Durante 25 años, Chile reguló la protección de datos personales con la Ley 19.628, publicada en 1999. Una ley diseñada para un mundo sin redes sociales, sin e-commerce masivo, sin smartphones y sin algoritmos. Una ley que, en la práctica, no tenía quien la hiciera cumplir ni sanciones realmente disuasorias.
El resultado fue predecible: la Ley 19.628 se convirtió en letra muerta para la mayoría de las empresas. No había autoridad fiscalizadora con poder real, las multas eran inexistentes en la práctica, y los derechos de los titulares eran imposibles de ejercer sin ir a tribunales.
La Ley 21.719, publicada en diciembre de 2024 con vigencia plena en diciembre de 2026, cambia esto radicalmente. No es una reforma: es un reemplazo completo. Para las empresas que creían que "ya cumplían con la 19.628", la realidad es incómoda — cumplir la 19.628 no significa estar cerca de cumplir la 21.719.
Los 10 cambios más importantes
1. De ninguna autoridad a la Agencia de Protección de Datos (APDP)
Antes (Ley 19.628): No existía ningún organismo especializado con poder de fiscalizar el cumplimiento. Los titulares que veían sus derechos vulnerados debían recurrir a tribunales civiles, lo que hacía el ejercicio de derechos caro, lento e inasequible para la mayoría. En la práctica, la ley no tenía quien la aplicara.
Ahora (Ley 21.719): La Agencia de Protección de Datos Personales (APDP) es un organismo público autónomo, con personalidad jurídica y patrimonio propios, que opera con independencia del gobierno. Puede fiscalizar de oficio o por denuncia, aplicar sanciones directamente sin juicio previo, emitir instrucciones vinculantes y resolver reclamaciones de titulares.
Impacto para tu empresa: Antes, el riesgo de una sanción era teórico. Desde diciembre de 2026, la APDP puede iniciar una investigación por una denuncia en línea de cualquier cliente, y resolver el proceso con una multa directa. Para profundizar sobre la APDP, consulta nuestra guía sobre la Agencia de Protección de Datos.
2. De multas inexistentes a hasta 20.000 UTM
Antes (Ley 19.628): Las sanciones eran esencialmente civiles — responsabilidad por daños. En la práctica, nadie demandó masivamente bajo la Ley 19.628 porque el costo del litigio superaba ampliamente cualquier eventual compensación. El sistema no generaba incentivo real de cumplimiento.
Ahora (Ley 21.719): Tres niveles de infracciones con multas administrativas directas:
- Leves: hasta 5.000 UTM (~$335M CLP)
- Graves: hasta 10.000 UTM (~$670M CLP)
- Gravísimas: hasta 20.000 UTM (~$1.340M CLP)
Para empresas grandes, las multas pueden calcularse como porcentaje de facturación anual (hasta 4% en casos de reincidencia en infracciones gravísimas), superando los topes en UTM.
Impacto para tu empresa: El sistema de sanciones ahora genera incentivo real. Una multa de 10.000 UTM destruye el flujo de caja de la mayoría de las pymes. Para entender qué infracciones llevan a qué multas, consulta nuestra guía de multas de la Ley 21.719.
3. Del consentimiento ambiguo al consentimiento válido
Antes (Ley 19.628): La ley mencionaba el consentimiento pero sin definir sus características de validez. Un "al usar este sitio acepto la política de privacidad" enterrado en los términos y condiciones pasaba como consentimiento. No había requisitos claros de especificidad ni de forma.
Ahora (Ley 21.719): El Art. 12 establece cuatro requisitos acumulativos: el consentimiento debe ser libre (sin condicionamiento al servicio), informado (el titular sabe exactamente para qué), específico (una finalidad por consentimiento) e inequívoco (acción positiva — nunca casillas pre-marcadas). El bundle consent y el consentimiento por silencio son explícitamente inválidos.
Impacto para tu empresa: Si tu formulario web tiene una casilla pre-marcada que dice "acepto recibir comunicaciones", ese consentimiento no sirve bajo la nueva ley. Necesitas rediseñar los formularios. Ver nuestra guía completa sobre consentimiento.
4. De derechos ARCO limitados a ARCOP completo
Antes (Ley 19.628): Reconocía derechos básicos de Acceso, Rectificación, Cancelación y Oposición, pero sin plazos claros, sin gratuidad garantizada y sin mecanismo de reclamación administrativo eficaz. Ejercerlos requería carta certificada o litigio.
