La Ley N° 21.719 es la nueva Ley de Protección de Datos Personales de Chile, promulgada el 13 de diciembre de 2024. Reemplaza a la antigua Ley 19.628 y moderniza radicalmente el marco jurídico de privacidad en el país, acercándolo a estándares internacionales como el GDPR europeo.
Si tienes una empresa, un negocio propio o un emprendimiento digital en Chile, esta ley te afecta directamente. Aquí te explicamos todo lo que necesitas saber.
¿Por qué necesitaba Chile una nueva ley de datos?
La Ley 19.628, vigente desde 1999, quedó obsoleta. Fue diseñada para un mundo sin redes sociales, sin e-commerce masivo y sin aplicaciones móviles. En 25 años, la forma en que tratamos datos personales cambió radicalmente.
La Ley 21.719 responde a esa realidad con un marco moderno que:
- Crea la Agencia de Protección de Datos Personales (APDP), el organismo fiscalizador independiente
- Establece multas significativas para quienes incumplan: hasta 20.000 UTM para infracciones gravísimas (~$1.400M CLP)
- Reconoce nuevos derechos para las personas, incluyendo la portabilidad de datos
- Exige transparencia real sobre cómo se usan los datos
¿Cuándo entra en vigor la Ley 21.719?
La ley tiene una entrada en vigor gradual:
| Aspecto | Fecha | |---|---| | Publicación en el Diario Oficial | 13 de diciembre de 2024 | | Creación y funcionamiento de la APDP | 2025 | | Vigencia plena para todos los obligados | Enero de 2027 |
Esto significa que tienes tiempo para prepararte, pero ese tiempo es finito. Las empresas que esperen hasta el último momento se expondrán a sanciones desde el primer día de vigencia plena.
¿A quién aplica la Ley 21.719?
La ley aplica a toda persona natural o jurídica que trate datos personales en el ejercicio de actividades económicas, profesionales o comerciales. No importa:
- El tamaño de la empresa (aplica a micropymes, pymes y grandes empresas)
- Si es con o sin fines de lucro (aplica también a ONGs, fundaciones, colegios)
- Si eres persona natural o empresa (un profesional independiente también debe cumplir)
- Si estás en Chile o fuera de Chile, siempre que trates datos de personas en Chile
Resumen: Si tienes un formulario de contacto en tu sitio web, una base de datos de clientes, o envías correos de marketing, esta ley te aplica.
Los principios fundamentales de la Ley 21.719
La nueva ley se organiza en torno a seis principios que deben guiar todo tratamiento de datos:
1. Licitud y lealtad
Solo puedes tratar datos si tienes una base legal válida. Las bases legales reconocidas son:
- Consentimiento del titular
- Ejecución de un contrato
- Cumplimiento de una obligación legal
- Protección de intereses vitales
- Interés público o ejercicio de poderes públicos
- Interés legítimo del responsable (con limitaciones)
2. Finalidad
Los datos solo pueden usarse para la finalidad específica para la que fueron recopilados. No puedes recopilar datos para "contactar al cliente" y luego usarlos para publicidad de terceros.
3. Proporcionalidad
Solo debes recopilar los datos estrictamente necesarios para la finalidad declarada. Si para entregar un pedido necesitas la dirección pero no el RUT, no debes pedir el RUT.
4. Calidad
Los datos deben ser exactos y actualizados. Debes tener mecanismos para que los titulares corrijan sus datos.
5. Seguridad
Debes implementar medidas técnicas y organizativas proporcionales al riesgo para proteger los datos.
6. Responsabilidad proactiva
Debes poder demostrar que cumples con la ley, no solo cumplir. Esto implica tener documentación, registros y procedimientos formalizados.
Los nuevos derechos de las personas (ARCOP+)
La Ley 21.719 amplía significativamente los derechos de los titulares de datos:
Derecho de Acceso
Cualquier persona puede solicitar saber qué datos tienes de ella, para qué los usas, con quién los compartes y cuánto tiempo los conservarás. Tienes 30 días corridos para responder (Art. 11).
