Saltar al contenido principal
PrivacidadWeb
Guía15 min de lectura·

Ley 21.719: La Nueva Ley de Datos Personales en Chile — Guía Completa (2026)

Todo sobre la nueva ley de datos personales en Chile (Ley 21.719): plazos, multas de hasta $1.400M CLP, derechos ARCOP, obligaciones y cómo preparar tu empresa antes de diciembre 2026.

P

PrivacidadWeb

PrivacidadWeb.cl

Chile tiene una nueva ley de protección de datos personales, y con ella cambia todo. La Ley 21.719 reemplaza la antigua Ley 19.628 —un texto de 1999 que ya no daba respuesta a la realidad digital del país—. Promulgada el 13 de diciembre de 2024 y con vigencia plena el 1 de diciembre de 2026, este nuevo marco regula cómo cualquier empresa, profesional u organización debe recopilar, usar, almacenar y eliminar datos de sus clientes, empleados y usuarios.

Si tienes un negocio en Chile —sin importar el tamaño— y manejas información de personas (correos, RUTs, teléfonos, historial de compras, datos de salud), esta ley te aplica. No cumplir tiene consecuencias reales: multas de hasta 20.000 UTM (~$1.480M CLP), prohibición de tratamiento de datos y daño reputacional.

Esta guía está escrita para que un dueño de pyme, emprendedor digital o profesional independiente pueda entender qué exige la ley, qué derechos tienen sus clientes y qué documentos necesita tener listos antes de que entre en plena vigencia. Sin tecnicismos innecesarios.

¿Qué es la Ley 21.719? La nueva ley de datos personales de Chile

El problema que venía desde 1999

La Ley 19.628 fue la primera norma chilena de protección de datos personales. Fue publicada en 1999, cuando el iPhone no existía, el e-commerce era incipiente y las redes sociales no eran siquiera una idea. En ese contexto, la ley funcionó razonablemente bien. Pero en 25 años, la forma en que las empresas recopilan y usan datos cambió de forma radical.

Hoy, una pyme típica usa Google Analytics para medir su sitio web, Mailchimp para enviar correos, WhatsApp para comunicarse con clientes, y almacena todo en Google Drive o en un CRM. Cada una de esas herramientas transfiere datos de personas chilenas a servidores en Estados Unidos o Europa. La Ley 19.628 no tenía herramientas para regular esa realidad.

Qué cambia con la Ley 21.719

La nueva ley introduce cuatro cambios estructurales:

1. Crea la Agencia de Protección de Datos Personales (APDP), el primer organismo fiscalizador independiente con facultades reales para sancionar. Antes, no había un ente específico con poder de multar.

2. Establece multas significativas. Las sanciones van de 5.000 UTM para infracciones leves hasta 20.000 UTM (~$1.480M CLP) para infracciones gravísimas. Para empresas grandes, pueden calcularse como porcentaje de facturación, superando esos montos.

3. Amplía los derechos de las personas. Se reconocen los derechos de Acceso, Rectificación, Cancelación/Supresión, Oposición y Portabilidad —el llamado conjunto ARCOP— y se agregan nuevos como el derecho a no ser objeto de decisiones exclusivamente automatizadas (Art. 9).

4. Eleva los estándares mínimos. Toda empresa debe poder demostrar que cumple: con registros documentados, políticas publicadas y procedimientos formalizados. No basta con cumplir en la práctica si no hay evidencia de ello.

Relación con el GDPR europeo

La Ley 21.719 está inspirada directamente en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que desde 2018 se convirtió en el estándar global. Chile se une a la tendencia de adecuación normativa internacional, lo que tiene implicancias prácticas: las empresas chilenas que exportan servicios digitales o trabajan con clientes europeos encontrarán mayor compatibilidad entre ambos marcos.

¿A quién aplica la Ley 21.719?

La respuesta es más amplia de lo que muchos esperan. La ley aplica a toda persona natural o jurídica, pública o privada, con o sin fines de lucro, que trate datos personales en el contexto de actividades económicas, profesionales o comerciales (Art. 2°).

