Saltar al contenido principal
PrivacidadWeb
Legal11 min de lectura·

Multas Ley 21.719: ¿Cuánto puede costar no cumplir con la protección de datos?

Conoce el sistema de sanciones de la nueva Ley de Protección de Datos Personales de Chile. Montos reales en pesos, 5 escenarios concretos de riesgo para pymes y cómo evitar las multas más graves.

P

PrivacidadWeb

PrivacidadWeb.cl

Hay dos tipos de empresas que leen sobre la Ley 21.719: las que piensan que es solo un requisito formal, y las que entienden que detrás hay un sistema de sanciones con dientes. La diferencia entre ambas puede ser una multa de hasta 20.000 UTM — aproximadamente $1.340 millones de pesos — además de daño reputacional, suspensión del tratamiento de datos y acciones civiles de los afectados.

La Agencia de Protección de Datos Personales (APDP) comenzará operaciones en octubre de 2026 con facultades plenas para fiscalizar, investigar y sancionar. No es un organismo de papel: el modelo que sigue — similar a la CMF o al SERNAC pero con multas más altas — implica investigaciones de oficio, fiscalizaciones sectoriales y resoluciones públicas que pueden destruir la reputación de una empresa.

El objetivo de esta guía no es generar pánico. Es darte el mapa real del riesgo para que tomes decisiones informadas sobre cuándo y cómo prepararte.

Cómo funciona el sistema de sanciones

La Ley 21.719 clasifica las infracciones en tres niveles, con multas expresadas en UTM (Unidades Tributarias Mensuales). El valor de la UTM a marzo de 2026 es de aproximadamente $67.000 CLP, lo que permite calcular el impacto real en pesos.

Antes de ver cada nivel, conviene entender cómo la APDP llega a iniciar un proceso sancionatorio. Puede hacerlo de dos formas:

  • Por denuncia de un titular de datos que considera que sus derechos fueron vulnerados. Cualquier persona puede presentar una reclamación ante la APDP si una empresa no responde su solicitud ARCOP, usa sus datos sin consentimiento o sufrió una brecha que la afectó.
  • De oficio, cuando la APDP detecta posibles infracciones por medios públicos (publicidad engañosa, noticias de brechas, auditorías sectoriales) o a través de sus propias fiscalizaciones programadas.

Nivel 1: Infracciones leves — hasta 5.000 UTM (~$335M CLP)

Las infracciones leves son las de menor gravedad, aunque sus multas son lejos de ser simbólicas. Corresponden principalmente a incumplimientos formales o de procedimiento.

Ejemplos de infracciones leves:

  • No informar al titular sobre cambios en la Política de Privacidad cuando estos afectan el tratamiento de sus datos
  • No contar con un mecanismo de contacto visible para que los titulares ejerzan sus derechos (email, formulario)
  • No mantener actualizado el Registro de Actividades de Tratamiento (RAT) cuando hay cambios en los procesos
  • Incumplir plazos de eliminación de datos documentados en la propia política de privacidad
  • No informar a los titulares cuando sus datos son cedidos a un tercero, si existe obligación de hacerlo

Multa máxima: 5.000 UTM × $67.000 = $335.000.000 CLP (~$335M)

Ejemplo real: Una empresa de e-commerce actualiza las herramientas de analytics que usa y comienza a compartir datos de comportamiento de compra con una empresa de inteligencia de mercado, sin actualizar su Política de Privacidad ni informar a sus clientes. La APDP puede sancionarla por infracción leve.

Nivel 2: Infracciones graves — hasta 10.000 UTM (~$670M CLP)

Las infracciones graves son las más frecuentes en la práctica empresarial cotidiana. Representan el núcleo del riesgo para la mayoría de las pymes chilenas, porque corresponden a las omisiones más comunes: no tener Política de Privacidad, usar datos sin consentimiento o no responder solicitudes de titulares.

