La Ley 21.719 no solo crea nuevas obligaciones para las empresas — crea la institución que las hará cumplir. La Agencia de Protección de Datos Personales (APDP) es el organismo que convierte la nueva ley en una realidad con consecuencias reales: puede fiscalizar, sancionar y publicar esas sanciones sin que ningún tribunal tenga que intervenir primero.
Entender qué es la APDP, cómo funciona y qué puede hacerle a tu empresa no es detalle técnico — es información crítica para cualquier organización que opere en Chile desde diciembre de 2026.
Qué es la APDP y por qué existe
La Agencia de Protección de Datos Personales es un servicio público autónomo creado por la Ley 21.719, con personalidad jurídica y patrimonio propios, que funciona con independencia del Ejecutivo. No depende de ningún ministerio, no recibe instrucciones del gobierno de turno y tiene presupuesto propio.
Antes de la Ley 21.719, Chile era uno de los pocos países con legislación de protección de datos que no tenía autoridad fiscalizadora. La Ley 19.628 existía, pero no había nadie con poder real de aplicarla. Los titulares que veían sus derechos vulnerados debían recurrir a tribunales civiles — un proceso caro, lento e inasequible para la mayoría. En la práctica, la ley era letra muerta.
La APDP llena ese vacío. Es la primera autoridad de protección de datos con poder real en la historia de Chile, y su diseño institucional refleja estándares internacionales: la independencia política es un requisito explícito en la ley, reconociendo que una autoridad de privacidad que depende del gobierno es una autoridad capturada.
Para entender por qué su creación importa en el contexto del cambio de ley, consulta nuestra comparativa entre la Ley 19.628 y la Ley 21.719.
Estructura institucional: el Consejo Directivo
La APDP es dirigida por un Consejo Directivo de cinco miembros designados por el Presidente de la República con acuerdo del Senado. Cada miembro dura seis años en el cargo y no puede ser removido salvo por las causales específicas que la ley establece — una garantía de independencia frente a presiones políticas o empresariales.
El Consejo Directivo es colegiado: las decisiones relevantes (especialmente las sancionatorias) no las toma una sola persona sino el Consejo en su conjunto, lo que añade deliberación y reduce el riesgo de arbitrariedad.
La APDP tiene además:
Director Ejecutivo: responsable de la administración interna y la gestión operativa de la Agencia. No toma decisiones sancionatorias, pero gestiona los equipos de fiscalización, atención a titulares y comunicaciones.
Unidades técnicas especializadas: equipos de abogados especializados en privacidad de datos, técnicos en ciberseguridad y analistas de procesos que realizan las investigaciones concretas.
Funciones de la APDP
La Ley 21.719 atribuye a la APDP un conjunto amplio de funciones que van mucho más allá de sancionar:
Fiscalización y supervisión
La APDP puede iniciar investigaciones de oficio (por iniciativa propia, sin que nadie lo denuncie) o por denuncia de titulares afectados. Puede requerir información a cualquier responsable o encargado del tratamiento, solicitar documentación, realizar inspecciones y — en casos donde exista riesgo inmediato — adoptar medidas cautelares antes de que el procedimiento sancionatorio concluya.
Resolución de reclamaciones
Cuando un titular ejerce un derecho ARCOP y el responsable no responde o responde inadecuadamente, puede reclamar directamente ante la APDP. La Agencia resuelve la reclamación con un acto administrativo que puede ordenar al responsable cumplir — sin que el titular tenga que ir a un tribunal.
Emisión de instrucciones generales
La APDP puede emitir instrucciones de general cumplimiento: normas técnicas que todos los responsables del tratamiento deben seguir, sobre materias como medidas de seguridad mínimas, formatos del RAT, estándares de notificación de brechas o criterios para el análisis de impacto (DPIA). Estas instrucciones son vinculantes y su incumplimiento es infracción.
Certificación y acreditación
La APDP puede establecer y gestionar sistemas de certificación de cumplimiento para empresas que quieran acreditar que sus procesos son conformes a la ley. Esta función aún está en desarrollo en la fase de implementación inicial de la Agencia, pero es relevante para empresas que quieran obtener una ventaja competitiva verificable.
Educación y difusión
La APDP tiene un mandato explícito de educación pública: informar a los titulares sobre sus derechos y a las empresas sobre sus obligaciones. Esto incluye guías, orientaciones técnicas, campañas de información y atención directa a consultas.
Representación internacional
La APDP es el punto de contacto oficial de Chile con las autoridades de protección de datos de otros países. Esto es especialmente relevante para transferencias internacionales de datos: la APDP determina qué países tienen un nivel de protección "adecuado" y negocia acuerdos de cooperación con otras agencias.
Poderes sancionatorios: cómo la APDP aplica multas
El poder más relevante para las empresas es el poder sancionatorio administrativo directo. La APDP puede aplicar multas sin que el afectado tenga que demandar y sin que un tribunal tenga que aprobar la sanción previamente.