Esto significa que aplica a:

  • Empresas de cualquier tamaño: desde una micropyme hasta una multinacional
  • Profesionales independientes: abogados, psicólogos, contadores, médicos que tienen agenda de pacientes o clientes
  • ONGs y fundaciones: si tratan datos de beneficiarios, donantes o voluntarios
  • Instituciones educativas: colegios, universidades, academias con datos de alumnos y apoderados
  • Organismos públicos: aunque con algunas particularidades de la normativa pública
  • Empresas con sede fuera de Chile: si tratan datos de personas que están en territorio chileno

La ley no distingue por tamaño. Una peluquería que guarda el teléfono de sus clientes, un médico que tiene fichas de pacientes y una empresa de 500 empleados tienen las mismas obligaciones de fondo, aunque la escala y complejidad de su implementación varía.

Excepciones relevantes:

  • El tratamiento de datos para uso exclusivamente personal o doméstico (tu lista de contactos del teléfono)
  • Los medios de comunicación en el ejercicio de la libertad de información (con límites claros)
  • Algunas actividades de inteligencia y seguridad nacional expresamente excluidas por ley

Si gestionas datos de terceros en un contexto profesional o comercial, la ley te aplica.

Los 8 principios fundamentales (Art. 3°)

Todo el edificio de la Ley 21.719 se construye sobre ocho principios. Entenderlos es entender la lógica de la ley. Si tu empresa los respeta en cada decisión sobre datos, el cumplimiento es consecuencia natural.

1. Licitud

Solo puedes tratar datos si tienes una base legal válida. La ley reconoce las siguientes bases (Art. 13):

  • Consentimiento del titular, libre, informado, específico e inequívoco
  • Ejecución de un contrato con el titular (ej: necesitas su dirección para entregarle un pedido)
  • Cumplimiento de una obligación legal (ej: datos de empleados que debes reportar al SII)
  • Protección de intereses vitales del titular o de un tercero
  • Ejercicio de poderes públicos (para organismos estatales)
  • Interés legítimo del responsable, siempre que no prevalezca sobre los derechos del titular

Tratar datos sin base legal es la infracción más grave posible.

2. Finalidad

Los datos solo pueden usarse para la finalidad específica para la que se recopilaron. Si pediste el correo del cliente para enviarle la boleta, no puedes usarlo para enviar publicidad sin su consentimiento adicional. El cambio de finalidad requiere nueva base legal o nuevo consentimiento.

3. Proporcionalidad

Solo puedes recopilar los datos estrictamente necesarios para la finalidad declarada. Si para una reserva de mesa en tu restaurante solo necesitas nombre y teléfono, no pidas el RUT. Este principio se conoce también como minimización de datos.

4. Calidad

Los datos que tratas deben ser exactos, completos y actualizados. Debes tener mecanismos para que los titulares corrijan su información y para eliminar datos que ya no son exactos. Mantener datos desactualizados puede generar infracciones.

5. Responsabilidad proactiva

No basta con cumplir en la práctica: debes poder demostrarlo. Esto implica tener documentación, registros y procedimientos formalizados. El Registro de Actividades de Tratamiento (RAT), la Política de Privacidad y los protocolos escritos son las evidencias que la APDP revisará en una fiscalización.

6. Seguridad

Debes implementar medidas técnicas y organizativas proporcionales al riesgo para proteger los datos. No existe un estándar único obligatorio, pero la ley exige que las medidas sean adecuadas al volumen y sensibilidad de los datos tratados. Una clínica con fichas de pacientes necesita más medidas que una tienda con correos de clientes.

7. Transparencia

Las personas deben saber, en todo momento, qué datos tienes de ellas, para qué los usas y con quién los compartes. Este principio se materializa principalmente en la Política de Privacidad y en el deber de información del Art. 14 ter.

8. Confidencialidad

Quienes tienen acceso a datos personales en el contexto de su trabajo deben guardar reserva sobre esa información. Esta obligación persiste incluso después de que termine la relación laboral o contractual.

Derechos ARCOP: lo que tus clientes pueden exigirte

La Ley 21.719 reconoce un conjunto amplio de derechos que cualquier persona puede ejercer ante cualquier empresa u organización que trate sus datos. Como responsable del tratamiento, tienes 30 días corridos para responder cada solicitud, de forma gratuita.