Ejemplos de infracciones graves:

  • Tratar datos sin base legal válida: usar datos de clientes para campañas de marketing sin haber obtenido su consentimiento
  • No tener Política de Privacidad publicada o que esta sea incompleta (sin plazos de conservación, sin bases legales, sin derechos ARCOP)
  • Ceder datos a terceros (empresas socias, proveedores, plataformas) sin autorización del titular ni base legal
  • Usar datos para finalidades distintas a las declaradas al momento de recopilarlos (cambio de propósito sin base legal)
  • No responder una solicitud ARCOP dentro del plazo de 30 días corridos o responder de forma incompleta
  • No implementar medidas de seguridad básicas proporcionales al riesgo
  • No eliminar datos cuando el titular ejerce el derecho de supresión y no existe base legal para conservarlos

Multa máxima: 10.000 UTM × $67.000 = $670.000.000 CLP (~$670M)

Ejemplo real: Un restaurante recopila teléfonos de clientes para gestionar reservas y meses después comparte esa base de datos con una empresa de delivery para campañas conjuntas. Nunca informó a sus clientes que haría eso. La infracción es grave: cesión de datos sin base legal.

Nivel 3: Infracciones gravísimas — hasta 20.000 UTM (~$1.340M CLP)

Las infracciones gravísimas se reservan para los casos de mayor riesgo: tratamiento de datos sensibles sin base legal, brechas de seguridad no notificadas o uso fraudulento de datos personales.

Ejemplos de infracciones gravísimas:

  • Tratar datos sensibles sin base legal o consentimiento explícito: datos de salud, biometría, orientación sexual, religión, origen étnico, opiniones políticas, afiliación sindical (Art. 16, Ley 21.719)
  • No notificar una brecha de seguridad a la APDP sin dilaciones indebidas (Art. 14 sexies). Como referencia práctica: dentro de 72 horas para brechas con datos sensibles
  • Obstaculizar deliberadamente el ejercicio de derechos ARCOP de los titulares
  • Usar datos personales con fines fraudulentos o contrarios a la dignidad de las personas
  • Transferir datos al extranjero sin cumplir los requisitos legales de garantías equivalentes
  • Reincidir en infracciones graves una vez ya sancionado por ellas

Multa máxima: 20.000 UTM × $67.000 = $1.340.000.000 CLP (~$1.340M)

Ejemplo real: Una clínica privada sufre un hackeo que expone las fichas clínicas de 800 pacientes —datos de salud sensibles— y no lo notifica a la APDP porque teme el impacto reputacional. La omisión de la notificación es por sí sola una infracción gravísima, independiente del hackeo en sí.

Multa agravada por reincidencia: hasta el 4% de los ingresos anuales

Para empresas que no son pymes, la Ley 21.719 establece un mecanismo de sanción agravada que puede superar ampliamente los topes en UTM. Cuando una empresa reincide en infracciones graves o gravísimas, la multa puede calcularse como porcentaje de los ingresos anuales:

  • Primera reincidencia en infracción grave: hasta 2% de los ingresos anuales
  • Reincidencia en infracción gravísima: hasta 4% de los ingresos anuales

Este modelo es idéntico al del GDPR europeo y busca que las sanciones sean proporcionales al tamaño de la empresa. Para una empresa con $10.000M de ventas anuales, el 4% equivale a $400M — más que el tope en UTM. Para una multinacional, puede ser astronómico.

Para pymes, los topes en UTM suelen ser el límite aplicable. El mecanismo de porcentaje de ingresos está diseñado para empresas medianas y grandes.

El Registro Nacional de Sanciones y Cumplimiento

Una consecuencia que pocas empresas anticipan es la existencia del Registro Nacional de Sanciones, que la APDP tiene la obligación de mantener y publicar. Las resoluciones sancionatorias son públicas por ley.

