Ley 21.719: guía 2026 para cumplir con la protección de datos en Chile

Introducción al proyecto de ley

El 1 de diciembre de 2026 la Ley 21.719 entra en plena vigencia. Para tu equipo de TI eso significa pasar de "tenemos políticas" a "podemos demostrar qué dispositivo tiene qué dato, en qué momento y bajo qué control". Ese cambio no es de papeleo, es de trazabilidad.

Las sanciones son concretas: hasta 20.000 UTM por infracción gravísima, y hasta 4% de tus ingresos anuales en Chile si la Agencia detecta reincidencia. Legal te va a pasar la ley y va a esperar respuestas tuyas.

En esta guía vas a encontrar qué cubre la 21.719, a quién aplica, las obligaciones que caen sobre TI, el detalle de las multas, un plan 30/60/90 accionable y cómo generar la evidencia operativa que la Agencia puede pedir.

Porque la Ley 21.719 no te pide papeles. Te pide evidencia operativa. Y esa evidencia vive en los dispositivos donde están tus datos, no en tus carpetas compartidas.

¿Qué implica la ley de protección de datos?

La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entra en vigencia el 1 de diciembre de 2026. Ese período de transición de 24 meses no es un regalo, es un deadline. Reemplaza parcialmente a la Ley 19.628, que venía rigiendo la protección de datos en Chile desde 1999 con sanciones bajas y casi cero fiscalización.

Lo que cambia en la práctica es el nivel de exigencia: crea la nueva Agencia de Protección de Datos Personales, con atribuciones para fiscalizar, sancionar y ordenar medidas correctivas. Incorpora derechos ARCO completos (acceso, rectificación, cancelación, oposición) más portabilidad, exige notificación obligatoria de brechas a la Agencia y a los titulares afectados, y sube el techo de multas a niveles que un comité ejecutivo sí mira.

Si tu organización ya cumple con GDPR, la brecha es menor. La 21.719 está fuertemente alineada con GDPR, así que puedes reutilizar políticas, registros de tratamiento y procedimientos. Si no tienes GDPR implementado, la brecha es mayor y el plan de 7 meses se vuelve apretado.

La ley también conversa con la Ley 21.663 Marco de Ciberseguridad: la 21.663 regula controles de ciberseguridad y la 21.719 regula datos personales. Se complementan, no se superponen.

**Quick win:** (1) Marca el 1 de diciembre de 2026 como milestone fijo en tu roadmap de TI. (2) Revisa si ya tienes controles GDPR implementados — si sí, reutilízalos como base. (3) Agenda esta semana una reunión cruzada entre legal, compliance y TI para definir quién dueña qué.

Principios fundamentales‍

La nueva legislación establece principios clave para el tratamiento y protección de los datos personales: licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia e información, y confidencialidad.

Estos principios aseguran que el tratamiento sea legítimo, necesario, seguro, transparente, y que los datos sean precisos, usados solo para fines específicos, con consentimiento del titular y protegidos con medidas adecuadas.

Además, el proyecto de ley que dio origen a esta normativa es fundamental en la estructura legal y normativa del país, subrayando la importancia de la protección de la privacidad y los derechos de los ciudadanos.

Estos pilares establecen directrices claras para manejar datos con transparencia y seguridad, prohibiendo recolección excesiva y su uso engañoso.

Nueva figura

La agencia de protección de datos personales, que fiscaliza y sanciona, es el ente clave para el cumplimiento. Dentro de cada empresa será el delegado de protección de datos (DPO) quién será el responsable de datos, supervisará los procesos y asesora en la correcta aplicación de la ley, es el enlace entre la organización y la agencia.

Obligaciones claves

Las organizaciones deben documentar sus prácticas, aplicar políticas de protección de datos y asegurarse de que sus equipos comprendan la relevancia de estos controles. Además, deberán notificar a la agencia de inmediato cualquier incidente que ponga en riesgo la información de sus usuarios y demostrar el origen legítimo de los datos recopilados.

Derecho de los usuarios (ARCO)

Arco son las siglas de los derechos de los titulares de datos:  Derechos de Acceso, Derechos de Rectificación, Derecho de Cancelación y Derecho de Oposición sobre sus propios datos. Así las personas tendrán más control sobre su información. De esta forma podrán ver cómo se usa, corregir errores, pedir borrados y negarse a tratamientos no autorizados. Al ejercer estos derechos los titulares tendrán la tranquilidad de que sus datos no se usarán mal.