Acceso (Art. 11)

El titular puede solicitar saber exactamente qué datos personales tuyos tienes de él, para qué los usas, con quién los compartes y por cuánto tiempo los conservarás. Debes entregarle toda esa información de forma clara y comprensible.

Ejemplo práctico: Un ex cliente pide ver todos los datos que guardas sobre él en tu sistema. Tienes 30 días para responderle con esa información completa.

Rectificación (Art. 12)

Si un dato es incorrecto, incompleto u obsoleto, el titular puede exigir que lo corrijas. Una vez que rectificas el dato, si lo habías compartido con terceros, también debes comunicarles la corrección.

Cancelación / Supresión (Art. 13)

El titular puede pedir que elimines sus datos cuando ya no sean necesarios para la finalidad que justificó su recopilación, cuando haya revocado su consentimiento, o cuando el tratamiento sea ilícito. La supresión no es absoluta: si tienes una base legal que obliga a conservar los datos (ej: obligación tributaria), puedes negarte fundadamente.

Oposición (Art. 14)

Las personas pueden oponerse a que sus datos sean usados para finalidades específicas, en especial para marketing directo o para tratamiento basado en interés legítimo cuando sus derechos prevalecen. Una vez recibida la oposición para marketing, debes cesar inmediatamente ese uso.

Portabilidad (Art. 15)

El titular puede pedir que le entregues sus datos en un formato estructurado y legible por máquina (CSV, JSON) para trasladarlos a otro servicio. Este derecho es especialmente relevante para plataformas digitales, SaaS y servicios de suscripción.

Derecho a no ser objeto de decisiones automatizadas (Art. 9)

Las personas tienen derecho a que decisiones con efectos jurídicos significativos —aprobación de un crédito, contratación laboral, acceso a un servicio— no se basen exclusivamente en tratamiento algorítmico sin intervención humana. Si usas sistemas de scoring o IA para tomar estas decisiones, debes ofrecer un mecanismo de revisión por persona.

¿Cómo responder una solicitud ARCOP? Necesitas un protocolo escrito que defina quién recibe la solicitud, cómo verificas la identidad del solicitante y en qué formato respondes. Genera tu Protocolo ARCOP gratis →

Obligaciones del responsable del tratamiento

La ley establece un conjunto de obligaciones para quien decide cómo y para qué se tratan los datos —el responsable del tratamiento. En la mayoría de los casos, ese eres tú como empresa o profesional.

1. Deber de informar (Art. 14 ter)

Antes de recopilar cualquier dato personal, debes informar al titular:

  • Quién eres y cómo contactarte
  • Qué datos recopilarás
  • Para qué finalidades
  • Cuál es la base legal de cada tratamiento
  • Con quién compartirás los datos (terceros, países)
  • Cuánto tiempo los conservarás
  • Cuáles son sus derechos y cómo ejercerlos

Este deber se materializa principalmente en la Política de Privacidad de tu sitio web o en un documento equivalente que el cliente reciba antes de entregar sus datos.

Genera tu Política de Privacidad gratis →

2. Registro de Actividades de Tratamiento (RAT)

Debes mantener un registro interno actualizado de todos los tratamientos de datos que realizas, con la información del Art. 14 quáter: finalidad, base legal, categoría de datos, destinatarios y plazo de conservación. El RAT es la evidencia clave de responsabilidad proactiva ante la APDP.

Genera tu RAT gratis →

3. Protección desde el diseño y por defecto (Privacy by Design)

La Ley 21.719 incorpora el principio de diseño orientado a la privacidad: desde el momento en que diseñas un producto, servicio o proceso que involucra datos personales, debes considerar la protección de datos como parte estructural, no como un añadido posterior. Por defecto, solo deben tratarse los datos estrictamente necesarios.

4. Contratos con encargados del tratamiento

Si delegas el tratamiento de datos a un tercero —un proveedor de software, una agencia de marketing, una consultora— ese tercero actúa como encargado del tratamiento y la relación debe estar formalizada en un contrato escrito (Art. 14 quinquies) que establezca las instrucciones, medidas de seguridad y obligaciones de confidencialidad.