Esto tiene implicancias reputacionales directas:

  • Los proveedores y clientes empresariales pueden verificar si una empresa tiene sanciones antes de firmar un contrato
  • Los medios de comunicación pueden cubrir las resoluciones más significativas
  • La APDP puede publicar advertencias públicas cuando detecta prácticas generalizadas de incumplimiento en un sector
  • Las resoluciones quedan indexadas en buscadores, vinculadas al nombre de la empresa

En muchos sectores, la publicidad de una sanción puede causar más daño que la multa misma. Una clínica sancionada por filtrar fichas médicas, un colegio sancionado por publicar fotos de menores o una fintech sancionada por decisiones crediticias ilícitas enfrentan consecuencias que van mucho más allá de la boleta de la APDP.

Pymes: el "año de gracia" existe, pero no significa lo que crees

La Ley 21.719 contempla un régimen especial para microempresas y pymes durante el primer año de funcionamiento pleno de la APDP. En ese período, las infracciones leves y graves por primera vez pueden resolverse con una amonestación en lugar de multa, siempre que la empresa inicie acciones de cumplimiento.

Esto suena como un colchón. Y lo es — pero con condiciones importantes que muchas empresas malinterpretan.

Lo que el año de gracia NO significa:

  1. No significa inmunidad. Las infracciones gravísimas no tienen beneficio de amonestación. Una pyme que trate datos de salud sin base legal o que no notifique una brecha puede ser multada desde el primer día.

  2. No significa que puedes esperar a diciembre de 2026 para empezar. La amonestación solo se aplica si la empresa "inicia acciones de cumplimiento" al ser notificada. Llegar al proceso sancionatorio sin ningún documento preparado hace más difícil demostrar buena fe.

  3. No protege ante acciones civiles. Si un cliente sufre daño real por una brecha o por uso indebido de sus datos, puede demandarte civilmente independiente de lo que resuelva la APDP.

  4. No previene la suspensión del tratamiento. La APDP puede ordenar que dejes de usar datos mientras dura la investigación, lo que puede paralizar operaciones incluso si la multa final es una amonestación.

La conclusión: el año de gracia es un incentivo para que las empresas que están en proceso de cumplimiento no sean destrozadas por infracciones menores durante la curva de aprendizaje. No es una licencia para posponer el cumplimiento.

Contexto: ¿cómo se compara con el GDPR europeo?

El GDPR (Reglamento General de Protección de Datos de la Unión Europea) es el estándar global de referencia en materia de multas de privacidad. Algunas multas históricas:

| Empresa | País | Infracción | Multa | |---|---|---|---| | Meta | Irlanda | Transferencias ilegales a EE.UU. | €1.200M (~$1.300M USD) | | Amazon | Luxemburgo | Publicidad sin consentimiento | €746M (~$820M USD) | | Google | Francia | Cookies sin consentimiento | €150M (~$165M USD) | | H&M | Alemania | Vigilancia ilegal de empleados | €35M (~$38M USD) | | Uber | Países Bajos | Transferencia ilegal de datos | €290M (~$320M USD) |

Chile no tiene el escala de Europa ni el contexto regulatorio de 25 años de aplicación del GDPR. Las primeras multas chilenas serán probablemente menores. Pero la dirección es clara: las sanciones de privacidad son una realidad global, y Chile se alinea con ese estándar.

La Ley 21.719 permite además que las multas chilenas se calculen como porcentaje de facturación para empresas grandes — el mismo mecanismo que hace del GDPR tan efectivo para sancionar a multinacionales.

5 escenarios reales de riesgo para pymes chilenas

Estas no son situaciones hipotéticas. Son prácticas que ocurren hoy en miles de empresas chilenas y que serán sancionables desde diciembre de 2026.

Escenario 1: E-commerce que envía newsletters sin consentimiento

Una tienda online recopila el correo de sus clientes en el proceso de compra y los agrega automáticamente a su lista de newsletter. No tienen una casilla de opt-in separada para comunicaciones de marketing.

Infracción: Uso de datos para finalidad distinta a la declarada (el correo se pidió para la boleta, no para marketing). Grave. Multa potencial: Hasta 10.000 UTM (~$670M CLP) Solución: Agregar una casilla de consentimiento opcional para marketing en el formulario de compra. El consentimiento debe ser separado, visible y fácilmente revocable.

