Saltar al contenido principal
PrivacidadWeb
Legal11 min de lectura·

5 Normativas Chilenas que tu Pyme Debe Cumplir en 2026

Panorama completo de las 5 normativas que afectan a las pymes chilenas en 2026: Ley Karin (acoso laboral), Ley 20.393 con Delitos Económicos, boleta electrónica SII, Ley 21.719 (datos personales) y Ley 21.663 (ciberseguridad). Plazos, sanciones, a quién aplica cada una y plan de cumplimiento integrado.

P

PrivacidadWeb

PrivacidadWeb.cl

El panorama regulatorio chileno para pymes cambió mucho entre 2024 y 2026. La Ley Karin entró en vigencia el 1 de agosto de 2024 y agregó protocolos obligatorios de prevención de acoso. La Ley de Delitos Económicos (21.595) reformó la responsabilidad penal de las personas jurídicas con vigencia desde el 1 de septiembre de 2024 y amplió a más de 200 delitos. El SII obliga a entregar copia impresa o digital de la boleta electrónica desde el 1 de mayo de 2025. La Ley 21.719 de Protección de Datos Personales entra en vigencia plena el 1 de diciembre de 2026. Y la Ley 21.663 de Ciberseguridad ya está vigente, aunque solo afecta directamente a un subgrupo específico de empresas.

Esta guía es el panorama integrado: las cinco normativas obligatorias que tu pyme debe cumplir en 2026, con plazos, sujetos obligados y sanciones máximas. No es un deep dive en ninguna, sino el mapa para que sepas cuáles te aplican y por dónde empezar.

Si llevas tiempo solo enfocado en datos personales, esta guía expande el horizonte: hay otras cuatro normativas con plazos vencidos o por vencer y sanciones reales. Para profundizar en Ley 21.719 específicamente, ver el checklist completo de cumplimiento Pyme.

Tabla resumen

| Normativa | Vigencia | A quién aplica | Sanción máxima | |---|---|---|---| | Ley 21.643 (Karin) | Vigente desde 01-AGO-2024 | TODO empleador con dependientes | Multas DT por tipificador (rango 1-60 UTM general) | | Ley 20.393 + Ley 21.595 | Reforma vigente 01-SEP-2024 | Toda persona jurídica de derecho privado y empresas del Estado | Día-multa (10 a 2.000.000 UTM) + extraordinarias | | SII Boleta/Factura electrónica | Boleta plena 01-ENE-2021; copia impresa 01-MAY-2025 | Toda empresa que emite boleta o factura | 50%-500% del monto + clausura hasta 20 días (Art. 97 N°10 CT) | | Ley 21.719 (Datos Personales) | Vigencia plena 01-DIC-2026 | Toda persona natural o jurídica que trate datos personales | Hasta 20.000 UTM (gravísima) | | Ley 21.663 (Ciberseguridad) | Vigente desde 01-ENE-2025 | Servicios Esenciales y OIV designados por ANCI | Hasta 40.000 UTM (gravísima OIV) |

1. Ley 21.643 — "Ley Karin" (acoso laboral, sexual y violencia)

Publicada en el Diario Oficial el 15 de enero de 2024 y vigente desde el 1 de agosto de 2024, la Ley Karin modifica el Código del Trabajo en materia de prevención, investigación y sanción del acoso laboral, sexual y violencia en el trabajo.

A quién aplica

A todo empleador con dependientes —sector público y privado, sin distinción de tamaño—. Si tienes 1 o más empleados con contrato de trabajo, esta ley te obliga.

Obligaciones esenciales

  • Protocolo de prevención escrito (Art. 211-A del Código del Trabajo) que debe estar visible para los trabajadores y formar parte de la inducción al cargo.
  • Procedimiento de investigación interna ante una denuncia, que debe respetar plazos legales y debido proceso.
  • Adopción de medidas de resguardo dentro de un plazo no mayor a 3 días desde recibida la denuncia.
  • Conclusión de la investigación interna en 30 días.
  • Aplicación de sanciones dentro de los 15 días hábiles judiciales desde la recepción del informe.
  • Capacitación regular del personal en materia de acoso y violencia laboral.

