¿Qué es la Ley 21.719 de protección de datos en Chile?

La Ley 21.719 es la nueva Ley de Protección de Datos Personales de Chile, promulgada en 2024. Reemplaza la Ley 19.628 y establece obligaciones concretas para cualquier empresa o persona que trate datos personales: bases legales de tratamiento, derechos de los titulares (acceso, rectificación, cancelación, oposición y portabilidad), requisitos de seguridad y un régimen sancionatorio con multas de hasta 20.000 UTM.

¿A qué empresas afecta la Ley 21.719?

A todas las empresas que traten datos personales de personas naturales en Chile, independientemente de su tamaño. Esto incluye pymes, grandes empresas y organismos públicos. No existe un umbral de tamaño que excluya a las empresas pequeñas.

¿Cuándo entra en vigencia la Ley 21.719?

La Ley 21.719 fue promulgada en 2024 y entra en plena vigencia el 1 de diciembre de 2026. A partir de esa fecha la Agencia de Protección de Datos Personales puede iniciar fiscalizaciones y aplicar sanciones.

¿Cuáles son las multas de la Ley 21.719?

Las infracciones se clasifican en leves (hasta 1.000 UTM), graves (hasta 5.000 UTM) y gravísimas (hasta 20.000 UTM). En caso de reincidencia dentro de los 5 años siguientes, la multa puede triplicarse o aplicarse el 2-4% de los ingresos anuales del infractor, lo que sea mayor. Con la UTM a valores de 2026, el tope máximo para infracciones gravísimas equivale a aproximadamente $1.480 millones de pesos.

¿Cómo puede cumplir mi empresa con la Ley 21.719?

El punto de partida es un diagnóstico de qué datos personales trata tu empresa y bajo qué base legal. Luego corresponde elaborar un registro de tratamiento, actualizar avisos de privacidad, definir mecanismos para atender derechos de los titulares, revisar contratos con proveedores que acceden a datos y establecer medidas de seguridad. Yourdevs acompaña este proceso desde el diagnóstico inicial hasta la implementación técnica y documental.

Ley 21.719 Chile 2026: 7 Pasos para Cumplir Antes del 1 de Diciembre

¿Qué es la Ley de Protección de Datos Personales?

De la Ley 19.628 a la Ley 21.719

Chile contaba desde 1999 con la Ley 19.628 sobre protección de datos personales. Sin embargo, el panorama digital cambió radicalmente en las últimas décadas: la nube, el comercio electrónico, las redes sociales y la inteligencia artificial generan y circulan volúmenes de datos personales impensables hace 25 años. La Ley 19.628 quedó obsoleta.

En 2024 se promulgó la Ley 21.719, que reemplaza y deroga la normativa anterior. Su entrada en vigencia plena está fijada para el 1 de diciembre de 2026, dando un período de adecuación a empresas, organismos públicos y toda entidad que trate datos personales.

¿Llegaste buscando el reglamento? Publicamos una nota separada sobre el estado oficial del reglamento de la Ley 21.719 y sobre lo que conviene preparar antes de diciembre de 2026.

Una ley alineada con el estándar europeo

La nueva ley se inspira directamente en el Reglamento General de Protección de Datos de la Unión Europea (GDPR). Esto no es casual: Chile busca el reconocimiento de adecuación de la UE, lo que facilita la transferencia internacional de datos con empresas europeas. Para las empresas chilenas con operaciones o clientes en Europa, el cumplimiento se vuelve aún más estratégico.

Para muchas empresas, cumplir no depende solo de políticas o contratos: también depende de cómo están construidos los formularios, portales, integraciones y controles de acceso. Si procesas datos personales en sistemas propios o flujos internos, el cumplimiento suele cruzarse con desarrollo de software a medida y con una base mínima de ciberseguridad para empresas.

Entre las novedades más relevantes destacan: la creación de la Agencia de Protección de Datos Personales como entidad fiscalizadora autónoma, un régimen sancionatorio con dientes reales, y nuevos derechos para los titulares de datos (portabilidad, supresión reforzada, oposición).

Conceptos clave que todo empresario debe conocer

Dato Personal

Cualquier información que identifique o permita identificar a una persona natural. Nombre, RUT, correo, dirección IP, datos de geolocalización, hábitos de consumo.

Datos Sensibles

Categoría especial con protección reforzada: origen étnico, opiniones políticas, salud, vida sexual, datos biométricos, afiliación sindical, datos penales.