Ahora (Ley 21.719): Además de los derechos ARCO, se agrega la Portabilidad (recibir datos en formato estructurado y legible por máquina) y el derecho a no ser objeto de decisiones exclusivamente automatizadas (Art. 9). Todos los derechos tienen plazo de 30 días corridos para ser respondidos, son gratuitos, y su incumplimiento es infracción sancionable. El titular puede reclamar directamente ante la APDP sin ir a tribunales.
Impacto para tu empresa: Necesitas un Protocolo ARCOP documentado, un canal de recepción visible y un responsable designado. Incumplir el plazo de 30 días es infracción leve sancionable. Ver nuestra guía sobre derechos ARCOP.
5. De ninguna regulación a requisitos estrictos para transferencias internacionales
Antes (Ley 19.628): Las transferencias de datos a servidores fuera de Chile no estaban reguladas de forma específica. Usar Google Drive, Mailchimp, AWS o cualquier servicio con servidores en EE.UU. o Europa no generaba obligaciones adicionales.
Ahora (Ley 21.719): Las transferencias internacionales requieren que el país de destino tenga un nivel de protección "adecuado" o que existan garantías contractuales equivalentes (cláusulas estándar, normas corporativas vinculantes). Deben documentarse en el RAT y en la Política de Privacidad, indicando el país de destino y las garantías aplicables.
Impacto para tu empresa: Si usas herramientas cloud con servidores fuera de Chile (prácticamente todas las empresas modernas), debes mencionarlo en tu Política de Privacidad. El incumplimiento puede ser infracción grave.
6. De inexistente a obligatoria: la notificación de brechas
Antes (Ley 19.628): No existía ninguna obligación de notificar brechas de seguridad. Una empresa que sufriera un hackeo con filtración de datos de clientes podía simplemente no decir nada — y muchas lo hacían.
Ahora (Ley 21.719): El Art. 14 sexies establece la obligación de notificar brechas de seguridad a la APDP sin dilaciones indebidas (objetivo: 72 horas para datos sensibles) y a los titulares afectados cuando la brecha representa riesgo significativo para ellos. No notificar es por sí sola una infracción gravísima, independiente del incidente que causó la brecha.
Impacto para tu empresa: Necesitas un Protocolo de Brechas documentado antes de que ocurra el incidente. El tiempo de reacción en una brecha real es demasiado corto para improvisar el proceso.
7. Del DPO inexistente al responsable obligatorio en ciertos casos
Antes (Ley 19.628): No existía ninguna figura de responsable de protección de datos. No había obligación de designar a nadie para gestionar el cumplimiento.
Ahora (Ley 21.719): En organismos públicos y en empresas que tratan datos sensibles a gran escala o realizan perfilamiento masivo, la designación de un Delegado de Protección de Datos (DPO) o equivalente es obligatoria. Para el resto de las empresas, aunque no sea obligatorio formalmente, designar a un responsable interno es indispensable para cumplir con los plazos de la ley.
Impacto para tu empresa: Aunque no seas grande, alguien en tu empresa debe saber qué hacer cuando llega una solicitud ARCOP, cuando ocurre una brecha o cuando la APDP envía un requerimiento. Ver nuestra guía sobre el DPO.
8. De definición limitada a régimen reforzado para datos sensibles
Antes (Ley 19.628): Reconocía categorías de datos sensibles (salud, vida sexual, etc.) pero sin un régimen de tratamiento diferenciado claramente definido ni consecuencias distintas por violarlos.
Ahora (Ley 21.719): El Art. 16 establece una lista amplia de categorías sensibles (salud, biometría, origen étnico, religión, orientación sexual, afiliación sindical, condenas penales, opiniones políticas) con un régimen de protección reforzada: consentimiento expreso y por escrito, medidas de seguridad adicionales, y sanciones gravísimas por incumplimiento. Tratarlos sin base legal es directamente infracción gravísima.
Impacto para tu empresa: Muchas empresas tratan datos sensibles sin identificarlos como tales. Ver nuestra guía completa sobre datos sensibles.
9. Del RAT inexistente al Registro obligatorio
Antes (Ley 19.628): No existía ninguna obligación de documentar los tratamientos de datos. No había inventario, no había registro, no había evidencia de cumplimiento.
Ahora (Ley 21.719): Los responsables del tratamiento deben mantener un Registro de Actividades de Tratamiento (RAT) actualizado que documente todos los tratamientos: finalidad, base legal, categorías de datos, destinatarios y plazos de conservación. Es el documento central de la responsabilidad proactiva. La APDP puede solicitarlo en cualquier fiscalización.
Impacto para tu empresa: Sin RAT, en una fiscalización no tienes evidencia de que cumples. El proceso de crearlo además te obliga a mapear flujos de datos que quizás nunca habías analizado.