Plazo crítico cuando llega una denuncia

| Etapa | Plazo | |---|---| | Adoptar medidas de resguardo | ≤ 3 días desde la denuncia | | Concluir investigación interna | ≤ 30 días | | Pronunciamiento de la Dirección del Trabajo (si la investigación se eleva) | 30 días — silencio = aprobación tácita | | Aplicar sanciones | 15 días hábiles judiciales desde recepción del informe |

Reglamento e instructivo

El Decreto 21 del Ministerio del Trabajo (Diario Oficial 3 de julio de 2024) reglamenta la ley. La Dirección del Trabajo emitió el Dictamen Ord. N° 362/19 del 7 de junio de 2024 como interpretación oficial vinculante.

Sanción

Las multas se imponen a través del Tipificador de la Dirección del Trabajo (capítulo 24 con hechos infraccionales específicos de Ley Karin). Los rangos generales del Art. 506 CT van de 1 a 60 UTM dependiendo del tamaño de la empresa y la gravedad. No hay un valor único cerrado: depende del caso concreto.

Lo que NO hay que confundir: la Ley Karin se aplica a la relación empleador-trabajador con contrato de trabajo. La extensión a contratistas y proveedores externos depende de la Ley 20.123 sobre subcontratación; no es obligación universal automática.

2. Ley 20.393 + Ley 21.595 — Responsabilidad Penal de Personas Jurídicas

La Ley 20.393 establece la responsabilidad penal de las personas jurídicas. La Ley 21.595 (Ley de Delitos Económicos), publicada el 17 de agosto de 2023, la reformó estructuralmente. Las modificaciones para personas jurídicas entraron en vigor el 1 de septiembre de 2024.

A quién aplica

A toda persona jurídica de derecho privado y a las empresas del Estado, sin umbral de tamaño. Incorporando ahora —además de las empresas privadas que estaban desde la versión original— a empresas públicas creadas por ley, universidades del Estado, partidos políticos y personas jurídicas religiosas de derecho público.

Catálogo de delitos

La reforma amplió a más de 200 delitos por los que una persona jurídica puede ser penalmente responsable. Los grupos principales son:

  • Delitos económicos propiamente tales (estafa, administración desleal, defraudación, lavado de activos).
  • Delitos contra la salud pública (alimentos, fármacos).
  • Delitos contra el medio ambiente (algunos tipificados como económicos).
  • Cohecho a empleado público y financiamiento del terrorismo (catálogo histórico).
  • Receptación, contrabando, falsificación de documentos y otros.

Modelo de Prevención de Delitos (MPD)

Punto crítico mal entendido: la Ley 20.393 NO obliga a tener Modelo de Prevención de Delitos. Lo configura como eximente facultativa de responsabilidad: si la empresa adoptó e implementó un MPD razonable antes del delito, puede eximirse de la responsabilidad penal.

Para muchas pymes el MPD no es obligatorio, pero sí altamente recomendable porque sin él la empresa queda expuesta sin defensa específica frente a una imputación.

Sistema sancionatorio

| Sanción | Detalle | |---|---| | Multa ordinaria | Sistema día-multa, rango 10 UTM a 2.000.000 UTM | | Multa extraordinaria | Hasta el 30% de las ventas o el doble de las ganancias obtenidas del hecho | | Penas no pecuniarias | Disolución, prohibición de contratar con el Estado, pérdida de beneficios fiscales, supervisión judicial |

Algunas firmas legales citan "300.000 UTM" como tope ordinario; el texto del art. 12 reformado funciona con días-multa que pueden alcanzar el rango teórico de 2.000.000 UTM. Lo prudente es citar el rango día-multa, no un máximo único cerrado.

3. SII — Boleta y factura electrónica

La factura electrónica universal arranca con la Ley 20.727 del 31 de enero de 2014, con implementación gradual completa el 1 de febrero de 2018. La boleta electrónica obligatoria entró en vigencia el 1 de enero de 2021 para emisores de factura electrónica y el 1 de marzo de 2021 para los demás contribuyentes.

Obligación reciente

La Resolución Exenta SII N° 12 de 2025 obliga a entregar copia impresa o digital de la boleta electrónica al comprador:

  • Comercios con impresora: desde el 1 de mayo de 2025 deben entregar copia impresa.
  • Comercios sin impresora: plazo hasta el 1 de marzo de 2026 para entregar en formato digital (envío por email o despliegue en pantalla).

Documentos electrónicos obligatorios

Factura, factura no afecta o exenta, factura de compra, liquidación factura, nota de crédito y nota de débito (todos en formato electrónico desde 2018).