Implicaciones de la ley con respecto a los menores de edad

Al proteger la información de niños y adolescentes el consentimiento dado por menores de edad no tiene valor, siempre se debe pedir consentimiento válido y verificable de padres o tutores. Se implementan controles adicionales para evitar la recopilación de datos sensibles y cualquier uso de esta información debe ser en beneficio del menor, sin fines comerciales o prácticas abusivas.

Implicaciones de la ley en el sector salud

El tratamiento de datos médicos tiene un nivel adicional de cuidado ya que implica información muy sensible. Las instituciones deben implementar medidas más estrictas como cifrado y protocolos de acceso limitado y tener consentimiento expreso de los titulares. Solo en casos de emergencia o interés público se podrá exceptuar este requisito estricto.

Ley 19.628 vs. ley 21.719

‍

La evolución de las leyes de protección de datos en Chile es notable. La Ley Nº 19.628, que actualmente regula la materia, fue revisada y se espera que la nueva ley busque fortalecer la protección de datos personales, adaptándose a los avances tecnológicos y alineándose con normativas internacionales como el GDPR.

Te recomendamos

Checklist de Cumplimiento – Ley de protección de datos (21.719)

¿Quieres empezar con una hoja de ruta clara? Descarga este checklist práctico y prepara a tu organización para cumplir con las nuevas exigencias de la Ley de protección de datos de Chile.

Descargar gratis

A quién aplica y qué datos cubre

La 21.719 aplica a cualquier organización, pública o privada, que trate datos personales de residentes en Chile. El tamaño no importa: la misma exigencia llega a una startup de 15 personas que a un banco con 3.000 empleados. Lo que cambia es la proporcionalidad de los controles, no la obligación.

Hay extraterritorialidad: si tu empresa está en Perú o México pero trata datos de usuarios en Chile (clientes, leads, postulantes), también aplica. Eso cubre casos típicos como SaaS regionales, e-commerce cross-border o marketplaces.

En cuanto a qué cuenta como dato personal, la lista es más amplia de lo que la mayoría asume. Incluye datos de contacto (nombre, email, teléfono), identificadores únicos (RUT, pasaporte, IP, MAC address), información laboral (cargo, remuneración, evaluaciones), transaccional (compras, preferencias, historial) y sensibles (salud, origen étnico, vida sexual, datos biométricos, ubicación geolocalizada precisa). Los sensibles tienen requisitos más estrictos: consentimiento expreso, restricciones de tratamiento y medidas reforzadas.

Un punto que muchas veces se pasa por alto: los datos de colaboradores también son datos personales. El RUT en una planilla, la evaluación de desempeño en un Google Drive compartido, la geolocalización de un vehículo corporativo — todo entra. Y los contratos con proveedores que procesan datos por ti (el famoso CRM en la nube, la herramienta de payroll, el proveedor de helpdesk) tienen que tener DPAs firmados antes de diciembre de 2026.

Quick win: (1) Haz una lista rápida en 30 minutos de los 5 sistemas donde se concentran datos personales en tu organización. (2) Identifica al menos una fuente "oculta" — planillas de RRHH, chats internos, laptops de terreno. (3) Marca cuáles contienen datos sensibles: esos son tu prioridad uno.

Obligaciones clave (checklist) para empresas

Si necesitas una lista corta para empezar, este es el "mínimo viable" de cumplimiento:

Checklist base:

Sanciones y riesgos: lo que está en juego para las empresas

La nueva normativa no solo contempla multas considerables, sino que también puede poner en jaque la reputación de quienes manejen datos personales de forma descuidada. Cumplir con este marco legal no es solo un tema de dinero: una brecha de seguridad puede generar desconfianza y afectar la credibilidad de una organización. Un incidente, aunque parezca menor, puede transformarse en multas onerosas y en un daño de imagen difícil de revertir. Los resultados derivados del cumplimiento o incumplimiento de la ley pueden reflejarse en informes de impacto, evaluaciones de riesgos y análisis sobre la efectividad de las medidas de protección implementadas.

Además, es importante destacar que el Tribunal Constitucional evaluará la Ley Orgánica de Protección de Datos Personales de Chile antes de su promulgación por el Presidente de la República, subrayando la relevancia de esta normativa en la protección de la privacidad y los derechos relacionados con el tratamiento de datos personales en el país.

Riesgos: Como ya mencionamos, las consecuencias van más allá de las multas, abarcando pérdida de clientes, cuestionamientos en redes sociales y posibles demandas. Mantener una buena reputación se convierte en un desafío si no se implementan medidas sólidas para proteger la información.