Responsable del Tratamiento

Empresa u organización que decide el propósito y los medios del tratamiento. Es quien asume la responsabilidad legal principal ante la Agencia y ante los titulares.

Encargado del Tratamiento

Quien trata datos por cuenta del responsable (ej.: proveedor SaaS, empresa de TI externa, call center). Debe haber un contrato de encargo que cumpla los requisitos legales.

Los ocho principios rectores

Todo tratamiento de datos personales debe regirse por estos principios que la ley establece expresamente:

Licitud: base legal válida (consentimiento, contrato, ley, interés legítimo).
Finalidad: los datos se recogen para fines determinados, explícitos y legítimos.
Proporcionalidad: solo los datos estrictamente necesarios para el fin.
Calidad: los datos deben ser exactos, completos y actualizados.
Responsabilidad proactiva: demostrar activamente el cumplimiento (accountability).
Seguridad: medidas técnicas y organizativas para proteger los datos.
Transparencia: informar a los titulares de manera clara y accesible.
Confidencialidad: quienes tratan datos están sujetos al deber de secreto.

¿A quiénes afecta y por qué actuar ahora?

Toda empresa que trate datos personales

La ley aplica a cualquier persona natural o jurídica, de derecho público o privado, que realice tratamiento de datos personales. Si tu empresa tiene trabajadores, clientes, proveedores o visitantes web en Chile, tratas datos personales y estás dentro del ámbito de aplicación de la Ley 21.719.

No existe umbral de tamaño: la ley alcanza desde microempresas hasta grandes corporaciones. Lo que varía es la intensidad de las obligaciones según el volumen y la naturaleza de los datos tratados (por ejemplo, la designación de Delegado de Protección de Datos es obligatoria solo para ciertos responsables).

El reloj ya está corriendo: cronología

Dic 2024

Promulgación de la Ley 21.719

La ley fue publicada en el Diario Oficial. Se inicia el período de adecuación de 24 meses.

2025

Constitución de la Agencia de Protección de Datos

La Agencia comienza a instalarse, dictar reglamentos e instrucciones. Las empresas deben seguir sus lineamientos desde su publicación.

Mar–Nov 2026

Ventana crítica de adecuación

Última oportunidad para implementar políticas, controles tecnológicos, capacitaciones y registros de actividades de tratamiento. Yourdevs puede acompañarte en este proceso.

1 Dic 2026

Vigencia plena — inicio de fiscalización

La Agencia puede iniciar investigaciones e imponer sanciones a partir de esta fecha. Incumplir ya no es una opción.

Las sanciones: un esquema con dientes reales

El régimen sancionatorio de la Ley 21.719 es significativamente más severo que el de la Ley 19.628. Las infracciones se clasifican en tres categorías, con multas en Unidades Tributarias Mensuales (UTM):

Categoría	Multa máxima	Ejemplos de infracción
Leve	Hasta 1.000 UTM (~$74 millones CLP)	No informar adecuadamente a los titulares, falta de política de privacidad, incumplimientos formales del registro de actividades.
Grave	Hasta 5.000 UTM (~$370 millones CLP)	Tratar datos sin base legal, no atender derechos de los titulares, transferir datos internacionalmente sin garantías adecuadas.
Gravísima	Hasta 20.000 UTM (~$1.480 millones CLP)	Tratar datos sensibles sin autorización, vulneración de seguridad con daño grave, reincidencia en infracción grave.

Nota: los valores en pesos son referenciales basados en el valor UTM a marzo de 2026. Los montos exactos dependen del valor UTM vigente al momento de la infracción.

Multiplicador por reincidencia. Si una empresa infringe la ley y vuelve a infringirla dentro de los 5 años siguientes, la multa original puede triplicarse o aplicarse el 2% a 4% de los ingresos anuales del infractor —lo que resulte mayor. En la práctica: una empresa con $1.000 millones CLP de ingresos anuales enfrentaría entre $20 y $40 millones CLP por una infracción grave reincidente, antes de considerar si el tope de UTM resulta aún más alto. El incentivo para corregir a la primera es claro.

Más allá de la multa: el riesgo reputacional

La Agencia puede publicar sus resoluciones sancionatorias. Una multa de millones de pesos es un impacto financiero; el daño a la reputación frente a clientes, proveedores y empleados puede ser aún mayor. Las empresas que demuestren una cultura de cumplimiento proactivo tendrán ventaja competitiva en licitaciones y relaciones B2B.