Sanciones por no emisión

El Art. 97 N° 10 del Código Tributario establece la sanción por no emisión o emisión irregular de boleta o factura:

  • Multa del 50% al 500% del monto de la operación.
  • Mínimo 2 UTM, máximo 40 UTA (Unidades Tributarias Anuales).
  • Clausura del establecimiento hasta por 20 días.

Es una de las sanciones tributarias más severas de Chile y se aplica con regularidad. El SII puede detectar incumplimiento por compras simuladas, denuncias y cruzando información de medios de pago electrónicos.

4. Ley 21.719 — Protección de Datos Personales

Publicada el 13 de diciembre de 2024, entra en vigencia plena el 1 de diciembre de 2026.

A quién aplica

A toda persona natural o jurídica que trate datos personales. Universal para pymes desde diciembre 2026. Hasta entonces sigue rigiendo la Ley 19.628 original, con régimen sancionatorio judicial menos exigente (multas 1 a 50 UTM, vía juez civil).

Obligaciones esenciales para tu pyme

  • Política de Privacidad publicada (Art. 14 ter).
  • Registro de Actividades de Tratamiento (RAT) documentado (Art. 14 quinquies).
  • Procedimiento ARSOPB (los seis derechos del titular: acceso, rectificación, supresión, oposición, portabilidad y bloqueo) — responder en 30 días corridos (Art. 11).
  • Medidas de seguridad proporcionales al riesgo (Art. 14 quinquies).
  • Procedimiento de notificación de vulneraciones "sin dilaciones indebidas" (Art. 14 sexies).

Sanciones (vigentes desde 1-DIC-2026)

| Categoría | Multa máxima | |---|---| | Leve | hasta 5.000 UTM | | Grave | hasta 10.000 UTM | | Gravísima | hasta 20.000 UTM | | Reincidencia (no-Pyme + grave/gravísima) | 2% (graves) o 4% (gravísimas) de los ingresos anuales |

A valor UTM mayo 2026 (~$70.588 CLP), una gravísima alcanza ~$1.412 millones de pesos.

Régimen Pyme transitorio

El Art. sexto transitorio establece que durante los primeros 12 meses (1-DIC-2026 a 1-DIC-2027), la APDP podrá aplicar amonestación escrita en lugar de multa a empresas calificadas como "de menor tamaño" según la Ley 20.416 (microempresa, pequeña y mediana hasta 100.000 UF en ventas anuales).

Para profundizar, ver el checklist completo de cumplimiento Pyme con los componentes específicos a implementar.

5. Ley 21.663 — Marco de Ciberseguridad

Publicada el 8 de abril de 2024 y vigente desde el 1 de enero de 2025 (general) y 1 de marzo de 2025 (régimen sancionatorio del Título VII).

A quién aplica

No a toda pyme. Solo a:

  • Servicios Esenciales (SE) — sectores eléctrico, combustibles, agua, telecom, infraestructura digital, financiero, salud, transporte, etc.
  • Operadores de Importancia Vital (OIV) designados por la ANCI mediante resolución exenta.

La primera nómina de OIV (915 instituciones) se publicó en el Diario Oficial el 17 de diciembre de 2025. Una segunda nómina preliminar (372 instituciones, en consulta pública desde abril 2026) ampliará la cobertura.

Si tu pyme no presta un servicio esencial sectorial ni fue designada OIV, la Ley 21.663 no te obliga directamente.

Obligaciones esenciales (solo SE/OIV)

  • Plan de continuidad operacional documentado.
  • Designación de Delegado de Ciberseguridad.
  • Reporte de incidentes al CSIRT Nacional con plazos estrictos (alerta inicial en 3 horas).
  • Plan de respuesta a incidentes.
  • Política de gestión de riesgos.

Sanciones (Título VII)

| Categoría | Servicio Esencial | Operador de Importancia Vital | |---|---|---| | Leve | hasta 5.000 UTM | hasta 10.000 UTM | | Grave | hasta 10.000 UTM | hasta 20.000 UTM | | Gravísima | hasta 20.000 UTM | hasta 40.000 UTM |

Hay descuento del 25% si la multa se paga en Tesorería General dentro de los 5 días siguientes a su notificación. Para entender en detalle la diferencia con la Ley 21.719, ver la comparativa específica entre ambas.

