Ley 21.719 · Protección de Datos

Ley 21.719: Lo que toda empresa chilena debe saber antes del 1 de diciembre de 2026

12 min de lectura
Equipo Yourdevs

La Ley 21.719 actualiza radicalmente la protección de datos personales en Chile. Con una Agencia fiscalizadora independiente, multas de hasta 20.000 UTM y nuevos derechos para los titulares, cualquier empresa que trate datos de personas naturales debe prepararse antes del plazo de vigencia. Esta guía te explica qué cambia, quién está afectado y qué pasos tecnológicos puedes tomar desde ya.

01

¿Qué es la Ley de Protección de Datos Personales?

De la Ley 19.628 a la Ley 21.719

Chile contaba desde 1999 con la Ley 19.628 sobre protección de datos personales. Sin embargo, el panorama digital cambió radicalmente en las últimas décadas: la nube, el comercio electrónico, las redes sociales y la inteligencia artificial generan y circulan volúmenes de datos personales impensables hace 25 años. La Ley 19.628 quedó obsoleta.

En 2024 se promulgó la Ley 21.719, que reemplaza y deroga la normativa anterior. Su entrada en vigencia plena está fijada para el 1 de diciembre de 2026, dando un período de adecuación a empresas, organismos públicos y toda entidad que trate datos personales.

Una ley alineada con el estándar europeo

La nueva ley se inspira directamente en el Reglamento General de Protección de Datos de la Unión Europea (GDPR). Esto no es casual: Chile busca el reconocimiento de adecuación de la UE, lo que facilita la transferencia internacional de datos con empresas europeas. Para las empresas chilenas con operaciones o clientes en Europa, el cumplimiento se vuelve aún más estratégico.

Entre las novedades más relevantes destacan: la creación de la Agencia de Protección de Datos Personales como entidad fiscalizadora autónoma, un régimen sancionatorio con dientes reales, y nuevos derechos para los titulares de datos (portabilidad, supresión reforzada, oposición).

Conceptos clave que todo empresario debe conocer

Dato Personal
Cualquier información que identifique o permita identificar a una persona natural. Nombre, RUT, correo, dirección IP, datos de geolocalización, hábitos de consumo.
Datos Sensibles
Categoría especial con protección reforzada: origen étnico, opiniones políticas, salud, vida sexual, datos biométricos, afiliación sindical, datos penales.
Responsable del Tratamiento
Empresa u organización que decide el propósito y los medios del tratamiento. Es quien asume la responsabilidad legal principal ante la Agencia y ante los titulares.
Encargado del Tratamiento
Quien trata datos por cuenta del responsable (ej.: proveedor SaaS, empresa de TI externa, call center). Debe haber un contrato de encargo que cumpla los requisitos legales.

Los ocho principios rectores

Todo tratamiento de datos personales debe regirse por estos principios que la ley establece expresamente:

  • Licitud: base legal válida (consentimiento, contrato, ley, interés legítimo).
  • Finalidad: los datos se recogen para fines determinados, explícitos y legítimos.
  • Proporcionalidad: solo los datos estrictamente necesarios para el fin.
  • Calidad: los datos deben ser exactos, completos y actualizados.
  • Responsabilidad proactiva: demostrar activamente el cumplimiento (accountability).
  • Seguridad: medidas técnicas y organizativas para proteger los datos.
  • Transparencia: informar a los titulares de manera clara y accesible.
  • Confidencialidad: quienes tratan datos están sujetos al deber de secreto.
02

¿A quiénes afecta y por qué actuar ahora?

Toda empresa que trate datos personales

La ley aplica a cualquier persona natural o jurídica, de derecho público o privado, que realice tratamiento de datos personales. Si tu empresa tiene trabajadores, clientes, proveedores o visitantes web en Chile, tratas datos personales y estás dentro del ámbito de aplicación de la Ley 21.719.

No existe umbral de tamaño: la ley alcanza desde microempresas hasta grandes corporaciones. Lo que varía es la intensidad de las obligaciones según el volumen y la naturaleza de los datos tratados (por ejemplo, la designación de Delegado de Protección de Datos es obligatoria solo para ciertos responsables).