02B

Las 5 obligaciones concretas que exige la Ley 21.719

Saber que la ley existe no es suficiente. Lo que la Agencia de Protección de Datos va a evaluar es si tu empresa tiene implementaciones concretas. Estas son las cinco obligaciones operativas que toda empresa debe poder demostrar:

El RAT es el inventario formal de todos los tratamientos de datos que realiza tu empresa. No es una lista de sistemas: es un documento estructurado que, por cada tratamiento, debe indicar:

Categorías de datos personales tratados y de titulares involucrados
Finalidad del tratamiento y base legal que lo legitima
Destinatarios o categorías de destinatarios (incluyendo transferencias internacionales)
Plazos de conservación o criterios para determinarlos
Descripción general de las medidas de seguridad aplicadas
Identificación del responsable, del encargado si aplica, y del Delegado de Protección de Datos

El RAT debe mantenerse actualizado y estar disponible para la Agencia cuando lo solicite. Es la primera cosa que un fiscalizador pedirá.

La ley establece seis bases legales que legitiman el tratamiento de datos. Tratar datos sin ninguna de estas bases es una infracción grave. Las seis bases son:

Consentimiento: libre, específico, informado e inequívoco. Debe poder revocarse.
Contrato: el tratamiento es necesario para ejecutar un contrato con el titular.
Obligación legal: una ley o reglamento chileno exige el tratamiento.
Interés vital: proteger la vida o integridad física del titular u otra persona.
Interés público: misiones de interés público o ejercicio de poderes públicos.
Interés legítimo: el responsable o un tercero tiene un interés legítimo que no perjudica los derechos del titular.

Interés legítimo vs. consentimiento: el interés legítimo es más flexible (no requiere que el titular haga nada), pero exige un análisis de ponderación documentado que demuestre que el interés del responsable no es desproporcionado frente a los derechos del titular. El consentimiento, en cambio, es más robusto para tratamientos riesgosos pero más frágil operativamente: si el titular lo revoca, el tratamiento debe cesar.

La ley reconoce a los titulares un conjunto de derechos que en Chile se denominan ARCOP: Acceso, Rectificación, Cancelación (supresión), Oposición y Portabilidad. Tu empresa debe tener un canal habilitado para recibir estas solicitudes y un proceso interno para resolverlas dentro del plazo legal de 30 días hábiles.

Operacionalizarlo implica: (1) definir quién recibe y tramita las solicitudes, (2) documentar el flujo de aprobación interno, (3) tener la capacidad técnica de efectivamente suprimir, exportar o corregir datos en todos los sistemas donde residen, incluidos los SaaS de terceros. Una solicitud de supresión recibida y no respondida dentro del plazo es infracción.

La Evaluación de Impacto en Privacidad (DPIA, por su sigla en inglés) es obligatoria cuando el tratamiento proyectado conlleva un alto riesgo para los titulares. La ley señala que esto aplica, entre otros casos, a:

Tratamiento a gran escala de datos sensibles (salud, biométricos, penales)
Evaluación sistemática de personas basada en perfilamiento automatizado
Videovigilancia masiva en espacios de acceso público
Tratamientos que combinen fuentes de datos de manera que amplíen significativamente el riesgo

El DPIA documenta: la naturaleza y finalidad del tratamiento, la necesidad y proporcionalidad, los riesgos identificados para los titulares, y las medidas de mitigación adoptadas. Si tras el DPIA el riesgo sigue siendo alto, la ley exige consultar a la Agencia antes de iniciar el tratamiento.

Cuando ocurra una vulneración de seguridad que afecte datos personales (brecha, acceso no autorizado, pérdida, destrucción), la Ley 21.719 exige notificar a la Agencia de Protección de Datos dentro de las 72 horas desde que el responsable tenga conocimiento del incidente.

Si la vulneración entraña un riesgo alto para los derechos de los titulares, también hay que notificar a los propios titulares afectados sin dilación indebida. La notificación a la Agencia debe incluir: descripción del incidente, categorías y número aproximado de titulares afectados, consecuencias probables, y medidas adoptadas o propuestas. Tener un procedimiento documentado y probado antes de que ocurra el incidente es la única manera de cumplir ese plazo bajo presión.

¿Cómo cumplir? Enfoque tecnológico para PYMEs

El cumplimiento de la Ley 21.719 no es solo un ejercicio legal: requiere controles técnicos reales sobre cómo se almacenan, circulan y protegen los datos. Las herramientas de Microsoft 365 y Azure ofrecen capacidades nativas que permiten a las empresas chilenas implementar los requisitos de la ley sin necesidad de infraestructura costosa.

