Nueva Ley de Protección de Datos Personales en Chile

Nueva Ley de Protección de Datos Personales en Chile
Introducción
Durante más de dos décadas, las empresas chilenas manejaron los datos de sus clientes, trabajadores y proveedores con una norma pensada para otra época. Eso está por terminar. La nueva Ley de Protección de Datos Personales, la Ley 21.719, reemplaza a la antigua Ley 19.628 de 1999 y sube el estándar de golpe: consentimiento real, finalidades claras, seguridad demostrable y una autoridad con dientes para fiscalizar y multar.
El punto que muchos gerentes todavía no dimensionan es que esto no aplica solo a las grandes tecnológicas. Si tu empresa tiene una base de clientes, una planilla de sueldos, un CRM o incluso una lista de correos, tratas datos personales y quedas dentro del alcance de la ley. La buena noticia es que hay un plazo de transición para ordenarse. La mala es que ese plazo corre y prepararse a última hora sale caro.
Respuesta directa: la Ley de Protección de Datos Personales (Ley 21.719) es la nueva norma chilena que regula cómo las empresas recopilan, usan y guardan datos personales. Se publicó el 13 de diciembre de 2024 y entra en vigencia el 1 de diciembre de 2026. Crea la Agencia de Protección de Datos Personales, contempla multas de hasta 20.000 UTM y obliga a toda organización que trate datos a pedir consentimiento, informar la finalidad y proteger esa información.
Tabla de contenidos
¿Qué es la Ley 21.719 y qué reemplaza?
La Ley 21.719 es la reforma más profunda que ha tenido la protección de datos personales en Chile. Deroga en la práctica el enfoque de la Ley 19.628, que había quedado obsoleta frente al comercio electrónico, las plataformas digitales y el uso masivo de información. La nueva ley se alinea con estándares internacionales, en particular con el Reglamento General de Protección de Datos europeo, lo que la vuelve más exigente pero también más predecible para quienes ya trabajan con clientes o proveedores fuera de Chile.
Bloque citable: un dato personal es cualquier información que identifica o hace identificable a una persona natural, como su nombre, RUT, correo, teléfono, dirección, datos de salud, situación económica o hábitos de consumo. Tratar datos significa recolectarlos, almacenarlos, usarlos, comunicarlos o eliminarlos. Casi ninguna empresa queda fuera de esa definición.
El cambio de fondo es de mentalidad. Antes, el dato era del que lo tenía. Ahora, el dato sigue siendo de la persona y la empresa solo lo administra bajo reglas. Ese giro obliga a documentar por qué se pide cada dato, para qué se usa y durante cuánto tiempo se conserva.
¿Cuándo entra en vigencia la nueva ley de protección de datos?
La ley se publicó en el Diario Oficial el 13 de diciembre de 2024 y su entrada en plena vigencia es el 1 de diciembre de 2026. Ese período de 24 meses es una ventana de transición pensada para que las organizaciones adecúen sus procesos, contratos y controles antes de que la Agencia empiece a fiscalizar.
Conviene no leer ese plazo como una excusa para esperar. Un diagnóstico serio, ordenar bases de datos, redactar políticas y capacitar equipos toma meses, sobre todo si la empresa tiene varias áreas que manejan información por su cuenta. Las compañías que llegan preparadas a diciembre de 2026 no lo hacen por apuro, sino porque empezaron con tiempo.
La nueva Agencia de Protección de Datos Personales
La ley crea la Agencia de Protección de Datos Personales, una corporación autónoma de derecho público que será la autoridad encargada de velar por el cumplimiento. No es un rol simbólico. La Agencia puede investigar de oficio o por denuncia, interpretar la normativa dentro de su competencia, ordenar medidas correctivas, suspender tratamientos y aplicar sanciones.
Entre sus facultades más relevantes está la de llevar un registro público de sanciones. Que una infracción quede publicada tiene un costo reputacional que muchas veces pesa más que la multa misma, porque afecta la confianza de clientes, bancos y socios comerciales. Por eso el cumplimiento dejó de ser un tema solo del área legal y pasó a ser una conversación de directorio.
Qué obligaciones nuevas tienen las empresas
La Ley de Protección de Datos Personales no pide solo buena voluntad, pide evidencia. Estas son las obligaciones que más impactan la operación diaria de una empresa:
- Consentimiento válido: pedir autorización libre, informada y específica antes de tratar datos, salvo que exista otra base legal que lo permita.
- Principio de finalidad: usar los datos solo para el propósito que se informó. Pedir un correo para una compra no habilita a mandar publicidad indefinida.
