Preguntas frecuentes sobre la Ley 21.719
¿A qué empresas aplica la Ley 21.719?
La ley aplica a toda organización que trate datos personales en Chile, sin importar su tamaño, sector o forma jurídica. No existe ninguna exención para PYMES, microempresas ni startups.
Aplica a:
- Empresas privadas de cualquier tamaño con clientes, empleados o proveedores
- Organismos del Estado (con reglas adicionales en algunos casos)
- Organizaciones sin fines de lucro que manejen datos de socios, donantes o beneficiarios
- Empresas extranjeras que ofrezcan bienes o servicios a personas en Chile, o que monitoreen su comportamiento
Si tu empresa tiene empleados en Chile, clientes en Chile o un sitio web dirigido a personas en Chile, esta ley te aplica.
¿Cuál es el plazo para cumplir con la ley?
La Ley 21.719 fue publicada el 13 de diciembre de 2024 y entra en vigencia el 1 de diciembre de 2026. Ese es el plazo límite para tener implementadas todas las obligaciones aplicables a tu organización.
No esperes a diciembre de 2026 para comenzar. La implementación efectiva requiere entre 6 y 12 meses dependiendo del tamaño de la organización. Levantar el RAT, mapear los sistemas de datos, redactar contratos con encargados y desplegar los mecanismos ARSOP toma tiempo real.
¿Qué es el Delegado de Protección de Datos (DPD) y cuándo es obligatorio?
El Delegado de Protección de Datos (DPD) es la persona responsable de supervisar el cumplimiento de la ley al interior de la organización. Actúa como punto de contacto con la APDP y con los titulares de datos.
Es obligatorio designar un DPD en los siguientes casos:
- Organismos de la Administración del Estado
- Organizaciones que traten datos sensibles a gran escala (salud, biométricos, origen étnico, etc.)
- Organizaciones que realicen monitoreo sistemático de titulares como actividad principal (por ejemplo, plataformas de analítica, sistemas de vigilancia, marketing programático)
Aunque no sea obligatorio, su designación es recomendable para cualquier empresa mediana o grande, ya que acredita ante la APDP que existe un programa de cumplimiento activo.
En contexto chileno, el término correcto es DPD (Delegado de Protección de Datos). El término DPO (Data Protection Officer) corresponde al equivalente del GDPR europeo. DPOLab usa ambos términos según el contexto regulatorio, pero en documentos dirigidos a la APDP se recomienda siempre usar "DPD".
El DPD puede ser un empleado interno o un servicio externo contratado. Su identidad y datos de contacto deben estar disponibles para los titulares de datos y para la APDP.
¿Cuáles son las multas por incumplimiento?
Las sanciones se aplican en UTM (Unidad Tributaria Mensual). 1 UTM (referencia 2026) equivale aproximadamente a CLP $67.000 o USD $75.
Infracciones leves — hasta 5.000 UTM (~USD 375.000)
- No informar a los titulares sobre el tratamiento de sus datos
- No mantener actualizado el RAT
- Omitir la designación del DPD cuando es obligatoria
- No responder solicitudes ARSOP dentro del plazo (primera infracción)
Infracciones graves — hasta 10.000 UTM (~USD 750.000)
- Tratar datos sin contar con una base legal válida
- No implementar las medidas de seguridad exigidas
- Impedir u obstaculizar el ejercicio de los derechos ARSOP
- Incumplir la obligación de notificar brechas a la APDP
- Realizar transferencias internacionales de datos sin los requisitos legales
Infracciones gravísimas — hasta 20.000 UTM (~USD 1.500.000)
- Tratar datos sensibles sin el consentimiento explícito del titular
- Usar datos personales con fines discriminatorios ilícitos
- Entregar información falsa a la APDP
- Obstaculizar la labor fiscalizadora de la Agencia
- Reincidencia en infracciones graves
Las multas pueden acumularse por cada infracción detectada en un proceso de fiscalización. La APDP también puede ordenar la cesación del tratamiento o la eliminación de datos, independientemente de la multa.
La APDP considera circunstancias atenuantes al fijar la sanción: colaboración con la investigación, subsanación voluntaria, adopción de medidas correctivas y contar con un programa de cumplimiento acreditado (como el que genera DPOLab).
¿Qué derechos tienen los titulares de datos (ARSOP)?
La Ley 21.719 establece cinco derechos para toda persona sobre sus datos personales. El acrónimo ARSOP los resume:
| Derecho | Qué puede pedir el titular |
|---|---|
| Acceso | Saber qué datos tiene la organización, cómo los usa, quién los recibe y por cuánto tiempo |
| Rectificación | Corregir datos inexactos o incompletos |
| Supresión | Pedir la eliminación de sus datos cuando ya no sean necesarios o cuando revoque su consentimiento |
| Oposición | Oponerse al tratamiento en situaciones específicas, como marketing directo o interés legítimo |
| Portabilidad | Recibir sus datos en formato estructurado para transferirlos a otro responsable |
Adicionalmente, la ley contempla el derecho a no ser objeto de decisiones automatizadas (sin intervención humana) y el derecho de bloqueo (suspensión temporal del tratamiento mientras se resuelve una disputa).