10. De sanciones civiles a infracciones administrativas directas
Antes (Ley 19.628): Las consecuencias por incumplimiento eran principalmente civiles: el afectado debía demandar y probar daño. Sin organismo fiscalizador, sin multas administrativas, sin proceso ágil de reclamación. El sistema era inofensivo en la práctica.
Ahora (Ley 21.719): La APDP puede abrir una investigación, sustanciar un procedimiento administrativo y aplicar una multa sin que el afectado tenga que ir a tribunales. Las multas son inmediatamente ejecutables. Las resoluciones son públicas. El sistema tiene dientes reales por primera vez en la historia del derecho de datos en Chile.
Impacto para tu empresa: El cumplimiento dejó de ser opcional. La probabilidad de consecuencias reales es real por primera vez.
¿Qué pasa si tu empresa "cumplía" la Ley 19.628?
Esta es la pregunta incómoda que pocas empresas se han hecho. La respuesta honesta es que cumplir la Ley 19.628 en 2024 significaba muy poco: publicar algo que dijera "política de privacidad", no vender bases de datos abiertamente, y responder si alguien llegaba a pedir acceso a sus datos.
Bajo la Ley 21.719, eso no es suficiente. Las brechas más frecuentes en empresas que "ya tenían algo" son:
Política de Privacidad incompleta. La 19.628 no exigía mencionar bases legales, plazos de conservación, transferencias internacionales ni mecanismos ARCOP con plazos. Casi ninguna política existente cumple los requisitos del Art. 14 ter de la nueva ley.
Consentimiento inválido. Los checkbox pre-marcados, los "al continuar aceptas nuestra política" y los bundle consent masivos que eran práctica estándar son todos inválidos bajo la nueva ley.
Sin RAT. Nadie tenía RAT porque nadie estaba obligado a tenerlo. Construirlo desde cero es el primer gran trabajo de cumplimiento para la mayoría de las empresas.
Sin protocolo de brechas. La notificación en 72 horas era impensable bajo la 19.628 porque no existía. Muchas empresas ni saben qué hacer si las hackean hoy.
Sin protocolo ARCOP. Responder en 30 días, de forma gratuita, por cualquier canal, requiere un procedimiento definido que la 19.628 nunca exigió formalizar.
La conclusión es directa: si no has revisado tu cumplimiento desde que se publicó la Ley 21.719, probablemente tienes brechas significativas aunque hayas tenido "algo" antes.
Preguntas frecuentes
¿La Ley 19.628 sigue vigente en algo?
No. Una vez que la Ley 21.719 entre en plena vigencia (diciembre 2026), deroga completamente la Ley 19.628. Desde esa fecha, el único marco legal aplicable es la nueva ley. Los documentos, políticas y procedimientos basados en la Ley 19.628 deben actualizarse.
¿Tengo que informar a mis clientes que la ley cambió?
No existe una obligación específica de notificar a tus clientes el cambio de ley. Lo que sí debes hacer es actualizar tu Política de Privacidad para que cumpla los requisitos de la Ley 21.719, y publicarla. Si el cambio implica nuevas finalidades o nuevos destinatarios respecto a los que informaste antes, sí debes notificar a los titulares.
Si ya tengo una política de privacidad basada en la 19.628, ¿puedo adaptarla o debo hacerla desde cero?
Técnicamente puedes adaptarla, pero en la práctica es más eficiente generarla desde cero con las herramientas correctas. Las políticas basadas en la 19.628 suelen carecer de la estructura y el contenido mínimo que exige el Art. 14 ter de la nueva ley, y "adaptar" implica reescribir la mayoría de las secciones.
¿La nueva ley se aplica retroactivamente a datos que recogí bajo la 19.628?
La ley aplica al tratamiento de datos desde su vigencia plena. Esto significa que si tienes bases de datos que construiste bajo la 19.628, desde diciembre de 2026 esos datos quedan sujetos a las obligaciones de la nueva ley: debes poder responder solicitudes ARCOP sobre ellos, debes tener base legal vigente para seguir tratándolos, y debes aplicarles las medidas de seguridad correspondientes.
¿Hay empresas chilenas que ya están usando la Ley 21.719 como ventaja competitiva?
Sí. En sectores B2B — especialmente tecnología, consultoría y servicios financieros — el cumplimiento de la Ley 21.719 se está convirtiendo en un criterio de evaluación para contratar proveedores. Empresas que quieren trabajar con clientes multinacionales o con el sector público están encontrando que certificar cumplimiento abre puertas que antes estaban cerradas.
Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos personales.