Herramientas Microsoft para el cumplimiento

Microsoft Purview Data Map Inventario

Descubre y clasifica automáticamente los datos personales que residen en OneDrive, SharePoint, Exchange y bases de datos Azure SQL. Imprescindible para el Registro de Actividades de Tratamiento exigido por la ley.

Microsoft Purview Information Protection Clasificación

Etiqueta y cifra documentos según su nivel de sensibilidad (Público, Confidencial, Altamente Confidencial). Las etiquetas siguen al archivo donde quiera que vaya: correo, Teams, USB.

Microsoft Purview DLP Prevención de pérdida

Detecta y bloquea la salida no autorizada de datos personales por correo electrónico, Teams, SharePoint o la impresora. Las políticas de DLP pueden configurarse para cumplir la Ley 21.719 usando plantillas de Chile.

Microsoft Entra ID Control de acceso

Implementa autenticación multifactor (MFA), acceso condicional y gestión de identidades privilegiadas. Reduce drásticamente el riesgo de accesos no autorizados a datos personales.

Microsoft Intune Dispositivos

Gestión MDM/MAM que permite aplicar políticas de seguridad en computadores y celulares corporativos y BYOD: cifrado de disco, bloqueo remoto, borrado de datos en dispositivos robados.

Microsoft Purview Audit Trazabilidad

Registra quién accedió, modificó o eliminó datos personales y cuándo. Los logs de auditoría son evidencia clave ante la Agencia en caso de investigación o brecha de seguridad.

Microsoft Defender for Business Seguridad de endpoints

Protección antimalware, detección de amenazas y respuesta automatizada en todos los dispositivos. Ayuda a cumplir el principio de seguridad de la ley y a notificar brechas dentro del plazo exigido.

Compliance Manager Evaluación continua

Panel centralizado en Microsoft Purview que evalúa tu postura de cumplimiento frente a marcos regulatorios (incluida la normativa chilena) y genera planes de acción priorizados.

Antes del 1 de diciembre de 2026 conviene medir tu brecha real. Usa nuestro diagnóstico para identificar si hoy te faltan políticas, registro de tratamientos, controles DLP, trazabilidad o gestión de incidentes bajo la Ley 21.719.

Abrir diagnóstico Ver servicio Ver ciberseguridad

03B

¿Tu empresa usa SaaS internacional? Eso es una transferencia de datos

Uno de los puntos más ignorados en los diagnósticos que realizamos: si tu empresa usa herramientas SaaS cuya infraestructura está fuera de Chile, cada vez que subes datos de clientes, trabajadores o leads a esa plataforma estás haciendo una transferencia internacional de datos personales bajo la Ley 21.719.

Esto incluye a las herramientas más comunes en el mercado empresarial chileno:

HubSpot

Salesforce

AWS

Google Workspace

Notion

Slack

Mailchimp

Zendesk

Monday.com

Dropbox

Pipedrive

Intercom

¿Qué exige la ley para estas transferencias?

La Ley 21.719 permite transferir datos a países que ofrezcan un nivel adecuado de protección (determinado por la Agencia) o, en su defecto, mediante garantías apropiadas: contratos de encargo del tratamiento con cláusulas estándar, normas corporativas vinculantes, o autorización expresa de la Agencia. Transferir datos a un proveedor SaaS sin haber establecido ninguna de estas garantías es una infracción grave.

En la práctica, la mayoría de los grandes proveedores SaaS (AWS, Google, Microsoft, Salesforce, HubSpot) tiene disponibles Acuerdos de Procesamiento de Datos (DPA) que deben ser suscritos activamente por tu empresa —no basta con aceptar sus términos de uso generales. Muchos también ofrecen cláusulas contractuales estándar tipo GDPR que sirven como mecanismo de transferencia.

Cómo auditar tu stack SaaS

Paso 1 Inventario

Levanta un listado de todos los SaaS que usa tu empresa. Incluye herramientas de marketing, ventas, RRHH, soporte, finanzas y productividad. Pregunta también por las que usan las distintas áreas sin pasar por TI (shadow IT).

Paso 2 Clasificación

Para cada SaaS, determina si procesa datos personales y de qué tipo. Un sistema de gestión de proyectos sin datos de clientes tiene menor riesgo que un CRM con historial completo de interacciones.

Paso 3 Contratos

Verifica si tienes suscrito el DPA del proveedor. Si no, solicitarlo y firmarlo es el paso mínimo. Revisa dónde se alojan los datos (región) y si el proveedor tiene certificaciones de seguridad relevantes (ISO 27001, SOC 2).