Plazo de respuesta: toda solicitud ARSOP debe responderse dentro de 30 días corridos contados desde su recepción (Art. 11). Si la solicitud es especialmente compleja o el volumen es alto, el responsable puede prorrogar el plazo por 30 días corridos adicionales, notificando al titular antes del vencimiento del plazo original.
El plazo ARSOP en la Ley 21.719 se cuenta en días corridos (calendario), no en días hábiles. Esto es diferente a la versión anterior de la ley chilena (Ley 19.628) y al GDPR europeo. DPOLab calcula y alerta este plazo automáticamente desde que registras la solicitud.
¿Qué es el RAT y por qué es obligatorio?
El Registro de Actividades de Tratamiento (RAT) es un inventario interno donde la organización documenta todas las actividades en las que trata datos personales. Es la columna vertebral del cumplimiento.
Su obligatoriedad está establecida en el artículo 15 ter de la Ley 21.719. Debe incluir, por cada actividad:
- Nombre y finalidad del tratamiento
- Base legal que lo justifica
- Categorías de datos personales tratados
- Categorías de titulares (clientes, empleados, proveedores, etc.)
- Destinatarios y encargados que acceden a los datos
- Plazos de conservación
- Transferencias internacionales, si corresponde
- Medidas de seguridad aplicadas
La APDP puede solicitar el RAT en cualquier momento como parte de una fiscalización. No tenerlo actualizado es una infracción leve desde el primer día de vigencia de la ley.
DPOLab genera el RAT de forma asistida, lo mantiene versionado y lo exporta en los formatos requeridos para la APDP. Consulta el módulo RAT para más detalle.
¿Cómo se relaciona la Ley 21.719 con el GDPR europeo?
La Ley 21.719 está fuertemente inspirada en el GDPR (Reglamento General de Protección de Datos de la Unión Europea). Si tu organización ya cumple con el GDPR, gran parte del trabajo está avanzado. Sin embargo, existen diferencias importantes:
| Aspecto | Ley 21.719 (Chile) | GDPR (Europa) |
|---|---|---|
| Vigencia | 1 de diciembre de 2026 | Desde mayo de 2018 |
| Plazo para responder ARSOP | 30 días corridos + prórroga de 30 días corridos | 30 días calendario + prórroga de 60 días |
| Notificación de brechas | "Sin dilaciones indebidas" a la APDP (Art. 14 sexies) | 72 horas a la autoridad de control |
| Autoridad de control | APDP (Agencia de Protección de Datos Personales) | Autoridades nacionales: CNIL (Francia), ICO (Reino Unido), etc. |
| Multas máximas | 20.000 UTM (~USD 1,5M) | 4% de la facturación mundial o EUR 20M |
| DPD/DPO | Obligatorio en ciertos casos | Obligatorio en ciertos casos |
El plazo de 72 horas para notificación de brechas corresponde al GDPR europeo, no a la Ley 21.719 chilena. La ley chilena usa la expresión "sin dilaciones indebidas" (Art. 14 sexies), que implica prontitud pero no un número fijo de horas. En la práctica, notificar lo antes posible —idealmente dentro de las primeras 72 horas— es la postura más segura ante la APDP.
Si operas tanto en Chile como en Europa, DPOLab te permite gestionar el cumplimiento con ambas regulaciones desde una sola plataforma, con flujos de trabajo compartidos y diferenciados donde la ley lo requiere.
¿Qué es una EIPD o DPIA?
La Evaluación de Impacto en la Protección de Datos (EIPD, o DPIA por sus siglas en inglés) es un análisis previo obligatorio para tratamientos que presenten un alto riesgo para los derechos de los titulares.
Su obligatoriedad está en el artículo 15 ter de la Ley 21.719. Es requerida cuando el tratamiento:
- Involucra datos sensibles a gran escala
- Incluye monitoreo sistemático de espacios de acceso público
- Implica perfilamiento que pueda afectar significativamente a los titulares
- Usa tecnologías innovadoras con impacto relevante en privacidad
- Afecta a grupos vulnerables (menores de edad, personas con discapacidad)
DPOLab detecta automáticamente cuando una actividad del RAT podría requerir una DPIA y te sugiere iniciarla. Consulta el módulo DPIA para más detalle.
¿Dónde puedo hacer preguntas adicionales?
- Soporte técnico: [email protected]
- Guía completa de la ley: Ley 21.719 — Guía completa
- Plazos ARSOP: Plazos y cálculo de días
- Plan de cumplimiento paso a paso: Plan de cumplimiento