5. Notificación de brechas de seguridad (Art. 14 sexies)

Si sufres un incidente de seguridad que compromete datos personales, tienes la obligación de notificarlo a la APDP dentro de 72 horas desde que tomas conocimiento, y comunicarlo a los titulares afectados sin dilaciones indebidas. No notificar a tiempo es una infracción grave por sí misma.

Genera tu Protocolo de Brechas gratis →

6. Banner de consentimiento de cookies

Si tu sitio web usa herramientas de rastreo (Google Analytics, Meta Pixel, píxeles de retargeting), necesitas un banner de cookies que solicite el consentimiento del usuario antes de activar esas herramientas. Las cookies analíticas y de marketing no pueden activarse antes de obtener el consentimiento.

Genera tu Banner de Cookies gratis →

Régimen de sanciones (Art. 35 y siguientes)

La Ley 21.719 establece tres niveles de infracciones con multas progresivas. El valor de referencia es la UTM (Unidad Tributaria Mensual), que a marzo de 2026 equivale aproximadamente a $74.000 CLP.

Infracciones leves — hasta 5.000 UTM (~$370M CLP)

Se consideran infracciones leves, entre otras:

  • No responder una solicitud ARCOP dentro del plazo de 30 días
  • Incumplir instrucciones o recomendaciones de la APDP
  • No mantener actualizado el Registro de Actividades de Tratamiento
  • Incumplimientos formales de la Política de Privacidad

Infracciones graves — hasta 10.000 UTM (~$740M CLP)

Constituyen infracciones graves:

  • Tratar datos sin base legal (sin consentimiento ni otra base válida)
  • No publicar o mantener actualizada la Política de Privacidad
  • Ceder datos a terceros sin base legal ni consentimiento del titular
  • Incumplir las obligaciones de seguridad cuando no sea gravísimo
  • No notificar una brecha de seguridad a tiempo

Infracciones gravísimas — hasta 20.000 UTM (~$1.480M CLP)

Son infracciones gravísimas:

  • Tratar datos sensibles (salud, biometría, orientación sexual, origen étnico, opiniones políticas) sin base legal o sin consentimiento explícito
  • Ceder datos sensibles a terceros sin autorización
  • Vulnerar gravemente el deber de seguridad con exposición masiva de datos
  • Reincidir en infracciones graves

Para grandes empresas, la ley establece que la multa puede calcularse como un porcentaje de la facturación anual cuando este cálculo resulte mayor que el tope en UTM, lo que puede elevar significativamente el monto.

Beneficio para pymes en el primer año: La ley contempla que durante el primer año de funcionamiento pleno de la APDP, las microempresas y pymes que cometan infracciones leves o graves por primera vez pueden recibir solo una amonestación (sin multa) si inician acciones de cumplimiento. Este beneficio no aplica para infracciones gravísimas.

La Agencia de Protección de Datos Personales (APDP)

La APDP es la institución central de la nueva arquitectura de privacidad en Chile. Se trata de un servicio público descentralizado, con personalidad jurídica y patrimonio propios, que opera con independencia del gobierno de turno.

Sus funciones principales son:

  • Fiscalizar el cumplimiento de la ley por parte de empresas y organismos públicos, tanto por denuncia como de oficio
  • Sancionar infracciones con amonestaciones, multas y, en casos extremos, la prohibición temporal o definitiva del tratamiento de datos
  • Emitir instrucciones de cumplimiento, guías técnicas y protocolos de referencia para los distintos sectores
  • Certificar mecanismos de autorregulación (códigos de conducta sectoriales) cuando cumplan los estándares de la ley
  • Resolver reclamaciones de titulares que vieron vulnerados sus derechos ARCOP
  • Representar a Chile en organismos internacionales de protección de datos

La APDP puede iniciar investigaciones por denuncia de un ciudadano o de oficio, cuando tenga indicios de infracción. En el marco de una investigación, puede solicitar documentos, realizar inspecciones y requerir información a cualquier organización.