El reloj ya está corriendo: cronología

Dic 2024
Promulgación de la Ley 21.719
La ley fue publicada en el Diario Oficial. Se inicia el período de adecuación de 24 meses.
2025
Constitución de la Agencia de Protección de Datos
La Agencia comienza a instalarse, dictar reglamentos e instrucciones. Las empresas deben seguir sus lineamientos desde su publicación.
Mar–Nov 2026
Ventana crítica de adecuación
Última oportunidad para implementar políticas, controles tecnológicos, capacitaciones y registros de actividades de tratamiento. Yourdevs puede acompañarte en este proceso.
1 Dic 2026
Vigencia plena — inicio de fiscalización
La Agencia puede iniciar investigaciones e imponer sanciones a partir de esta fecha. Incumplir ya no es una opción.

Las sanciones: un esquema con dientes reales

El régimen sancionatorio de la Ley 21.719 es significativamente más severo que el de la Ley 19.628. Las infracciones se clasifican en tres categorías, con multas en Unidades Tributarias Mensuales (UTM):

Categoría Multa máxima Ejemplos de infracción
Leve Hasta 1.000 UTM (~$74 millones CLP) No informar adecuadamente a los titulares, falta de política de privacidad, incumplimientos formales del registro de actividades.
Grave Hasta 5.000 UTM (~$370 millones CLP) Tratar datos sin base legal, no atender derechos de los titulares, transferir datos internacionalmente sin garantías adecuadas.
Gravísima Hasta 20.000 UTM (~$1.480 millones CLP) Tratar datos sensibles sin autorización, vulneración de seguridad con daño grave, reincidencia en infracción grave.

Nota: los valores en pesos son referenciales basados en el valor UTM a marzo de 2026. Los montos exactos dependen del valor UTM vigente al momento de la infracción.

Más allá de la multa: el riesgo reputacional

La Agencia puede publicar sus resoluciones sancionatorias. Una multa de millones de pesos es un impacto financiero; el daño a la reputación frente a clientes, proveedores y empleados puede ser aún mayor. Las empresas que demuestren una cultura de cumplimiento proactivo tendrán ventaja competitiva en licitaciones y relaciones B2B.

03

¿Cómo cumplir? Enfoque tecnológico para PYMEs

El cumplimiento de la Ley 21.719 no es solo un ejercicio legal: requiere controles técnicos reales sobre cómo se almacenan, circulan y protegen los datos. Las herramientas de Microsoft 365 y Azure ofrecen capacidades nativas que permiten a las empresas chilenas implementar los requisitos de la ley sin necesidad de infraestructura costosa.

Herramientas Microsoft para el cumplimiento

Microsoft Purview Data Map Inventario
Descubre y clasifica automáticamente los datos personales que residen en OneDrive, SharePoint, Exchange y bases de datos Azure SQL. Imprescindible para el Registro de Actividades de Tratamiento exigido por la ley.
Microsoft Purview Information Protection Clasificación
Etiqueta y cifra documentos según su nivel de sensibilidad (Público, Confidencial, Altamente Confidencial). Las etiquetas siguen al archivo donde quiera que vaya: correo, Teams, USB.
Microsoft Purview DLP Prevención de pérdida
Detecta y bloquea la salida no autorizada de datos personales por correo electrónico, Teams, SharePoint o la impresora. Las políticas de DLP pueden configurarse para cumplir la Ley 21.719 usando plantillas de Chile.
Microsoft Entra ID Control de acceso
Implementa autenticación multifactor (MFA), acceso condicional y gestión de identidades privilegiadas. Reduce drásticamente el riesgo de accesos no autorizados a datos personales.
Microsoft Intune Dispositivos
Gestión MDM/MAM que permite aplicar políticas de seguridad en computadores y celulares corporativos y BYOD: cifrado de disco, bloqueo remoto, borrado de datos en dispositivos robados.
Microsoft Purview Audit Trazabilidad
Registra quién accedió, modificó o eliminó datos personales y cuándo. Los logs de auditoría son evidencia clave ante la Agencia en caso de investigación o brecha de seguridad.
Microsoft Defender for Business Seguridad de endpoints
Protección antimalware, detección de amenazas y respuesta automatizada en todos los dispositivos. Ayuda a cumplir el principio de seguridad de la ley y a notificar brechas dentro del plazo exigido.
Compliance Manager Evaluación continua
Panel centralizado en Microsoft Purview que evalúa tu postura de cumplimiento frente a marcos regulatorios (incluida la normativa chilena) y genera planes de acción priorizados.