El procedimiento sancionatorio
Cuando la APDP decide investigar a una empresa, el proceso sigue estos pasos:
1. Apertura de investigación: la APDP notifica al responsable que hay una investigación en curso. El responsable puede presentar descargos y pruebas de cumplimiento.
2. Período de investigación: la APDP recopila información, puede solicitar documentos (incluyendo el RAT), puede hacer inspecciones y puede entrevistar a responsables técnicos.
3. Formulación de cargos: si la investigación confirma una infracción, la APDP formula cargos específicos y le da al responsable un plazo para presentar su defensa.
4. Resolución sancionatoria: el Consejo Directivo dicta una resolución que puede absolverlo o aplicar una sanción. La resolución es un acto administrativo ejecutable.
5. Recursos: el responsable puede impugnar la resolución ante los tribunales de justicia, pero mientras el recurso esté pendiente la multa puede estar vigente (la APDP puede exigir garantías).
Niveles de infracción y multas
La Ley 21.719 establece tres niveles con multas en UTM (Unidad Tributaria Mensual, ~$67.000 CLP):
| Nivel | Multa máxima | Monto aproximado | |-------|-------------|-----------------| | Leve | 5.000 UTM | ~$335 millones CLP | | Grave | 10.000 UTM | ~$670 millones CLP | | Gravísima | 20.000 UTM | ~$1.340 millones CLP |
Para empresas grandes, las multas pueden calcularse como porcentaje del ingreso anual cuando ese cálculo resulta mayor: hasta 2% en infracciones graves y hasta 4% en gravísimas reincidentes — lo que puede superar ampliamente los topes en UTM.
Para conocer qué conductas corresponden a cada nivel de sanción, consulta nuestra guía completa de multas de la Ley 21.719.
El Registro Nacional de Sanciones
Una de las herramientas más poderosas de la APDP no es económica sino reputacional: el Registro Nacional de Sanciones.
La Ley 21.719 obliga a la APDP a mantener y publicar un registro público de las sanciones que ha aplicado. Cualquier persona puede consultar qué empresas han sido sancionadas, por qué infracción y con qué monto.
¿Por qué importa esto para tu empresa?
- Un cliente que está evaluando trabajar con tu empresa puede consultar si tienes sanciones en el registro antes de firmar un contrato
- Un empleado que está considerando un trabajo puede verificar el historial de la empresa
- Los medios de comunicación tienen acceso directo a información pública de sanciones, sin necesidad de solicitudes de transparencia
- En licitaciones públicas, el historial en el registro puede ser criterio de descalificación
El efecto disuasivo del registro puede ser mayor que la multa misma. Una empresa que paga una multa de 2.000 UTM y queda registrada públicamente como infractora sufre un daño reputacional que puede costar mucho más en clientes y contratos perdidos.
Cómo fiscaliza la APDP: lo que debes esperar
La APDP puede fiscalizar a cualquier empresa que trate datos personales en Chile. Sus mecanismos principales son:
Fiscalización reactiva (por denuncia)
Cualquier titular puede denunciar a una empresa ante la APDP de forma gratuita, por formulario en línea. Si un cliente recibe un correo de marketing sin haber dado su consentimiento, si su solicitud ARCOP no fue respondida en 30 días, si sospecha que sus datos fueron filtrados en una brecha sin notificación — puede denunciarlo. La APDP decide si abre investigación.
Fiscalización proactiva (de oficio)
La APDP puede seleccionar sectores o empresas para revisión por iniciativa propia, sin esperar denuncias. Es razonable esperar que en los primeros años de operación la APDP realice investigaciones de oficio en sectores de alto riesgo: salud, retail, servicios financieros, plataformas digitales.
Requerimientos de información
La APDP puede enviarle a cualquier empresa un requerimiento formal de información: presentar el RAT, explicar las bases legales de determinados tratamientos, documentar las medidas de seguridad implementadas. Responder un requerimiento incorrectamente o fuera de plazo es en sí mismo una infracción.
Medidas cautelares
En situaciones de riesgo inmediato para los titulares — una brecha de seguridad activa, un tratamiento masivo evidentemente ilegal — la APDP puede ordenar medidas cautelares: suspender el tratamiento, bloquear el acceso a datos, o exigir medidas técnicas antes de que el procedimiento sancionatorio concluya.
La APDP en el contexto internacional: comparación con otras agencias
Chile llega tarde al mundo de las autoridades de protección de datos, pero llega con diseño moderno. Las principales agencias de referencia:
AEPD (España): Agencia Española de Protección de Datos, una de las más activas de la UE. En 2023 aplicó más de 400 sanciones. Ha multado a Meta, Google y Amazon. Referencia directa para el diseño de la APDP chilena.
CNIL (Francia): Commission Nationale de l'Informatique et des Libertés, activa desde 1978. Líder en sanciones de alto perfil en Europa. Multó a Google con €150 millones y a Facebook con €60 millones en 2022 por gestión de cookies.
ICO (Reino Unido): Information Commissioner's Office, activo antes del GDPR. Multó a British Airways con £20 millones y a Marriott con £18,4 millones por brechas de seguridad.
