Ley 21.719 — Guía completa para empresas chilenas
Qué es la Ley 21.719
La Ley 21.719 sobre Protección de Datos Personales es la nueva normativa que regula cómo las organizaciones deben tratar los datos personales en Chile. Fue publicada el 13 de diciembre de 2024 y entra en vigencia el 1 de diciembre de 2026.
Reemplaza las disposiciones de la antigua Ley 19.628, que tenía más de 25 años y carecía de una autoridad de control, sanciones efectivas y derechos modernos para los titulares.
Lo que cambia en resumen
| Aspecto | Antes (Ley 19.628) | Ahora (Ley 21.719) |
|---|---|---|
| Autoridad de control | No existía | Agencia de Protección de Datos Personales (APDP) |
| Sanciones | Prácticamente inexistentes | Hasta 20.000 UTM (~USD 1.500.000) |
| Derechos de titulares | ARCO básico, sin plazos reales | ARSOP completo con plazo de 30 días corridos |
| Consentimiento | Poco regulado | Libre, informado, específico e inequívoco |
| Registro de actividades | No existía | Obligatorio (RAT) |
| Evaluación de impacto | No existía | Obligatoria en tratamientos de alto riesgo |
| Notificación de brechas | No existía | Obligatoria, sin dilaciones indebidas (Art. 14 sexies) |
| Delegado de protección | No existía | Obligatorio en ciertos casos |
A quién aplica
La ley aplica a todas las organizaciones que traten datos personales en Chile, sin importar su tamaño. No existe una exención para PYMES, startups o empresas pequeñas.
La Ley 21.719 aplica a:
- Empresas grandes con miles de clientes y empleados
- PYMES que manejen bases de datos de clientes, proveedores o empleados
- Startups que recolecten datos a través de apps o sitios web
- Organismos públicos (con reglas adicionales)
- Organizaciones sin fines de lucro que traten datos de socios o beneficiarios
- Empresas extranjeras que traten datos de personas en Chile
Si tu empresa tiene empleados, clientes o proveedores en Chile, esta ley te aplica.
Los 7 derechos de los titulares
La ley establece derechos fundamentales que toda persona tiene sobre sus datos personales. Tu organización debe poder responder a estas solicitudes.
1. Derecho de acceso
El titular puede preguntar: "¿Qué datos míos tienen y cómo los están usando?" Tu organización debe entregar una copia completa de los datos, las finalidades del tratamiento, los destinatarios y los plazos de conservación.
2. Derecho de rectificación
Si los datos son inexactos o están incompletos, el titular puede pedir que los corrijan. Ejemplo: un cliente cambió de dirección y pide actualizar su registro.
3. Derecho de supresión (eliminación)
El titular puede pedir que borren sus datos cuando ya no sean necesarios para la finalidad original, cuando revoque su consentimiento, o cuando el tratamiento sea ilícito.
4. Derecho de oposición
El titular puede oponerse al tratamiento de sus datos en situaciones específicas, por ejemplo cuando se usan para marketing directo o cuando el tratamiento se basa en interés legítimo.
5. Derecho de portabilidad
El titular puede solicitar sus datos en un formato electrónico estructurado y de uso común para transferirlos a otro responsable. Esto aplica cuando el tratamiento se basa en consentimiento o en un contrato.
6. Derecho a no ser objeto de decisiones automatizadas
El titular tiene derecho a no ser sometido a decisiones basadas únicamente en el tratamiento automatizado de sus datos que produzcan efectos jurídicos o le afecten significativamente. Puede solicitar intervención humana.
7. Derecho de bloqueo
El titular puede solicitar la suspensión temporal del tratamiento de sus datos cuando impugne su exactitud, cuando el tratamiento sea ilícito pero no quiera la supresión, o cuando los datos ya no sean necesarios pero los necesite para reclamaciones.
El plazo para responder a cualquiera de estos derechos es de 30 días corridos desde la recepción (Art. 11), prorrogable por otros 30 días corridos con justificación. A diferencia de los plazos internos, este plazo se cuenta en días calendario (incluye fines de semana y feriados). Consulta el detalle en Plazos ARSOP.
Datos sensibles según artículo 2
La ley define una categoría especial de datos que requieren protección reforzada:
| Categoría | Ejemplos |
|---|---|
| Origen étnico o racial | Etnia, nacionalidad indígena |
| Opiniones políticas | Afiliación partidaria, preferencias electorales |
| Creencias religiosas o filosóficas | Religión, agnosticismo, ateísmo |
| Estado de salud | Diagnósticos, tratamientos, historial médico, discapacidad |
| Vida sexual u orientación sexual | Orientación, identidad de género |
| Datos biométricos | Huellas dactilares, reconocimiento facial, iris |
| Datos genéticos | ADN, predisposiciones genéticas |
| Datos de menores de 14 años | Cualquier dato de niños y niñas |
El tratamiento de datos sensibles solo se permite con consentimiento explícito del titular o cuando lo autoriza expresamente la ley. Requiere medidas de seguridad reforzadas y, en la mayoría de los casos, una Evaluación de Impacto en la Protección de Datos (DPIA).
La Agencia de Protección de Datos Personales (APDP)
La Ley 21.719 crea la Agencia de Protección de Datos Personales, un organismo público autónomo que actúa como autoridad de control. Es la primera vez que Chile cuenta con una entidad dedicada exclusivamente a protección de datos.