- Deber de información: explicar de forma clara qué datos se piden, para qué, por cuánto tiempo se guardan y con quién se comparten.
- Medidas de seguridad: proteger la información con controles técnicos y organizativos proporcionales al riesgo.
- Notificación de brechas: avisar a la Agencia y a las personas afectadas cuando ocurre una vulneración que pone en riesgo sus datos.
- Registro de actividades de tratamiento: documentar qué datos se tratan, con qué finalidad y bajo qué base legal.
- Gestión de encargados: regular por contrato la relación con proveedores que acceden a datos, como sistemas de nube, contabilidad externa o marketing.
En organizaciones que tratan datos a gran escala o datos sensibles aparecen exigencias adicionales, como designar un delegado de protección de datos y realizar evaluaciones de impacto antes de lanzar tratamientos de alto riesgo. Puedes complementar este marco con nuestra guía sobre qué es la gestión de datos en una pyme.
Derechos de las personas sobre sus datos
La ley refuerza los derechos de los titulares, que ahora pueden ejercerse de forma más simple y con plazos que la empresa debe respetar. En conjunto se conocen como derechos ARCO más portabilidad:
- Acceso: saber qué datos suyos tiene la empresa y cómo los usa.
- Rectificación: corregir información inexacta o desactualizada.
- Cancelación o supresión: pedir que se eliminen sus datos cuando ya no corresponde conservarlos.
- Oposición: negarse a que sus datos se usen para determinados fines.
- Portabilidad: recibir sus datos en un formato utilizable y transferirlos a otro proveedor.
- Bloqueo: suspender temporalmente el tratamiento mientras se resuelve una solicitud.
Para la empresa, esto significa tener un canal claro para recibir estas solicitudes y un procedimiento interno para responderlas a tiempo. Ignorar una solicitud de acceso o de eliminación es una de las formas más rápidas de terminar en una denuncia.
Sanciones y multas de la Ley 21.719
El cambio que hizo que muchos directorios pusieran atención fue el de las sanciones. La ley clasifica las infracciones en leves, graves y gravísimas, con multas que escalan según la gravedad. Esta es la matriz general:
| Tipo de infracción | Multa (en UTM) | Ejemplos frecuentes |
|---|---|---|
| Leve | Amonestación o hasta 100 UTM | Falta de información clara al titular, errores formales. |
| Grave | Hasta 5.000 UTM | Tratar datos sin base legal, no atender derechos ARCO. |
| Gravísima | Hasta 20.000 UTM | Uso indebido de datos sensibles, transferencias ilegales, brechas no notificadas. |
Bloque citable: la multa máxima por infracciones gravísimas llega a 20.000 UTM, cerca de 1.400 millones de pesos, y en casos de reincidencia puede escalar hasta un porcentaje de los ingresos anuales de la empresa, del orden del 2% al 4% según la gravedad. A eso se suman la suspensión del tratamiento y la publicación de la sanción en un registro nacional.
El mensaje es claro: el incumplimiento dejó de ser un riesgo teórico. Documentar bien las decisiones y contar con respaldo es la mejor defensa, tal como ocurre en materia tributaria cuando conviene documentar las decisiones de la empresa para acreditarlas ante una fiscalización.
Datos sensibles: la categoría que exige más cuidado
No todos los datos pesan igual. La ley distingue una categoría de datos sensibles que incluye salud, origen étnico, afiliación sindical, creencias, vida sexual, datos biométricos y situación socioeconómica, entre otros. Tratar estos datos exige un estándar más alto de consentimiento y de seguridad, y su uso indebido cae con más facilidad en la categoría de infracción gravísima.
Muchas pymes tratan datos sensibles sin darse cuenta. Una ficha médica de un trabajador, un examen preocupacional, una licencia o un dato de un programa social son datos sensibles. Identificarlos es uno de los primeros pasos del diagnóstico.
Cómo prepararse: checklist paso a paso
Prepararse no es comprar un software ni firmar un documento y olvidarse. Es un proceso ordenado que conviene empezar ahora. Este checklist resume la ruta que seguimos con nuestros clientes:
- Diagnóstico inicial: levantar qué datos trata la empresa, dónde están, quién accede y con qué finalidad.
- Inventario de bases de datos: mapear planillas, CRM, sistemas contables, correos y respaldos, incluidos los que maneja cada área por su cuenta.
- Identificar datos sensibles: marcarlos y revisar si su tratamiento tiene base legal y seguridad reforzada.
- Definir bases legales y finalidades: dejar por escrito por qué se trata cada dato y bajo qué justificación.
- Actualizar políticas y avisos: redactar o revisar la política de privacidad y los textos de consentimiento en formularios y sitio web.