Plan de cumplimiento integrado

El error más común en pymes chilenas es abordar estas cinco normativas como cinco proyectos independientes con cinco responsables distintos. Es ineficiente y genera contradicciones. La mejor práctica es un plan integrado con cinco principios:

1. Inventario único de obligaciones

Una sola lista que documente, por cada normativa, qué obligación específica te aplica, quién es el responsable interno, qué fecha tiene de cumplimiento y qué evidencia hay del cumplimiento. Suele ser una planilla de 30-50 filas, no un mamotreto legal.

2. Responsable único de coordinación

Idealmente un compliance officer o el dueño en empresas más pequeñas. Su rol no es ser experto en cada normativa, sino asegurar que cada obligación tenga responsable específico y que no haya cruzamientos no detectados (por ejemplo, una vulneración de datos personales que también activa Ley 21.663 si tu pyme es OIV).

3. Capacitación cruzada

Las cinco normativas se solapan operativamente. Un solo programa de capacitación al equipo puede cubrir: protección de datos (21.719), prevención de cohecho y fraude (20.393), protocolo de acoso (Ley Karin), emisión correcta de boletas (SII), y respuesta a incidentes ciber (21.663 y 21.719). La capacitación en silos genera confusión; la capacitación cruzada genera coherencia.

4. Registro centralizado de evidencia

Toda la documentación —protocolos, registros, capacitaciones, contratos con encargados de tratamiento, política de privacidad, MPD si lo hay, libro de remuneraciones, etc.— en un repositorio único accesible. Esto resuelve simultáneamente fiscalizaciones DT, SII, APDP y eventualmente ANCI.

5. Calendario único de revisiones

Las cinco normativas requieren revisión periódica (anual la mayoría). En lugar de cinco ciclos separados, un calendario único con cinco hitos anuales reduce la carga administrativa.

Para preparar tu empresa frente a la Ley 21.719 específicamente, prueba el Diagnóstico de Cumplimiento. Y si quieres dimensionar la exposición regulatoria de un incidente con datos personales, la calculadora de multas entrega rangos UTM/CLP estimados.

Calendario regulatorio 2026 — fechas que tu pyme debe tener marcadas

01-MAY-2025 ─ SII obligación copia impresa boleta (con impresora)
01-MAR-2026 ─ SII plazo final entrega digital boleta (sin impresora)
01-JUN-2026 ─ Plazo Consejo Directivo APDP (Ley 21.806)
30-NOV-2026 ─ Última fecha del régimen Ley 19.628 actual
01-DIC-2026 ─ Vigencia plena Ley 21.719 + APDP operativa
01-DIC-2027 ─ Fin del período de gracia Pymes (Ley 21.719 Art. sexto transitorio)

A esto hay que sumar las obligaciones permanentes de la Ley Karin (vigente desde 2024) y el régimen RPPJ ampliado por la Ley 21.595 (vigente desde 2024 para personas jurídicas).

Próximos pasos concretos

  1. Audita tu situación frente a cada normativa. Una hoja de cálculo con cinco columnas (una por normativa) y filas por obligación específica te permite ver dónde estás cumpliendo y dónde no.
  2. Empieza por las que ya están vigentes: Ley Karin, RPPJ con Ley 21.595, SII boleta electrónica.
  3. Prepara las que vienen: Ley 21.719 a partir del 1-DIC-2026. Y si tu empresa fue designada SE u OIV, Ley 21.663 ya te obliga.
  4. Integra el equipo de cumplimiento. Si todavía tienes silos por área (RRHH, Finanzas, TI, Legal), considera un coordinador transversal.
  5. Mantén evidencia documentada. En todas las normativas la fiscalización pide documentación. Si tienes los procesos pero no la evidencia, estás peor que si tienes evidencia parcial sin procesos.

Preguntas frecuentes

¿Cuáles de estas 5 normativas son obligatorias incluso para una micro empresa?

Tres son universalmente obligatorias sin importar tamaño: la Ley 21.643 (Karin) si tienes uno o más empleados con contrato de trabajo; la Ley 20.393 si eres persona jurídica de derecho privado (sin umbral); y el SII en boleta/factura electrónica si emites comprobantes. La Ley 21.719 será obligatoria desde el 1 de diciembre de 2026 si tratas datos personales de cualquier tipo. La Ley 21.663 solo aplica si fuiste designado Servicio Esencial u Operador de Importancia Vital por la ANCI — la mayoría de las micro empresas no entran en esa categoría.