Yourdevs implementa Microsoft 365 y Purview para cumplimiento de la Ley 21.719. Configuramos las políticas, capacitamos a tu equipo y generamos la documentación que la Agencia puede requerir.

Ver servicio
04

¿Qué empresas se verían más afectadas?

Si bien la Ley 21.719 alcanza a todo tratante de datos personales, algunos sectores enfrentan exposición mayor por el volumen, la sensibilidad o la diversidad de datos que manejan habitualmente.

Salud
Clínicas, consultas médicas, farmacias y laboratorios tratan datos de salud, categoría sensible con restricciones reforzadas. La notificación de brechas es obligatoria y los plazos son estrictos. Alta prioridad de cumplimiento.
Retail y e-commerce
Bases de clientes masivas, perfiles de compra, datos de geolocalización y medios de pago. El marketing por correo y SMS exige base legal explícita. El derecho de supresión ("derecho al olvido") impacta directamente los CRM.
Servicios financieros
Bancos, cajas de compensación, corredoras y fintechs ya operan bajo regulación SBIF/CMF, pero la Ley 21.719 agrega una capa de cumplimiento cruzado. Las transferencias internacionales de datos hacia casas matrices requieren análisis de adecuación.
Recursos Humanos
Toda empresa tiene empleados cuyos datos personales (remuneraciones, afiliaciones, evaluaciones de desempeño) son tratados cotidianamente. Los sistemas de nómina y control de asistencia biométrico deben cumplir la ley. El consentimiento del trabajador no es siempre válido como base legal exclusiva.
Educación
Colegios, universidades e institutos manejan datos de menores de edad (categoría con protección especial), historial académico, datos de apoderados y resultados de evaluaciones. Las plataformas EdTech externas deben ser evaluadas como encargados del tratamiento.
Marketing digital
Agencias y empresas con estrategias de inbound marketing, remarketing o lead scoring procesan grandes volúmenes de datos de comportamiento en línea. Las cookies, los píxeles de seguimiento y el uso de datos de terceros (third-party data) quedan bajo escrutinio directo de la nueva ley.

Importante: que tu sector no aparezca en esta lista no significa que estés exento. Cualquier empresa con una base de datos de clientes, un sistema de gestión de RRHH o una tienda online trata datos personales y está sujeta a la Ley 21.719.

Datos de referencia verificados

Elemento Detalle Fuente
Nombre de la ley Ley 21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales Diario Oficial de Chile
Vigencia plena 1 de diciembre de 2026 (24 meses desde promulgación) Artículo transitorio Ley 21.719
Multa máxima 20.000 UTM (infracciones gravísimas) Ley 21.719, artículo sobre régimen sancionatorio
Ente fiscalizador Agencia de Protección de Datos Personales (autonomía constitucional) Ley 21.719
Base legal del GDPR Reglamento (UE) 2016/679 — inspiración declarada del legislador chileno Historia de la Ley 21.719, mensaje presidencial
Derechos nuevos Portabilidad, oposición reforzada, supresión ("derecho al olvido"), no ser objeto de decisiones automatizadas Ley 21.719, Capítulo de Derechos del Titular
Plazo notificación de brechas 72 horas desde que el responsable tenga conocimiento de la vulneración Ley 21.719, artículo sobre medidas de seguridad

¿Tu empresa está preparada para la Ley 21.719?

En Yourdevs acompañamos a empresas chilenas en la implementación tecnológica del cumplimiento: diagnóstico de madurez, configuración de Microsoft 365 y Purview, documentación legal-técnica y capacitación al equipo.

Ver soluciones Microsoft 365 Hablar con un experto
Volver al blog Ver servicio de protección de datos
WhatsApp