Escenario 2: Clínica que no protege fichas de pacientes

Una clínica privada almacena las fichas de sus pacientes en un servidor interno sin actualizar desde 2019, con una contraseña genérica que comparte todo el personal. Un ransomware cifra el servidor y los datos quedan expuestos.

Infracción: Incumplimiento del deber de seguridad en datos sensibles de salud + no notificación de brecha. Gravísima. Multa potencial: Hasta 20.000 UTM (~$1.340M CLP) Solución: Actualizar el sistema de gestión clínica con cifrado, contraseñas individuales por usuario y copias de seguridad externas. Tener un Protocolo de Brechas documentado.

Escenario 3: Colegio que publica fotos de menores sin autorización de apoderados

Un colegio publica en su sitio web y redes sociales fotografías de actividades académicas donde aparecen estudiantes menores de edad identificables. Los apoderados nunca firmaron un consentimiento específico para el uso de imágenes de sus hijos.

Infracción: Tratamiento de datos de menores sin el consentimiento del apoderado legal. Grave (puede alcanzar gravísima si se considera el riesgo especial de menores). Multa potencial: Hasta 10.000 UTM (~$670M CLP) Solución: Obtener consentimiento firmado de cada apoderado al inicio del año escolar, con casillas separadas para uso de imagen en web, redes sociales y materiales impresos.

Escenario 4: Restaurante que comparte base de datos con empresa de delivery

Un restaurante acumula durante años los datos de contacto de sus clientes (nombre, teléfono, dirección de entrega). Llega a un acuerdo comercial con una empresa de delivery y le transfiere la base completa para que los contacte con ofertas conjuntas. Los clientes nunca supieron que sus datos serían compartidos con terceros.

Infracción: Cesión de datos a terceros sin base legal ni consentimiento del titular. Grave. Multa potencial: Hasta 10.000 UTM (~$670M CLP) Solución: Informar en la Política de Privacidad con quién se pueden compartir los datos. Para cesiones a terceros con fines comerciales, obtener consentimiento separado. Nunca transferir bases de datos sin base legal.

Escenario 5: Contador que almacena datos de clientes en computador personal sin respaldo

Un contador independiente mantiene los datos tributarios de 80 clientes —RUTs, liquidaciones, datos de cuentas bancarias, estados financieros— en su laptop personal, sin contraseña de inicio de sesión, sin cifrado y sin copias de seguridad. El computador es robado.

Infracción: Incumplimiento del deber de seguridad en datos financieros. Grave (si hay datos sensibles adicionales, puede ser gravísima). Multa potencial: Hasta 10.000 UTM (~$670M CLP) + responsabilidad civil frente a los clientes afectados Solución: Activar contraseña y cifrado de disco en el computador, hacer copias de seguridad automáticas en nube con contraseña, nunca almacenar datos de clientes en dispositivos no protegidos.

¿Cómo evitar estas multas? Cumple hoy, gratis

La mayoría de las infracciones descritas tienen una respuesta concreta, documentada y disponible de forma gratuita. PrivacidadWeb ofrece todas las herramientas que una pyme necesita para cumplir con la Ley 21.719 sin pagar a un abogado ni a una consultora.

El primer paso es entender cuál es tu exposición real:

Hacer el Diagnóstico de Cumplimiento gratis →

Los documentos que previenen las multas más frecuentes:

Preguntas frecuentes

¿La APDP puede fiscalizar a mi empresa aunque nadie la haya denunciado?

Sí. La APDP tiene facultades para iniciar investigaciones de oficio. En sus primeros años, es esperable que realice fiscalizaciones sectoriales —en sectores de alto riesgo como salud, educación, e-commerce— sin esperar denuncias individuales.

¿Qué pasa si corrijo el problema una vez notificado por la APDP?

