Ley 21.719 — Guía Completa 2026

La nueva Ley de Protección de Datos Personales de Chile entra en vigencia el 1 de diciembre de 2026. Esta guía explica qué cambia, qué obligaciones tienes y cómo cumplir gratis, en lenguaje claro y actualizado a junio 2026.

Última revisión: 3 de junio de 2026 · Fuente: BCN — texto oficial

¿Qué es la Ley 21.719?

La Ley N° 21.719es la nueva regulación de protección de datos personales en Chile, publicada el 13 de diciembre de 2024. Su nombre formal es "modificación de la Ley N° 19.628 de Protección de la Vida Privada": no la deroga, la reescribe sustancialmente para alinear a Chile con los estándares internacionales (RGPD europeo, LGPD brasileña).

El texto introduce la Agencia de Protección de Datos Personales (APDP) como autoridad fiscalizadora, define 6 derechos para los titulares, impone obligaciones de información y seguridad a los responsables del tratamiento, y crea un régimen sancionatorio con multas de hasta 20.000 UTM (~$1.430M CLP a junio 2026).

¿Cuándo entra en vigencia?

1 de diciembre de 2026 — vigencia plena (Art. primero transitorio).

Desde esa fecha rige el articulado completo, incluyendo el régimen sancionatorio. La Ley 21.806 (5-feb-2026) modificó aspectos institucionales (designación del Consejo Directivo de la APDP antes del 1-jun-2026) pero no postergó la entrada en vigencia.

Hasta el 30 de noviembre de 2026 sigue vigente la Ley 19.628 original: política de privacidad opcional, plazo de respuesta de 2 días hábiles para solicitudes ARCOP, sin APDP fiscalizadora.

Comparación: Ley 19.628 (1999) vs Ley 21.719 (2026)

La diferencia es brutal. Aquí lo esencial:

Aspecto	Ley 19.628 (vigente hasta 30-nov-2026)	Ley 21.719 (desde 1-dic-2026)
Autoridad fiscalizadora	No existe	APDP (Agencia)
Multas	Solo vía judicial, máx. ~50 UTM	Hasta 20.000 UTM (~$1.430M CLP)
Política de Privacidad	Opcional	Obligatoria (Art. 14 ter)
Derechos del titular	ARCO (4)	6 derechos: ARCOP + Bloqueo
Plazo de respuesta	2 días hábiles	30 días corridos (+ prórroga 30)
Notificación de brechas	No obligatoria	Obligatoria (Art. 14 sexies)
Consentimiento	Tácito aceptable en muchos casos	Expreso, informado y específico
Datos sensibles	Categoría parcial	Régimen reforzado (Art. 2° g)
Transferencia internacional	Sin regulación específica	Requiere garantías (Arts. 27-29)
Régimen pyme	No aplica	Amonestación 1° año (Art. sexto transitorio)

Los 6 derechos del titular

La Ley 21.719 reconoce seis derechos. Los primeros cinco forman el clásico acrónimo ARCOP usado en doctrina chilena; el sexto, el Bloqueo temporal, es nuevo de la Ley 21.719.

Acceso (Art. 5) — el titular puede pedir copia de sus datos, las finalidades del tratamiento y la lista de terceros a quienes se cedieron.
Rectificación (Art. 6) — el titular puede corregir datos inexactos o incompletos.
Supresión (Art. 7) — el titular puede pedir la eliminación de sus datos cuando ya no sean necesarios.
Oposición (Art. 8) — el titular puede oponerse al tratamiento de sus datos para fines específicos (marketing directo, perfilamiento).
Portabilidad (Art. 9) — el titular puede pedir sus datos en formato estructurado y legible por máquina (CSV, JSON, XML).
Bloqueo temporal (Art. 8 ter) — el titular puede suspender el tratamiento mientras se resuelve una disputa de exactitud o legalidad. Durante el bloqueo solo se permite conservar los datos.

Plazo máximo de respuesta: 30 días corridos (Art. 11), prorrogable una sola vez por 30 días corridos adicionales cuando la complejidad lo justifique. Genera tu protocolo gratis →

Multas y régimen sancionatorio

Infracción leve

Hasta 5.000 UTM

≈ $358M CLP (jun-2026)

Infracción grave

Hasta 10.000 UTM

≈ $715M CLP (jun-2026)

Infracción gravísima

Hasta 20.000 UTM

≈ $1.430M CLP (jun-2026)

Los topes se calculan en UTM (Unidad Tributaria Mensual) publicada por el SII. Una infracción gravísima paradigmática: omisión deliberada de notificar una vulneración de datos sensibles (Art. 14 sexies + Art. 34 quáter f). Estima tu exposición con la calculadora →

Régimen especial para Pymes

El Art. sexto transitorio establece un régimen especial para empresas calificadas como pyme bajo la Ley N° 20.416 (microempresa, pequeña o mediana). Durante los primeros 12 meses de vigencia plena (1-dic-2026 al 1-dic-2027), la APDP podrá aplicar como sanción una amonestación por escrito en lugar de multa.

La gracia es sancionatoria, no normativa: las obligaciones son las mismas para pymes y grandes empresas. Lo que cambia es la severidad de la primera sanción durante el primer año. Desde diciembre de 2027, el régimen pleno aplica a todos por igual.