Paso 4 RAT y DPIA

Incorpora cada SaaS al Registro de Actividades de Tratamiento como tratamiento externo. Si el volumen o la sensibilidad lo justifican, realiza un DPIA antes de continuar usando la herramienta o antes de contratar una nueva.

Lo que vemos en diagnósticos — Equipo Yourdevs

En los diagnósticos de cumplimiento que hemos realizado, la brecha más frecuente no es la política de privacidad del sitio web —esa casi siempre existe, aunque sea genérica. El problema recurrente es la ausencia total de contratos de encargo del tratamiento con los proveedores SaaS. Empresas que llevan años usando HubSpot para sus contactos, Mailchimp para sus campañas o Notion para documentos internos con datos de clientes, y nunca han suscrito el DPA del proveedor ni revisado en qué región se alojan esos datos. Bajo la Ley 21.719, eso es una transferencia internacional sin garantías: infracción grave desde el día uno de vigencia.

¿Qué empresas se verían más afectadas?

Si bien la Ley 21.719 alcanza a todo tratante de datos personales, algunos sectores enfrentan exposición mayor por el volumen, la sensibilidad o la diversidad de datos que manejan habitualmente.

Salud

Clínicas, consultas médicas, farmacias y laboratorios tratan datos de salud, categoría sensible con restricciones reforzadas. La notificación de brechas es obligatoria y los plazos son estrictos. Alta prioridad de cumplimiento.

Retail y e-commerce

Bases de clientes masivas, perfiles de compra, datos de geolocalización y medios de pago. El marketing por correo y SMS exige base legal explícita. El derecho de supresión ("derecho al olvido") impacta directamente los CRM.

Servicios financieros

Bancos, cajas de compensación, corredoras y fintechs ya operan bajo regulación SBIF/CMF, pero la Ley 21.719 agrega una capa de cumplimiento cruzado. Las transferencias internacionales de datos hacia casas matrices requieren análisis de adecuación.

Recursos Humanos

Toda empresa tiene empleados cuyos datos personales (remuneraciones, afiliaciones, evaluaciones de desempeño) son tratados cotidianamente. Los sistemas de nómina y control de asistencia biométrico deben cumplir la ley. El consentimiento del trabajador no es siempre válido como base legal exclusiva.

Educación

Colegios, universidades e institutos manejan datos de menores de edad (categoría con protección especial), historial académico, datos de apoderados y resultados de evaluaciones. Las plataformas EdTech externas deben ser evaluadas como encargados del tratamiento.

Marketing digital

Agencias y empresas con estrategias de inbound marketing, remarketing o lead scoring procesan grandes volúmenes de datos de comportamiento en línea. Las cookies, los píxeles de seguimiento y el uso de datos de terceros (third-party data) quedan bajo escrutinio directo de la nueva ley.

Importante: que tu sector no aparezca en esta lista no significa que estés exento. Cualquier empresa con una base de datos de clientes, un sistema de gestión de RRHH o una tienda online trata datos personales y está sujeta a la Ley 21.719.

Datos de referencia verificados

Elemento	Detalle	Fuente
Nombre de la ley	Ley 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales	Diario Oficial de Chile →
Vigencia plena	1 de diciembre de 2026 (24 meses desde promulgación)	Artículo transitorio Ley 21.719
Multa máxima	20.000 UTM (infracciones gravísimas)	Ley 21.719, artículo sobre régimen sancionatorio
Ente fiscalizador	Agencia de Protección de Datos Personales (autonomía constitucional)	Ley 21.719
Base legal del GDPR	Reglamento (UE) 2016/679 — inspiración declarada del legislador chileno	Historia de la Ley 21.719, mensaje presidencial
Derechos nuevos	Portabilidad, oposición reforzada, supresión ("derecho al olvido"), no ser objeto de decisiones automatizadas	Ley 21.719, Capítulo de Derechos del Titular
Plazo notificación de brechas	72 horas desde que el responsable tenga conocimiento de la vulneración	Ley 21.719, artículo sobre medidas de seguridad

¿Tu empresa está preparada para la Ley 21.719?

En Yourdevs acompañamos a empresas chilenas en la implementación tecnológica del cumplimiento: diagnóstico de madurez, configuración de Microsoft 365 y Purview, documentación legal-técnica y capacitación al equipo.

Evalúa el nivel de cumplimiento de tu empresa → Hablar con un experto