Niveles de infracción: Ahora, si vamos al marco legal, dentro de la nueva ley hay infracciones leves, graves y gravísimas con sanciones máximas de 5.000, 10.000 y 20.000 UTM respectivamente. Además si la infracción grave o gravísima se repite y la entidad no clasifica como pequeña, la multa podría llegar al 2% o 4% de sus ingresos anuales por ventas y servicios en Chile.

Ejemplos de infracciones leves, graves y gravísimas

• Infracciones leves: Corresponden a errores que no cumplen totalmente las normas de gestión y protección de la información. Un ejemplo sería no informar a tiempo sobre cambios relevantes en el uso de datos o incumplir requisitos mínimos de transparencia. Aunque no necesariamente generan un daño masivo, sí evidencian descuidos que pueden afectar la confianza del titular.
• Infracciones graves: Implica un perjuicio relevante para la privacidad de las personas, pone en riesgo la confidencialidad y la legitimidad del uso de datos. Entre ellas están la recolección o tratamiento de información sin consentimiento, divulgación no autorizada de datos sensibles y negar a los titulares el ejercicio de sus derechos de acceso, rectificación o eliminación de datos.
• Infracciones gravísimas: Son transgresiones con un propósito malicioso o conciencia plena de su gravedad. Esto incluye usar datos personales de manera fraudulenta, divulgar información distorsionada sobre un titular, violar deliberadamente el secreto de datos sensibles o llevar a cabo transferencias internacionales con pleno conocimiento de su ilegalidad. Además, la omisión intencional de reportar brechas de seguridad y la desobediencia a resoluciones de la Agencia también se contemplan en este grupo.

Estrategias de cumplimiento: nuevo estándar de seguridad

Para alinearse con la nueva normativa, las organizaciones necesitan ir más allá de las medidas básicas de resguardo y exige un nivel adecuado de protección y seguridad de la información. Esta normativa se basa en gran medida en el Reglamento General de Protección de Datos de la Unión Europea, elevando los estándares de protección de datos en el país. Además, los modelos de negocio y tecnológicos basados en la recopilación masiva de datos personales, como los desarrollados por grandes empresas tecnológicas, presentan nuevos retos para la protección de datos y requieren una regulación adaptada a estos enfoques.

La clave es un enfoque preventivo que permita anticiparse a brechas, proteger la infraestructura y reaccionar de forma coordinada si sucede algo imprevisto. Frente a la implementación de la ley, las organizaciones deben superar desafíos significativos para cumplir con los requisitos y garantizar la protección efectiva de los datos personales.

Finalmente, es fundamental que la aplicación de la normativa se realice dentro del territorio chileno, asegurando que la protección de los datos personales de los usuarios esté garantizada frente a las actividades de empresas transnacionales.

Banco de datos inventariado

Identificar qué tipo de datos de carácter personal se recopila y almacena la empresa. Saber exactamente qué información se maneja y dónde se encuentra permite definir una evaluación de impacto acertada, establecer mejores controles y políticas de protección.

Controles técnicos de medidas de seguridad (encriptación, wipe, restauración, back up)

Incluir cifrado soluciona problemas de privacidad al codificar la información, mientras que el borrado remoto (wipe) es útil en caso de equipos extraviados o robados. Contar con planes de restauración garantiza la disponibilidad de los datos, y las copias de seguridad regulares permiten recuperar información ante incidentes como ataques informáticos o fallas de hardware. Conoce más sobre estrategias para la prevención de brechas de datos.

Políticas de seguridad de la info

Las empresas deben delinear normas internas que guíen la gestión de datos y orienten a los equipos sobre las mejores prácticas de protección. Estas directrices deben abarcar desde el acceso restringido a la información hasta la clasificación de datos por nivel de criticidad, ajustándose a los requisitos regulatorios y a las características específicas de cada organización.

Respuesta ante incidente

Un procedimiento claro de reacción incluye asignar roles, definir comunicaciones internas y externas, y establecer planes de mitigación (conozca más sobre como definir un plan de respuesta ante incidentes). Esto facilita la toma de decisiones rápidas para minimizar el impacto y restaurar la operación con la menor interrupción posible. Ensayar estos planes permite que el equipo actúe con confianza y prontitud cuando ocurre un incidente real.

Notificación de incidentes

Informar a la Agencia y a los titulares involucrados con la suficiente rapidez es esencial para mantener la transparencia y brindar soporte adecuado a quienes pueden verse afectados. Esta práctica también envía una señal de responsabilidad y compromiso con la protección de datos, lo que contribuye a conservar la credibilidad y la buena relación con los clientes. Para más detalles sobre el proceso, consulta nuestra guía de notificación de brechas de datos personales.