Derecho de Rectificación
Si un dato es incorrecto, el titular puede exigir que lo corrijas.
Derecho de Supresión
El titular puede pedir que elimines sus datos en los casos previstos por la ley (datos innecesarios para la finalidad original, consentimiento revocado, datos tratados ilícitamente, entre otros).
Derecho de Oposición
Las personas pueden oponerse a que sus datos sean usados para marketing directo u otras finalidades específicas.
Derecho de Portabilidad (nuevo)
El titular puede pedir que entregues sus datos en un formato legible por máquina para transferirlos a otro servicio. Esto es especialmente relevante para plataformas digitales y SaaS.
Derecho a no ser objeto de decisiones automatizadas
Las personas tienen derecho a que decisiones importantes sobre ellas (créditos, contratación, seguros) no se basen exclusivamente en perfilamiento automático.
¿Qué es la Agencia de Protección de Datos Personales (APDP)?
La APDP es el nuevo organismo estatal que fiscaliza el cumplimiento de la ley. Sus funciones incluyen:
- Recibir y resolver denuncias de personas cuyos derechos fueron vulnerados
- Fiscalizar a empresas y organismos públicos
- Aplicar sanciones (amonestación, multas de hasta 20.000 UTM para gravísimas, prohibición de tratamiento)
- Emitir instrucciones y recomendaciones de cumplimiento
- Certificar mecanismos de autorregulación
La APDP puede iniciar investigaciones tanto por denuncia como de oficio. Su independencia del gobierno es garantía de que actuará con rigor.
Las sanciones de la Ley 21.719
Las multas se clasifican en tres niveles:
| Nivel | Monto máximo | Ejemplos de infracciones | |---|---|---| | Leve | hasta 5.000 UTM (~$350M CLP) | No responder una solicitud en plazo, incumplir instrucciones de la Agencia | | Grave | 10.000 UTM (~$700M CLP) | No tener política de privacidad, uso sin consentimiento | | Gravísima | 20.000 UTM (~$1.400M CLP) | Tratar datos sensibles sin base legal, no notificar brechas |
Para grandes empresas, los montos pueden calcularse como porcentaje de facturación, lo que puede superar ampliamente estos topes.
¿Qué debes hacer ahora?
Si tu empresa aún no ha iniciado el proceso de cumplimiento, estos son los pasos más urgentes:
- Haz un diagnóstico de qué datos recopilas y cómo los tratas
- Genera una Política de Privacidad y publícala en tu sitio web
- Levanta el Registro de Actividades de Tratamiento (RAT)
- Configura el Banner de Cookies si usas herramientas de analytics o marketing
- Define un procedimiento ARCOP para responder solicitudes de titulares
- Prepara un Protocolo de Brechas para saber qué hacer ante un incidente
- Incorpora cláusulas de datos en los contratos de trabajo
- Capacita a tu equipo sobre sus obligaciones
En PrivacidadWeb tienes todas estas herramientas disponibles de forma gratuita y sin registro.
Preguntas frecuentes
¿La Ley 21.719 reemplaza a la 19.628?
Sí. La Ley 21.719 deroga la Ley 19.628 completamente. Una vez en plena vigencia, la 19.628 deja de aplicar.
¿Aplica a empresas pequeñas y unipersonales?
Sí. La ley no establece un umbral mínimo de tamaño. Una peluquería unipersonal que guarda el teléfono de sus clientes está obligada a cumplir.
¿Qué pasa si ya tengo una política de privacidad de la ley anterior?
Debes actualizarla. Las políticas basadas en la Ley 19.628 no cumplen con los requisitos de la Ley 21.719 (faltan elementos obligatorios como los plazos de conservación, las bases legales y los derechos de portabilidad).
¿Puedo seguir usando Google Analytics?
Sí, pero debes informar su uso en tu política de privacidad, contar con un banner de consentimiento válido para cookies, y verificar que tienes las cláusulas de encargado del tratamiento en orden con Google.