La independencia de la APDP respecto del poder político es garantía de que su funcionamiento responderá a criterios técnicos y no de conveniencia. Su modelo más cercano es el del Servicio Nacional del Consumidor (SERNAC), pero con facultades sancionatorias directas mucho más significativas.

Calendario de implementación: las fechas clave

La Ley 21.719 tiene un proceso de entrada en vigencia escalonado. Estas son las fechas relevantes:

| Hito | Fecha | |---|---| | Publicación en el Diario Oficial | 13 de diciembre de 2024 | | Publicación de reglamentos de la APDP | Junio 2025 | | Inicio de operaciones de la APDP | Octubre 2026 | | Vigencia plena de la ley | Diciembre 2026 | | Inicio de fiscalizaciones con multas | Diciembre 2026 en adelante |

Lo que esto significa para tu empresa:

El período entre hoy y diciembre de 2026 es tu ventana de preparación. Las empresas que aprovechen este tiempo para implementar sus documentos y procedimientos llegarán a la fecha de vigencia en cumplimiento. Las que esperen arriesgan hacerlo bajo presión o con sanciones desde el día uno.

La APDP ha señalado que priorizará en sus primeras fiscalizaciones a los sectores que traten datos más sensibles: salud, banca, educación y e-commerce de alto volumen. Pero la ley aplica a todos desde el primer día de vigencia.

Los 8 documentos que tu empresa necesita

Cumplir con la Ley 21.719 se traduce en un conjunto de documentos y procedimientos concretos. PrivacidadWeb ofrece todos estos documentos de forma gratuita, sin registro y personalizados para tu industria.

1. Política de Privacidad

El documento público más importante. Debe estar publicado en tu sitio web y explicar qué datos recopilas, para qué, con quién los compartes, cuánto tiempo los conservas y cómo pueden los titulares ejercer sus derechos. Obligatorio si tienes cualquier punto de contacto digital con clientes.

Genera tu Política de Privacidad gratis →

2. Registro de Actividades de Tratamiento (RAT)

El documento interno más importante. Detalla todos los tratamientos de datos que realizas, con finalidades, bases legales y plazos. Es la evidencia clave de responsabilidad proactiva que la APDP revisará en una fiscalización.

Genera tu RAT gratis →

3. Banner de Consentimiento de Cookies

Obligatorio si tu sitio web usa herramientas de analytics o marketing (Google Analytics, Meta Pixel, Hotjar, etc.). El banner debe aparecer antes de activar esas herramientas y permitir al usuario aceptar o rechazar cada categoría de cookies.

Genera tu Banner de Cookies gratis →

4. Formulario de Consentimiento

Para los casos en que necesitas el consentimiento del titular como base legal: formularios de registro, formularios de contacto, suscripción a newsletters, etc. El consentimiento debe ser libre, informado, específico e inequívoco.

Genera tu Formulario de Consentimiento gratis →

5. Protocolo ARCOP

El procedimiento interno para recibir y responder solicitudes de Acceso, Rectificación, Cancelación/Supresión, Oposición y Portabilidad. Necesitas definir quién recibe las solicitudes, cómo verificas la identidad del solicitante y en qué plazo y formato respondes.

Genera tu Protocolo ARCOP gratis →

6. Protocolo de Brechas de Seguridad

El plan de respuesta ante incidentes de seguridad. Define cómo detectas una brecha, quién toma decisiones, cómo evalúas el alcance, cuándo y cómo notificas a la APDP (72 horas) y a los titulares afectados.

Genera tu Protocolo de Brechas gratis →

7. Cláusula de Privacidad para Contratos

Para incluir en contratos de trabajo, de prestación de servicios o de cliente. Informa a la contraparte sobre el tratamiento de sus datos en el contexto de la relación contractual y documenta el cumplimiento del deber de información.

Genera tu Cláusula Contractual gratis →

8. Diagnóstico de Cumplimiento

Antes de generar los documentos, es útil hacer un diagnóstico de la situación actual: qué datos tratas, cuáles son tus brechas de cumplimiento y cuáles son los documentos prioritarios para tu tipo de negocio.

Hacer el Diagnóstico gratis →

Preguntas frecuentes

¿La Ley 21.719 deroga completamente la Ley 19.628?

