantes (ISO 27001, SOC 2).
Paso 4 RAT y DPIA
Incorpora cada SaaS al Registro de Actividades de Tratamiento como tratamiento externo. Si el volumen o la sensibilidad lo justifican, realiza un DPIA antes de continuar usando la herramienta o antes de contratar una nueva.
Lo que vemos en diagnósticos — Equipo Yourdevs

En los diagnósticos de cumplimiento que hemos realizado, la brecha más frecuente no es la política de privacidad del sitio web —esa casi siempre existe, aunque sea genérica. El problema recurrente es la ausencia total de contratos de encargo del tratamiento con los proveedores SaaS. Empresas que llevan años usando HubSpot para sus contactos, Mailchimp para sus campañas o Notion para documentos internos con datos de clientes, y nunca han suscrito el DPA del proveedor ni revisado en qué región se alojan esos datos. Bajo la Ley 21.719, eso es una transferencia internacional sin garantías: infracción grave desde el día uno de vigencia.

04

Casos de mayor impacto de la Ley 21.719

La ley aplica a todos, pero algunos sectores están en mayor riesgo: salud, finanzas, retail, educación.

Salud
Clínicas, consultas médicas, farmacias y laboratorios tratan datos de salud, categoría sensible con restricciones reforzadas. La notificación de brechas es obligatoria y los plazos son estrictos. Alta prioridad de cumplimiento.
Retail y e-commerce
Bases de clientes masivas, perfiles de compra, datos de geolocalización y medios de pago. El marketing por correo y SMS requiere una base legal sólida; en varios casos el interés legítimo puede aplicar con las debidas salvaguardas. El derecho de supresión ("derecho al olvido") impacta los CRM, aunque existen excepciones legales (obligaciones tributarias, contractuales) que pueden impedir la eliminación total.
Servicios financieros
Bancos, cajas de compensación, corredoras y fintechs ya operan bajo regulación SBIF/CMF, pero la Ley 21.719 agrega una capa de cumplimiento cruzado. Las transferencias internacionales de datos hacia casas matrices requieren análisis de adecuación.
Recursos Humanos
Toda empresa tiene empleados cuyos datos personales (remuneraciones, afiliaciones, evaluaciones de desempeño) son tratados cotidianamente. Los sistemas de nómina y control de asistencia biométrico deben cumplir la ley.
Educación
Colegios, universidades e institutos manejan datos de menores de edad, donde se requiere el consentimiento de padres o representantes legales. También historial académico, datos de apoderados y resultados de evaluaciones. Las plataformas EdTech externas deben ser evaluadas como encargados del tratamiento.
Marketing digital
Agencias y empresas con estrategias de inbound marketing, remarketing o lead scoring procesan grandes volúmenes de datos de comportamiento en línea. Las cookies, los píxeles de seguimiento y el uso de datos de terceros (third-party data) quedan bajo escrutinio directo de la nueva ley.

Importante: que tu sector no aparezca en esta lista no significa que estés exento. Cualquier empresa con una base de datos de clientes, un sistema de gestión de RRHH o una tienda online trata datos personales y está sujeta a la Ley 21.719.

Datos de referencia verificados

Elemento Detalle Fuente
Nombre de la ley Ley 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales Diario Oficial de Chile →
Vigencia plena 1 de diciembre de 2026 (24 meses desde promulgación) Artículo transitorio Ley 21.719
Multa máxima 20.000 UTM (infracciones gravísimas) Ley 21.719, artículo sobre régimen sancionatorio
Ente fiscalizador Agencia de Protección de Datos Personales (autonomía constitucional) Ley 21.719
Base legal del GDPR Reglamento (UE) 2016/679 — inspiración declarada del legislador chileno Historia de la Ley 21.719, mensaje presidencial
Derechos ARCO+ Acceso, Rectificación, Cancelación (supresión), Oposición, Portabilidad, Bloqueo. Plazo de respuesta: 30 días corridos prorrogables Ley 21.719, Capítulo de Derechos del Titular
Plazo notificación de brechas 72 horas desde que el responsable tenga conocimiento de la vulneración Ley 21.719, artículo sobre medidas de seguridad
Ventana de gracia PYMEs 12 meses (dic 2026 – dic 2027). La Agencia podrá aplicar amonestaciones por escrito en lugar de multas a empresas de menor tamaño Ley 21.719, Artículo sexto transitorio

Contenido relacionado

Servicio

Privacidad y Protección de Datos

Artículos del blog

¿Tu empresa está preparada para la Ley 21.719?

En Yourdevs acompañamos a empresas chilenas en la implementación tecnológica del cumplimiento: diagnóstico de madurez, configuración de Microsoft 365 y Purview, documentación legal-técnica y capacitación al equipo.

Hablar con un experto Ver servicio
← Volver al Blog
Ver estado del reglamento Ley 21.719 Ir al diagnóstico Ley 21.719 Ver servicio de protección de datos Ver consultoría ISO 27001 Ver desarrollo de software Ver ciberseguridad para empresas Ver auditoría de seguridad cloud Ver pentesting y ethical hacking
WhatsApp

¿Tienes un minuto?

Nos gustaría saber tu opinión.

Responder encuesta