Cómo implementar un plan de cumplimiento (30/60/90 días)

Con 7 meses en el reloj, no alcanza para rediseñar la organización. Alcanza para cerrar lo crítico si el plan está bien priorizado. La forma que mejor funciona en equipos de TI chilenos es un 30/60/90 con entregables claros por sprint y un dueño nominal.

Primeros 30 días (ordenar la casa)

Objetivo: saber qué tienes, dónde está y quién accede.

• Inventario de tratamiento: levanta el RAT por área (ventas, RRHH, finanzas, TI). No apuntes al 100%, apunta a cubrir el 80% de datos sensibles.
• Mapeo de accesos: exporta usuarios con acceso privilegiado a sistemas con datos personales. Revisa cuentas de excolaboradores activas.
• Terceros críticos: lista de los 10 proveedores con mayor volumen de datos procesados. Identifica cuáles no tienen DPA firmado.
• Canal ARCO: define un email dedicado (privacidad@tudominio.cl) y un workflow básico de atención.

31–60 días (gobernanza + evidencia)

Objetivo: pasar de "lo hacemos" a "lo documentamos con fecha y firma".

• Políticas: publica la política de privacidad actualizada por canal (web, app, portal empleado). Versiona cambios.
• DPAs: negocia y firma Data Processing Agreements con los 10 proveedores críticos.
• Matriz de riesgo: desarrolla una matriz e identifica los 5 escenarios de brecha más probables y su impacto.
• Procedimiento de incidentes: playbook de 72 hrs con roles, canales y plantilla de notificación a la Agencia.
• Registro de evidencias: define dónde y cómo se guardan logs, reportes y tickets.

61–90 días (control y mejora continua)

Objetivo: ejecutar los controles técnicos priorizados y probar que funcionan.

• Controles técnicos: accesos (MFA en todo lo crítico), endpoints (cifrado completo en 100% de laptops, remote wipe verificable), backup (restore test documentado).
• Simulación ARCO end-to-end: toma una solicitud real o simulada y ejecútala hasta generar evidencia exportable.
• Tabletop de incidente: ejercicio de 90 minutos con legal, TI y liderazgo simulando una brecha.
• Backlog continuo: define los siguientes 90 días post-diciembre 2026.

Para una versión más detallada por etapa, revisa la hoja de ruta detallada.

Quick win: (1) Agenda el kickoff con legal, compliance y liderazgo esta semana — no el próximo mes. (2) Define un único dueño nominal del plan (no puede ser "el área de TI"). (3) Pon un checkpoint mensual de 30 minutos con métricas: % de obligaciones en verde, # de DPAs firmados, cobertura de cifrado.

Beneficios de la implementación temprana

Adelantarse a las exigencias de la nueva normativa brinda un margen valioso para afinar procesos y capacitar equipos, sin esperar al último momento. Adoptar buenas prácticas de forma temprana evita contratiempos legales y posibles crisis de imagen.

Además, contar con sistemas robustos de protección no solo previene incidentes, sino que también facilita la adaptación progresiva a los requisitos de la ley cuando entren en vigencia.

Protección contra sanciones

Cumplir desde el inicio reduce la probabilidad de incurrir en pérdidas monetarias y en multas tempranas cuando la ley entre en vigencia. Al implementar políticas de seguridad y control, la empresa demuestra proactividad y responsabilidad ante la ley, asegurando que los procedimientos internos cumplan los estándares exigidos.

Aumento de la confianza del cliente

Mostrar un compromiso real con la protección de datos refuerza la cercanía con el usuario y genera una percepción positiva de la marca. Esta transparencia se vuelve un punto clave a la hora de retener y fidelizar clientes.

Reducción de brechas

Adoptar protocolos de seguridad y planes de contingencia de manera anticipada minimiza el riesgo de fugas de información. Además, facilita la identificación y resolución de posibles vulnerabilidades, evitando pérdidas financieras y daños de reputación.

Medidas de seguridad y gestión de incidentes

Cumplimiento no es solo política: es evidencia. A nivel práctico, prioriza:

• Control de accesos (mínimo privilegio).
• Gestión de dispositivos y endpoints (inventario real).
• Cifrado donde corresponda y backups probados.
• Detección + contención: qué haces en las primeras 2 horas de un incidente.

Si tu organización ya trabaja con marcos de ciberseguridad, alinear privacidad con ese marco reduce trabajo duplicado.