Sí. Una vez en plena vigencia (diciembre 2026), la Ley 21.719 reemplaza íntegramente a la Ley 19.628. Si tienes documentos (políticas de privacidad, cláusulas en contratos) basados en la normativa anterior, debes actualizarlos. Los conceptos, derechos y obligaciones son significativamente distintos.

¿La ley aplica a mi empresa si soy solo yo y un empleado?

Sí. La ley no establece umbral mínimo de tamaño ni de volumen de datos. Una empresa unipersonal que guarda el RUT de sus clientes para facturar está sujeta a las mismas obligaciones de fondo. La escala y complejidad de la implementación varía, pero la obligación existe.

¿Qué es un dato sensible y por qué es más delicado?

La Ley 21.719 define como datos sensibles aquellos que revelan características especialmente privadas de una persona: datos de salud (física o mental), biometría, origen étnico o racial, opiniones políticas, creencias religiosas, orientación sexual o afiliación sindical. Tratarlos sin base legal es una infracción gravísima con multa máxima de 20.000 UTM.

¿Necesito consentimiento para contactar a mis clientes existentes?

Depende del tipo de contacto. Las comunicaciones relacionadas directamente con el servicio contratado (confirmaciones, boletas, actualizaciones del pedido) tienen base legal en el contrato y no requieren consentimiento adicional. Las comunicaciones de marketing o publicidad sí requieren consentimiento separado, incluso para clientes actuales.

¿Google Analytics cumple con la Ley 21.719?

Google Analytics puede usarse de forma conforme a la ley si: (1) tienes un banner de cookies válido que solicita consentimiento antes de activarlo, (2) lo mencionas en tu Política de Privacidad como herramienta de análisis con transferencia a servidores en EE.UU., y (3) tienes configurados los controles de privacidad correspondientes (retención de datos reducida, anonimización de IPs).

¿Qué pasa si un cliente me pide que elimine todos sus datos?

Tienes 30 días corridos para responder. Si el cliente ya no tiene relación contractual contigo y no hay una obligación legal que te impida eliminar los datos (ej: conservación tributaria de 6 años para documentos SII), debes proceder a la eliminación. Puedes conservar el registro mínimo necesario para acreditar que tuviste esa relación y que respondiste la solicitud.

¿La ley aplica a mis empleados y sus datos laborales?

Sí. Los datos de empleados —RUT, liquidaciones, datos de salud para mutuales, datos bancarios para pago de sueldos— son datos personales regulados por la Ley 21.719. Debes tener cláusulas de privacidad en los contratos de trabajo y documentar el tratamiento de datos de empleados en el RAT.

¿Cómo sé qué tan expuesta está mi empresa?

La exposición depende del tipo de datos que tratas y cómo los tratas. Las industrias con mayor riesgo son las que manejan datos de salud (clínicas, consultorios, farmacias), datos financieros (e-commerce, fintech, corredores de propiedades) y datos de menores de edad (colegios, academias). Haz el diagnóstico gratuito para conocer tu situación específica.

La nueva ley de protección de datos personales entra en vigencia el 1 de diciembre de 2026. El tiempo para prepararse es ahora: cada documento que generes hoy es una obligación menos pendiente cuando la APDP inicie sus fiscalizaciones.

Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones complejas o específicas, consulta con un abogado especializado en protección de datos personales.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🌐Guía

Transferencia Internacional de Datos: Requisitos bajo la Ley 21.719

Si usas Gmail, AWS, HubSpot, Stripe o cualquier SaaS extranjero, estás haciendo transferencia internacional de datos. Guía práctica para regularizarla bajo la Ley 21.719.

👤Guía

Delegado de Protección de Datos (DPO): ¿Tu Empresa lo Necesita?

¿Cuándo la Ley 21.719 exige designar un DPO en Chile? Análisis práctico para pymes: cuándo es obligatorio, qué funciones tiene y cuál es la alternativa si no aplica.

📋Guía

Las 10 Obligaciones del Responsable de Datos bajo la Ley 21.719

La Ley 21.719 impone 10 obligaciones concretas a todo responsable del tratamiento de datos en Chile. Guía práctica con herramientas para cumplir cada una.