La subsanación voluntaria durante el proceso de investigación es una circunstancia atenuante que puede reducir la multa final. En el primer año de funcionamiento de la APDP, para pymes con infracciones leves o graves por primera vez, puede resultar en una amonestación en lugar de multa si se adoptan medidas de cumplimiento. No elimina el proceso, pero lo mejora.

¿Mis clientes pueden demandarme por daños en los tribunales, además de la multa de la APDP?

Sí. Las sanciones de la APDP y las acciones civiles de los afectados son independientes. Un titular de datos que sufrió daños concretos (daño reputacional, discriminación laboral, fraude por exposición de sus datos) puede demandar civilmente por reparación, independiente de lo que resuelva la APDP.

¿Existe algún seguro que cubra las multas de la APDP?

En Chile, algunos seguros de ciberriesgos cubren costos de gestión de brechas, notificaciones y daño reputacional, pero generalmente no cubren las multas regulatorias directamente. La mejor cobertura sigue siendo el cumplimiento preventivo.

¿Cuándo empieza realmente a multar la APDP?

La APDP inicia operaciones formales en octubre de 2026, con la ley en plena vigencia desde diciembre de 2026. Durante el período de instalación (octubre-diciembre 2026) es esperable que la APDP se enfoque en emitir instrucciones y resolver denuncias urgentes. Las fiscalizaciones sistemáticas con multas deberían intensificarse durante 2027, aunque la facultad legal existe desde diciembre de 2026.

Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos personales.

Tabla de sanciones

Multas Ley 21.719 por nivel de infracción

UTM a marzo 2026: ~$67.000 CLP. Fiscalización inicia en diciembre 2026.

Infracción Leve
5.000 UTM
~$335M CLP
  • No responder una solicitud ARCOP en 30 días
  • No actualizar el Registro de Actividades de Tratamiento
  • Incumplir instrucciones de la APDP
  • Política de Privacidad desactualizada o incompleta
Pymes: Las pymes con primera infracción leve pueden recibir solo amonestación si inician acciones de cumplimiento.
Infracción Grave
10.000 UTM
~$670M CLP
  • Tratar datos sin base legal (sin consentimiento ni otra base válida)
  • No publicar Política de Privacidad
  • Ceder datos a terceros sin autorización del titular
  • No notificar una brecha de seguridad en 72 horas
Pymes: Primera vez puede resultar en amonestación para pymes que acrediten inicio de cumplimiento. No aplica si hay daño real a titulares.
Infracción Gravísima
20.000 UTM
~$1.340M CLP
  • Tratar datos sensibles (salud, biometría, orientación sexual) sin base legal
  • Ceder datos sensibles a terceros sin autorización
  • Brecha masiva de datos por incumplimiento grave de seguridad
  • Reincidencia en infracciones graves
Pymes: Sin beneficio de amonestación. Aplica multa desde el primer evento. Para empresas grandes, puede calcularse como % de facturación anual.
Referencia: Arts. 35–39, Ley N° 21.719. Para empresas con facturación alta, la multa puede calcularse como porcentaje de facturación anual si ese monto supera el tope en UTM.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🌐Guía

Transferencia Internacional de Datos: Requisitos bajo la Ley 21.719

Si usas Gmail, AWS, HubSpot, Stripe o cualquier SaaS extranjero, estás haciendo transferencia internacional de datos. Guía práctica para regularizarla bajo la Ley 21.719.

📋Guía

Ley 21.719: La Nueva Ley de Datos Personales en Chile — Guía Completa (2026)

Todo sobre la nueva ley de datos personales en Chile (Ley 21.719): plazos, multas de hasta $1.400M CLP, derechos ARCOP, obligaciones y cómo preparar tu empresa antes de diciembre 2026.

👤Guía

Delegado de Protección de Datos (DPO): ¿Tu Empresa lo Necesita?

¿Cuándo la Ley 21.719 exige designar un DPO en Chile? Análisis práctico para pymes: cuándo es obligatorio, qué funciones tiene y cuál es la alternativa si no aplica.