Obligaciones del responsable del tratamiento

Informar al titular antes o al momento de recolectar sus datos (Art. 14 ter): identidad del responsable, finalidades, base legal, plazos de conservación, terceros a quienes se cederán, derechos del titular.
Obtener consentimiento expreso, informado y específico cuando el tratamiento se funde en él (Art. 12).
Atender solicitudes ARCOP + Bloqueo dentro de 30 días corridos (Art. 11).
Adoptar medidas de seguridad técnicas y organizativas razonables (Art. 14 quinquies).
Notificar vulneraciones de seguridad a la APDP sin dilaciones indebidas y, cuando aplique, a los titulares afectados (Art. 14 sexies).
Mantener registros que permitan demostrar accountability ante una eventual fiscalización.
Limitar transferencias internacionales a países con nivel adecuado o mediante garantías contractuales (Arts. 27-29).

Vulneraciones de seguridad (brechas de datos)

El Art. 14 sexies obliga al responsable a comunicar a la APDP "por los medios más expeditos posibles y sin dilaciones indebidas" cualquier vulneración significativa. La ley chilena NO establece el plazo de 72 horas del RGPD europeo —ese plazo aparece reproducido erróneamente en muchos blogs locales.

Cuando los datos comprometidos sean sensibles, de menores de 14 años o económicos/financieros/bancarios/comerciales, también se debe notificar directamente a los titulares afectados.

La omisión deliberada de comunicar es infracción gravísima (Art. 34 quáter letra f). Genera tu protocolo de respuesta →

Cómo cumplir gratis (paso a paso)

Hacer el diagnóstico de cumplimiento (10 min) — sabrás dónde estás y qué te falta.
Generar la Política de Privacidad y publicarla en tu sitio web.
Crear el Registro de Tratamiento como evidencia de accountability.
Revisar los formularios de consentimiento en tus checkouts y formularios web.
Implementar el banner de cookies si usas analytics o publicidad online.
Crear el protocolo ARCOP + Bloqueo para responder solicitudes en plazo.
Preparar el protocolo de brechas y nombrar a quién avisar si hay un incidente.
Agregar la cláusula laboral de datos a tus contratos de trabajo.

Todo esto se hace en una tarde con las herramientas gratuitas de PrivacidadWeb. No necesitas abogado para los documentos base; sí lo necesitas para casos complejos (datos sensibles, fusiones, transferencias internacionales a países sin nivel adecuado).

Preguntas frecuentes

¿Cuándo entra en vigencia la Ley 21.719 en Chile?

La Ley 21.719 fue publicada el 13 de diciembre de 2024 y entra en vigencia plena el 1 de diciembre de 2026, conforme al Art. primero transitorio. Esta fecha aplica tanto al articulado sustantivo como al régimen sancionatorio. La Ley 21.806 (5-feb-2026) modificó aspectos institucionales pero NO postergó la fecha de vigencia.

¿A quién se aplica la Ley 21.719?

Aplica a cualquier persona natural o jurídica que trate datos personales en Chile, sin importar el tamaño de la empresa. No hay exención por giro ni por cantidad de datos: la ley rige por igual a una pyme, un profesional independiente, una multinacional y una entidad pública.

¿Cuáles son las multas de la Ley 21.719?

La Ley 21.719 clasifica las infracciones en leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM). A valor UTM junio 2026 ($71.506 SII), eso equivale aproximadamente a $357M, $715M y $1.430M CLP respectivamente. Las infracciones gravísimas incluyen la omisión deliberada de notificar una vulneración de datos sensibles (Art. 14 sexies + Art. 34 quáter letra f).

¿Qué derechos tienen los titulares bajo la Ley 21.719?

Seis derechos: Acceso (Art. 5), Rectificación (Art. 6), Supresión (Art. 7), Oposición (Art. 8), Portabilidad (Art. 9) y Bloqueo temporal (Art. 8 ter). Los primeros cinco forman el clásico ARCOP; el Bloqueo es un derecho autónomo introducido por la Ley 21.719 y permite suspender el tratamiento mientras se resuelve una disputa de exactitud o legalidad.

¿Las Pymes están exentas de la Ley 21.719?

No están exentas, pero el Art. sexto transitorio les otorga un régimen especial durante los primeros 12 meses de vigencia (1-dic-2026 al 1-dic-2027): la Agencia podrá aplicar amonestación por escrito en lugar de multa para empresas calificadas como pyme bajo la Ley N° 20.416. El régimen ordinario aplica desde el 1-dic-2027.

¿Qué documentos debo tener para cumplir la Ley 21.719?

Los documentos mínimos son: Política de Privacidad publicada en tu sitio web (Art. 14 ter); registro interno de las actividades de tratamiento como evidencia de accountability; formularios de consentimiento; banner de cookies si usas analytics o publicidad; protocolo para responder solicitudes de los 6 derechos; cláusula de protección de datos en contratos de trabajo (Art. 154 bis Código del Trabajo); y protocolo de respuesta ante vulneraciones de seguridad (Art. 14 sexies).

¿La Ley 21.719 reemplaza a la Ley 19.628?

La Ley 21.719 no deroga la Ley 19.628, sino que la modifica profundamente sustituyendo gran parte de su articulado. El nombre formal sigue siendo Ley 19.628, pero el contenido sustantivo es nuevo. En la práctica se la conoce simplemente como Ley 21.719 porque ese es el cuerpo normativo que introduce los cambios.

¿La APDP ya está operativa?

La Agencia de Protección de Datos Personales se constituye formalmente con la entrada en vigencia plena de la Ley 21.719 el 1 de diciembre de 2026. La designación de su Consejo Directivo, modificada por la Ley N° 21.806, debe ocurrir antes del 1 de junio de 2026. Hasta entonces no existe canal oficial de fiscalización ni recepción de notificaciones.

Fuentes oficiales