Calculadora de Multas — Ley 21.719
Estima cuánto puede costar una vulneración de seguridad de datos personales en tu empresa según la nueva Ley 21.719. Rangos basados en los Arts. 34 bis, 34 ter, 34 quáter y 35 de la ley.
Tu empresa
Datos básicos para calcular el régimen aplicable.
Microempresa, pequeña y mediana = "empresa de menor tamaño" (EMT, también llamada Pyme). El régimen del 2%/4% de ingresos por reincidencia (Art. 35 inc. 4°) solo aplica a empresas grandes.
En sector privado el DPO es voluntario salvo Modelo de Prevención (Art. 49). Tenerlo es atenuante por diligencia debida.
Asumir que el incidente ocurre tras la entrada en vigencia (1-dic-2026). Si seleccionas "Sí" y la empresa es Pyme/EMT, aplica el régimen transitorio de amonestación escrita del Art. sexto transitorio (primeros 12 meses).
¿Cómo funciona el régimen sancionatorio?
La Ley 21.719 (que modifica la Ley 19.628) clasifica las infracciones en tres categorías taxativas. Las infracciones leves (Art. 34 bis) se sancionan con amonestación o multa de hasta 5.000 UTM. Las infracciones graves (Art. 34 ter) llegan hasta 10.000 UTM. Las infracciones gravísimas (Art. 34 quáter) hasta 20.000 UTM. A valor UTM mayo 2026 (~$70.588 CLP), los techos equivalen a aproximadamente $353 millones, $706 millones y $1.412 millones respectivamente.
En caso de reincidencia, el Art. 35 inc. 3° permite aplicar hasta tres veces el monto asignado a la infracción. Si la empresa reincidente no es Pyme y la infracción es grave o gravísima, el inc. 4° permite alcanzar hasta el 2% o 4% de los ingresos anuales por ventas y servicios del último año calendario (la cifra más gravosa entre 3× monto base y % de ingresos).
Las Pymes tienen un régimen transitorio durante los primeros 12 meses de vigencia (1-dic-2026 a 1-dic-2027) por el cual la Agencia podrá aplicar amonestación escrita en lugar de multa (Art. sexto transitorio).
¿Qué factores agravan la multa?
- Datos sensibles (salud, biométricos, orientación sexual, creencias, origen) — empujan la tipificación a grave o gravísima.
- Datos de niños, niñas y adolescentes (Art. 16) — tipificación gravísima por defecto.
- Volumen masivo de afectados (más de 10.000 titulares) — escala la categoría.
- Omisión deliberada de notificación a la Agencia (Art. 34 quáter letra f) — gravísima.
- Falta de protocolo previo de seguridad (Art. 14 quinquies) — agravante por falta de diligencia.
- Reincidencia (definición Art. 36 letra a: dos o más sanciones firmes en los últimos 30 meses).
- Carácter continuado de la infracción (Art. 36 letra b).
- Haber puesto en riesgo derechos y libertades de los titulares (Art. 36 letra c).
¿Cómo reduzco mi riesgo?
La Ley 21.719 reconoce atenuantes (Art. 36) para empresas que han actuado con diligencia. Las cinco acciones más efectivas:
- Haz un diagnóstico de cumplimiento — identifica brechas concretas en tu empresa.
- Genera tu Protocolo de Vulneraciones — tener uno escrito antes del incidente es atenuante por diligencia debida.
- Publica tu Política de Privacidad — obligación del Art. 14 ter.
- Levanta tu RAT — el Registro de Actividades de Tratamiento documenta el cumplimiento.
- Implementa el canal de derechos del titular — acceso, rectificación, supresión, oposición, portabilidad y bloqueo.
Aviso importante. Esta calculadora entrega una estimación orientativa basada en los rangos taxativos de los Arts. 34 bis a 35 de la Ley N° 21.719. La sanción real será determinada por la Agencia de Protección de Datos Personales considerando los factores atenuantes y agravantes del Art. 36 y los criterios de individualización del Art. 37. No constituye asesoría legal.
Preguntas frecuentes
¿La multa la fija automáticamente la Agencia?
No. La Agencia de Protección de Datos Personales (APDP) determina el monto considerando los criterios del Art. 37 de la Ley N° 21.719: gravedad de la conducta, falta de diligencia, perjuicio producido (especialmente número de titulares afectados), beneficio económico obtenido, si hay datos sensibles o de niños, niñas y adolescentes involucrados, capacidad económica del infractor, sanciones previas y factores atenuantes y agravantes (Art. 36). Esta calculadora entrega solo una estimación orientativa basada en los rangos del Art. 35.
¿Las Pymes están exentas el primer año?
No están exentas, pero gozan de un régimen transitorio especial. El Art. sexto transitorio de la Ley 21.719 establece que durante los primeros doce meses desde la entrada en vigencia (1-dic-2026 a 1-dic-2027), la Agencia podrá aplicar como sanción una amonestación por escrito en lugar de multas a empresas calificadas como "de menor tamaño" según el Art. 2° de la Ley N° 20.416 (microempresa, pequeña y mediana empresa). El régimen ordinario aplica desde el 1-dic-2027.
¿Esta calculadora reemplaza una asesoría legal?
No. Es una estimación basada en los rangos taxativos de los Arts. 34 bis, 34 ter, 34 quáter y 35 de la Ley N° 21.719. La sanción real depende de circunstancias específicas que la Agencia evaluará caso a caso. Si tu empresa enfrenta una vulneración real o una fiscalización, te recomendamos consultar con un abogado especializado en protección de datos.
¿Qué pasa si soy reincidente?
El Art. 35 inc. 3° establece que en caso de reincidencia se podrá aplicar una multa de hasta tres veces el monto asignado a la infracción. Adicionalmente, el inc. 4° dispone que para empresas distintas de las definidas como "empresas de menor tamaño" (Ley 20.416), si reinciden en infracciones graves o gravísimas, la multa podrá alcanzar hasta el 2% o 4% de los ingresos anuales por ventas y servicios del último año calendario, aplicándose la cifra que sea más gravosa entre el triple del monto base y el porcentaje de ingresos.
¿Las multas son impugnables?
Sí. Las resoluciones sancionatorias de la Agencia de Protección de Datos Personales son impugnables ante el Tribunal de Contratación Pública mediante reclamo de ilegalidad, conforme a lo dispuesto en la Ley N° 21.719. La empresa puede acompañar antecedentes que acrediten atenuantes (Art. 36) o discutir la calificación de la infracción.