INAI (México): Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. Referencia latinoamericana más cercana para la APDP.
La diferencia clave: ninguna de estas agencias tiene recursos ilimitados. Todas priorizan. En los primeros años de operación, la APDP probablemente se enfocará en casos de alto impacto y alta visibilidad — brechas de datos masivas, tratamientos de datos sensibles sin base legal, incumplimientos evidentes del derecho de oposición.
Cronología: cuándo entra en operación la APDP
La Ley 21.719 fue publicada en diciembre de 2024. La APDP no opera desde el primer día — tiene un período de implementación:
2025: Período de instalación institucional. Designación del Consejo Directivo, contratación de equipos técnicos, desarrollo de sistemas informáticos, preparación de instrucciones generales.
Primer semestre 2026: La APDP comienza a recibir denuncias y consultas formales. Publicación de las primeras instrucciones generales de cumplimiento. Las empresas tienen hasta diciembre de 2026 para prepararse.
Diciembre 2026: Vigencia plena de la Ley 21.719. La APDP tiene poder sancionatorio pleno desde esta fecha. Las multas del régimen nuevo son aplicables.
2027 en adelante: Se esperan las primeras sanciones de alto perfil, publicadas en el Registro Nacional. Las empresas que no hayan avanzado en cumplimiento en 2025-2026 serán las más expuestas.
La ventana de preparación es real: tienes hasta diciembre de 2026. Pero la APDP ya existe institucionalmente desde antes de esa fecha, lo que significa que las empresas que esperen al último momento tendrán menos tiempo del que creen.
Qué significa la APDP para tu empresa: implicancias prácticas
Tienes un interlocutor formal. Cuando tengas dudas sobre cumplimiento, puedes consultar a la APDP. Cuando recibas una denuncia de un cliente, sabrás que hay un procedimiento formal con reglas claras. Cuando ocurra una brecha, sabrás a quién notificar.
Tu Política de Privacidad y tu RAT son documentos auditables. Si la APDP investiga tu empresa, lo primero que pedirá es el RAT y la Política de Privacidad. Si no los tienes o están incompletos, eso por sí solo puede ser infracción grave.
El responsable de privacidad tiene una contraparte. Quien sea tu responsable interno de privacidad — sea un DPO formal o un coordinador interno — necesita saber que existe la APDP y cómo responder a sus requerimientos.
Las denuncias son de bajo costo para los titulares. Un cliente insatisfecho puede denunciarte ante la APDP en 10 minutos desde su smartphone, de forma gratuita. Eso cambia el cálculo de riesgo para empresas que antes podían ignorar solicitudes ARCOP o ignorar sus políticas de privacidad.
El primer paso es siempre el diagnóstico: saber dónde estás hoy respecto a lo que la APDP puede revisar.
Preguntas frecuentes
¿Puede la APDP fiscalizar a cualquier empresa, sin importar su tamaño?
Sí. La Ley 21.719 aplica a todo responsable del tratamiento que opere en Chile, sin distinción de tamaño. Sin embargo, en la práctica, la APDP tiene recursos limitados y es probable que en sus primeros años priorice casos de alto impacto: brechas masivas, tratamientos de datos sensibles ilegales, incumplimientos en sectores de alto riesgo. Una pyme que tiene documentación básica en orden tiene bajo riesgo de ser el objetivo de una investigación proactiva, aunque sigue expuesta a denuncias de titulares.
¿La APDP puede entrar a mi empresa sin aviso a revisar mis sistemas?
No sin proceso previo. Las inspecciones se realizan dentro del marco del procedimiento de fiscalización, con notificación previa. La APDP no tiene poderes policiales para allanamientos sorpresa. Sin embargo, puede solicitar que en plazos muy cortos entregues documentación o acceso a ciertos registros — y no cumplir esos plazos es infracción independiente.
¿Puedo negociar con la APDP si descubro un incumplimiento antes de que lo detecte?
La Ley 21.719 contempla la autodenuncia y cooperación como factores atenuantes en el cálculo de la sanción. Una empresa que detecta un problema, lo reporta voluntariamente a la APDP y demuestra medidas correctivas tiene mejores perspectivas sancionatorias que una empresa que es detectada sin haberse movido. La cooperación genuina es una estrategia de gestión de riesgo real.
¿Las resoluciones de la APDP son públicas?
Las resoluciones sancionatorias sí son públicas y se incluyen en el Registro Nacional de Sanciones. Las resoluciones en procedimientos de reclamación también pueden publicarse cuando la APDP lo considera de interés general. Las consultas e instrucciones generales son públicas por definición.
¿Qué pasa si no estoy de acuerdo con una sanción de la APDP?
Puedes impugnarla ante los tribunales de justicia. La Ley 21.719 establece que las resoluciones sancionatorias de la APDP son recurribles ante la Corte de Apelaciones correspondiente. Mientras el recurso esté pendiente, es posible solicitar la suspensión de la multa como medida cautelar judicial, pero la APDP puede exigir garantías mientras tanto.
Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos personales.