- Revisar contratos con proveedores: incorporar cláusulas de protección de datos con quienes acceden a información, como nube, marketing o contabilidad externa.
- Procedimiento de derechos: crear un canal y un flujo interno para responder solicitudes de acceso, rectificación o eliminación.
- Plan ante brechas: definir cómo se detecta, contiene y notifica una vulneración de datos.
- Capacitar al equipo: el eslabón más débil suele ser humano, no técnico.
- Modelo de prevención de infracciones: formalizar un modelo interno de cumplimiento, que además opera como atenuante frente a la Agencia.
Este trabajo se conecta con la política de privacidad para pymes y con una buena due diligence legal, sobre todo si tu empresa busca inversión o quiere venderle a clientes grandes que exigen cumplimiento.
Errores frecuentes al enfrentar la nueva ley
- Creer que la ley solo afecta a grandes empresas o al retail.
- Dejar todo para el último trimestre antes de diciembre de 2026.
- Confundir tener una política de privacidad publicada con cumplir de verdad.
- No revisar los contratos con proveedores que acceden a datos.
- Pedir consentimiento genérico para todo, en vez de finalidades específicas.
- Guardar datos para siempre sin un criterio de eliminación.
Qué significa esto para una pyme
Una pyme no necesita el aparato de cumplimiento de un banco, pero sí necesita orden. La diferencia entre una empresa que se prepara y una que improvisa se nota el día que un cliente ejerce un derecho, cuando un proveedor sufre una brecha o cuando un cliente grande pide acreditar cumplimiento antes de firmar. En esos momentos, tener los datos ordenados deja de ser un trámite y pasa a ser una ventaja competitiva.
La recomendación práctica es tratar la protección de datos como parte de la gestión, no como un evento aislado. Integrarla con la contabilidad, los contratos y los procesos de la empresa evita duplicar esfuerzos. Si necesitas apoyo para ordenar tu operación, nuestros servicios contables se coordinan con la parte legal para que el cumplimiento no quede en un cajón.
FAQ sobre la Ley de Protección de Datos Personales en Chile
¿Desde cuándo rige la nueva ley de protección de datos?
La Ley 21.719 se publicó el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026. Ese plazo de 24 meses es el período de transición para que las empresas se adecúen antes de que la Agencia comience a fiscalizar.
¿La ley aplica a las pymes o solo a las grandes empresas?
Aplica a toda organización que trate datos personales, sin importar su tamaño. Si tu empresa tiene clientes, trabajadores o proveedores, trata datos personales y queda dentro del alcance de la ley. Lo que cambia es la proporción de las medidas, que deben ser adecuadas al riesgo de cada empresa.
¿Cuáles son las multas por incumplir la Ley 21.719?
Las multas van desde una amonestación o hasta 100 UTM en infracciones leves, hasta 5.000 UTM en las graves y hasta 20.000 UTM en las gravísimas. En reincidencia pueden escalar en función de los ingresos anuales de la empresa, además de la suspensión del tratamiento y la publicación de la sanción.
¿Qué es la Agencia de Protección de Datos Personales?
Es la nueva autoridad que crea la ley, una corporación autónoma de derecho público encargada de fiscalizar el cumplimiento, interpretar la normativa, ordenar medidas correctivas y aplicar sanciones. También lleva un registro público de las sanciones aplicadas.
¿Tener una política de privacidad publicada es suficiente para cumplir?
No. La política de privacidad es un componente, pero cumplir exige además pedir consentimiento válido, documentar finalidades, aplicar medidas de seguridad, atender los derechos de las personas y regular a los proveedores. El cumplimiento se demuestra con evidencia, no solo con un texto en el sitio web.
¿Por dónde debería partir una empresa que aún no hace nada?
Por un diagnóstico. Levantar qué datos trata, dónde están, quién accede y con qué finalidad permite ver las brechas reales y priorizar. A partir de ahí se ordenan inventarios, políticas, contratos y procedimientos, con tiempo suficiente antes de diciembre de 2026.
Cierre: preparar hoy lo que se exige en 2026
La Ley de Protección de Datos Personales cambia la forma en que las empresas chilenas deben tratar la información de las personas, con obligaciones concretas, derechos reforzados y una autoridad con poder para sancionar. La entrada en vigencia en diciembre de 2026 parece lejana, pero el trabajo de fondo, ordenar datos, redactar políticas, revisar contratos y capacitar equipos, toma meses. Las empresas que empiezan ahora convierten una obligación legal en una señal de confianza para clientes, bancos y socios. Puedes revisar el texto oficial en la Biblioteca del Congreso Nacional.