Funciones principales
- Fiscalizar el cumplimiento de la ley
- Recibir y resolver reclamos de los titulares
- Dictar instrucciones de carácter general sobre protección de datos
- Aplicar sanciones administrativas
- Promover la cultura de protección de datos
Cómo funciona una auditoría
Inicio
La APDP puede iniciar una investigación de oficio (por propia iniciativa) o por reclamo de un titular. Notifica a la organización investigada.
Requerimiento de información
La Agencia solicita documentación: RAT, políticas de privacidad, contratos con encargados, registros de consentimiento, procedimientos de brechas. Tu organización tiene un plazo para responder.
Inspección
La APDP puede realizar inspecciones presenciales o remotas. Puede acceder a sistemas, revisar bases de datos y entrevistar al personal.
Informe y descargos
Si detecta incumplimientos, emite un informe de cargos. La organización tiene derecho a presentar descargos (defenderse).
Resolución
La APDP dicta una resolución que puede incluir:
- Amonestación
- Multas
- Orden de cesación del tratamiento
- Orden de eliminación de datos
Recursos
La organización puede recurrir ante el Tribunal de Letras en lo Civil competente.
Régimen de sanciones
Las multas se calculan en UTM (Unidad Tributaria Mensual). 1 UTM (marzo 2026) ≈ CLP $67.000 ≈ USD $75.
Infracciones leves (amonestación o hasta 5.000 UTM — ~USD 375.000)
- No informar al titular sobre el tratamiento de sus datos
- No mantener actualizado el RAT
- Omitir el nombramiento del DPD cuando es obligatorio
- No atender solicitudes ARSOP dentro de plazo (primera vez)
Infracciones graves (hasta 10.000 UTM — ~USD 750.000)
- Tratar datos sin base legal válida
- No implementar medidas de seguridad adecuadas
- Impedir u obstaculizar el ejercicio de los derechos ARSOP
- Incumplir la obligación de notificar brechas
- Realizar transferencias internacionales sin cumplir los requisitos
- Reincidencia en infracciones leves
Infracciones gravísimas (hasta 20.000 UTM — ~USD 1.500.000)
- Tratar datos sensibles sin consentimiento explícito
- Tratar datos con fines de discriminación ilícita
- Entregar información falsa a la APDP
- Obstruir la labor fiscalizadora de la Agencia
- Reincidencia en infracciones graves
Agravantes y atenuantes
La APDP considera al determinar la multa:
- Agravantes: cantidad de titulares afectados, beneficio económico obtenido, reincidencia, dolo
- Atenuantes: colaboración con la investigación, subsanación voluntaria, adopción de medidas correctivas, certificaciones de cumplimiento
Obligaciones principales de tu organización
Para toda empresa (sin excepción)
- Registro de Actividades de Tratamiento (RAT) — Documentar todas las actividades donde se tratan datos personales → Módulo RAT
- Canal de derechos ARSOP — Habilitar un medio para que los titulares ejerzan sus derechos → Módulo ARSOP
- Consentimiento válido — Obtener consentimiento libre, informado y específico cuando sea la base legal → Módulo CMP
- Política de privacidad — Informar de forma clara y accesible sobre el tratamiento de datos
- Medidas de seguridad — Implementar medidas técnicas y organizativas para proteger los datos
- Notificación de brechas — Notificar a la APDP sin dilaciones indebidas (Art. 14 sexies) cuando ocurra una brecha que afecte datos personales → Módulo Brechas
Adicionales según el caso
- Delegado de Protección de Datos (DPD) — Obligatorio para organismos públicos, tratamientos masivos y datos sensibles a gran escala
- Evaluación de Impacto (DPIA) — Cuando el tratamiento implica alto riesgo para los titulares → Módulo DPIA
- Contratos con encargados — Cláusulas contractuales con proveedores que tratan datos por tu cuenta
- Transferencias internacionales — Mecanismos específicos para enviar datos fuera de Chile
Relación con GDPR
La Ley 21.719 está fuertemente inspirada en el GDPR europeo. Si tu organización ya cumple con GDPR, gran parte del trabajo está avanzado. Las principales diferencias:
| Aspecto | Ley 21.719 (Chile) | GDPR (Europa) |
|---|---|---|
| Plazo ARSOP | 30 días corridos (+30 de prórroga) | 1 mes (prorrogable +2 meses) |
| Autoridad | APDP | Autoridades nacionales (CNIL, ICO, etc.) |
| Multas máximas | 20.000 UTM (~USD 1.5M) | 4% facturación global o EUR 20M |
| DPO/DPD | Obligatorio en ciertos casos | Obligatorio en ciertos casos |
| Notificación de brechas | Sin dilaciones indebidas (Art. 14 sexies) | 72 horas a la autoridad |
DPOLab soporta tanto Ley 21.719 como GDPR desde una sola plataforma. Si operas en Chile y en Europa, puedes gestionar ambas regulaciones sin herramientas separadas.
Siguiente paso
¿No sabes por dónde empezar? Revisa nuestra Guía de Inicio para configurar DPOLab en menos de una hora, o explora los Casos de Uso para ver cómo empresas similares a la tuya están cumpliendo.