¿Tengo que tener un Modelo de Prevención de Delitos (MPD) para cumplir con la Ley 20.393?

No. La Ley 20.393 no obliga a tener Modelo de Prevención de Delitos. Lo configura como eximente facultativa: si tu empresa lo adoptó e implementó razonablemente antes de un delito imputado, puede eximirse de responsabilidad penal. Para empresas pequeñas con poca exposición a delitos catalogados, el MPD puede no ser prioritario. Para empresas con clientes públicos, exposición internacional o sectores regulados (financiero, salud, contratación pública), sí es altamente recomendable porque la ausencia de MPD deja a la empresa sin defensa específica frente a una imputación penal.

¿La Ley Karin se aplica también a contratistas externos?

La Ley 21.643 se aplica directamente a la relación empleador-trabajador con contrato de trabajo. La extensión a contratistas y proveedores externos depende de la Ley 20.123 sobre subcontratación, que establece responsabilidad solidaria del mandante en ciertos supuestos. No es obligación universal automática que el protocolo de tu empresa cubra a todos los contratistas, pero sí debes asegurarte de que tus contratistas relevantes tengan sus propios protocolos y de que tu protocolo aborde las situaciones de acoso entre tus trabajadores y trabajadores de empresas contratistas que operan en tu lugar de trabajo.

Mi pyme no fue designada Operador de Importancia Vital, ¿igual debo cumplir con la Ley 21.663?

Si tu pyme no figura en la nómina de SE/OIV de la ANCI, la Ley 21.663 no te obliga directamente con el régimen sancionatorio. Sin embargo, las recomendaciones técnicas y las Instrucciones Generales N° 2/3/4 publicadas por la ANCI en diciembre 2025 son referencia útil para cualquier organización. Y si trabajas como proveedor de un Servicio Esencial u OIV (por ejemplo, prestas servicios TI a un banco o clínica designada), puedes "heredar" obligaciones contractualmente porque el OIV te exigirá cumplir su nivel de seguridad.

¿Cuál es el orden de prioridad si tengo recursos limitados?

Una hoja de ruta razonable para una pyme típica con presupuesto limitado: (1) SII boleta/factura electrónica primero — es la fiscalización más activa y la sanción más inmediata; (2) Ley Karin segundo — vigente desde agosto 2024, exigible por la Dirección del Trabajo; (3) Ley 21.719 tercero — entra en vigencia el 1-DIC-2026 con régimen Pyme transitorio que te da margen el primer año; (4) Ley 20.393 cuarto si tu exposición a delitos catalogados es baja, aunque conviene revisar a partir del 2026; (5) Ley 21.663 solo si fuiste designado SE/OIV. Esta priorización refleja la urgencia y la severidad relativa, no el orden ético.

PrivacidadWeb es una herramienta tecnológica que genera templates y documentos orientativos basados en la Ley N° 21.719 y normativa chilena complementaria. Esta guía no constituye asesoría legal. Para situaciones complejas (designación OIV en disputa, MPD para empresas con exposición transnacional, fiscalizaciones simultáneas) recomendamos consultar con asesoría legal especializada.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🔎Legal

¿Te Fiscalizan? Guía 2026 para Empresas Chilenas

Guía universal sobre fiscalización en Chile: qué autoridades pueden fiscalizar a tu empresa (SII, DT, ANCI, APDP, Salud, SUBTEL, SERNAC), tus derechos durante el proceso, plazos típicos, documentación que típicamente piden, errores comunes que agravan la sanción y cuándo necesitas abogado.

🏛️Legal

ANCI vs APDP: Diferencias entre las Dos Agencias Chilenas

Chile estrenó dos agencias regulatorias nuevas en menos de dos años: ANCI (ciberseguridad) y APDP (datos personales). Esta guía compara qué hace cada una, a quién fiscaliza, qué multas puede aplicar, a cuál notificar un incidente y cómo coordinan en casos de doble jurisdicción.

🔍Guía

Cómo Saber qué Empresas Tienen tus Datos Personales en Chile

Guía práctica para titulares chilenos que quieren ejercer su derecho de acceso. 15 categorías de empresas que típicamente tienen tus datos, qué información pueden entregarte, plazos de respuesta y modelo de carta. Régimen Ley 19.628 actual y Ley 21.719 desde diciembre 2026.