Como Prey puede ayudar con el cumplimiento

Prey ofrece una solución integral para gestionar y proteger dispositivos de todo tipo, ayudando a las organizaciones a cumplir con la nueva normativa de datos sin complicaciones. Con un enfoque multiplataforma y herramientas que van desde el rastreo hasta la encriptación remota, se facilita la implementación de protocolos de seguridad sólidos, incluyendo monitoreo de la dark web para credenciales comprometidas. De esta forma, se reducen los riesgos de incidentes y se fortalece el control de la información.

Características de Prey que ayudan a cumplir con la nueva Ley

• Protección y seguimiento de dispositivos: Permite localizar, bloquear y recuperar equipos en caso de pérdida o robo, asegurando la continuidad operativa y la protección de datos.
• Remote Wipe y Factory Reset: Borra o restaura de forma remota la información sensible, evitando su acceso por personas no autorizadas.
• Gestión de préstamos y automatizaciones: Controla asignaciones temporales de equipos con alertas y bloqueos si no se devuelven a tiempo, manteniendo la visibilidad total sobre su estado.
• Cifrado de discos y Kill Switch (Windows): Eleva el nivel de protección con BitLocker y la capacidad de inutilizar equipos, previniendo accesos malintencionados a la información almacenada.

Protege tus datos y cumple con la normativa de forma sencilla y efectiva. Agenda una demo con nosotros para conocer más!

Conclusión

El 1 de diciembre de 2026 no es una fecha simbólica. Es el día en que la Agencia puede empezar a pedir evidencia real y aplicar multas que se miden en porcentajes de ingresos. Tu equipo de TI tiene unos pocos meses para dejar de hablar de políticas y empezar a producir evidencia: inventarios exportables, logs datados, reportes de cifrado, registros de wipes, tickets ARCO cerrados con trazabilidad.

La ley no te pide papeles, te pide evidencia operativa. La buena noticia es que esa evidencia no se inventa el día de la fiscalización, se genera naturalmente cuando tienes visibilidad, control y logs sobre tu fleet de dispositivos.

Lo que puedes hacer el lunes en la mañana: toma la tabla de obligaciones, márcala en rojo, amarillo y verde con tu equipo, y define el primer sprint de 30 días. Ese es tu punto de partida.

Preguntas frecuentes acerca de la Ley de Protección de Datos

¿Qué es la Ley 21.719 en Chile?

Es la actualización del marco de protección de datos personales en Chile y eleva exigencias de gobernanza, evidencia y controles para organizaciones que tratan datos.

¿A qué empresas aplica la ley?

A cualquier organización que trate datos personales en Chile (clientes, usuarios, colaboradores o proveedores), especialmente si usa sistemas, formularios, CRMs o plataformas de soporte.

¿Cuándo entra en vigencia la Ley 21.719?

La Ley 21.719 entra en plena vigencia el 1 de diciembre de 2026, aunque fue publicada en el Diario Oficial el 13 de diciembre de 2024. Este período de transición de 24 meses busca dar tiempo a las organizaciones para adecuar sus procesos, políticas y controles técnicos antes de que la nueva Agencia empiece a fiscalizar.

¿Cuál es la diferencia entre la Ley 19.628 y la Ley 21.719?

La Ley 19.628 regulaba la protección de datos en Chile desde 1999 con sanciones limitadas y fiscalización vía Consejo para la Transparencia. La Ley 21.719 crea una Agencia de Protección de Datos dedicada, incorpora derechos ARCO completos, notificación obligatoria de brechas y sanciones de hasta 20.000 UTM (o 4% de ingresos anuales en caso de reincidencia grave).

¿Qué multas establece la Ley 21.719?

Las sanciones se clasifican en tres niveles. Infracciones leves hasta 5.000 UTM, graves hasta 10.000 UTM y gravísimas hasta 20.000 UTM. En caso de reincidencia en infracciones graves o gravísimas, la multa puede alcanzar el 2% o 4% de los ingresos anuales por ventas y servicios en Chile.

¿Necesito nombrar un DPO formal?

Depende del tipo de datos, escala y riesgo. Lo recomendable es evaluar el rol y definir responsables formales de privacidad, aunque no se nombre "DPO" desde el día 1.

¿Cómo empiezo si no tengo nada armado?

Inventario de datos + accesos + terceros + proceso de solicitudes. Ese sprint crea base real para todo lo demás. Puedes obtener la guía completa aquí.

¿Qué evidencia debería guardar?

Esta es la evidencia operativa que debe generar TI para cumplir con la ley 21.719: Registro de tratamientos (aunque sea simple), contratos con terceros, políticas publicadas, registro de solicitudes y registro de incidentes/simulaciones.

‍

‍