¿Cuándo Entra en Vigencia la Ley 21.719? Cronograma y Plazos
La cuenta regresiva ha comenzado: vigencia de la Ley 21.719
Si te estás preguntando cuándo entra en vigencia la Ley 21.719, la respuesta corta es: el 1 de diciembre de 2026. Pero esa fecha no cuenta la historia completa. La nueva ley de protección de datos personales en Chile tiene un cronograma escalonado con hitos que ya se han cumplido, otros que están por venir, y plazos diferenciados según el tamaño de tu organización.
En este artículo te entregamos el cronograma completo de la Ley 21.719, explicamos qué significa cada fecha clave, qué pasa con las PYMEs y —lo más importante— qué deberías estar haciendo hoy para no llegar tarde.
> ⏰ A junio de 2026, quedan menos de 6 meses para la entrada en vigencia plena. El tiempo para prepararte se está agotando.
---
Cronograma completo de la Ley 21.719: todas las fechas clave
La Ley 21.719 no se activa de un día para otro. El legislador diseñó una transición escalonada para dar tiempo a las organizaciones, a la nueva autoridad y al ecosistema regulatorio. Estas son las fechas que toda empresa en Chile debe tener en su calendario:
Línea de tiempo oficial
| Fecha | Hito | Estado |
|---|---|---|
| 13 de junio de 2024 | Aprobación en el Congreso Nacional | ✅ Cumplido |
| 13 de diciembre de 2024 | Publicación en el Diario Oficial | ✅ Cumplido |
| 13 de diciembre de 2024 | Inicio del período de transición (24 meses) | ✅ En curso |
| 1 de diciembre de 2026 | Entrada en vigencia plena de la ley | ⏳ Próximo |
| Diciembre de 2026 | Inicio de actividad fiscalizadora de la Agencia de Protección de Datos Personales | ⏳ Próximo |
| Diciembre de 2027 | Fin del período de gracia para PYMEs | 📅 Pendiente |
Cada una de estas fechas tiene implicancias concretas para tu negocio. Vamos una por una.
---
Publicación en el Diario Oficial: 13 de diciembre de 2024
El 13 de diciembre de 2024, la Ley 21.719 fue publicada en el Diario Oficial de la República de Chile. Este acto formal marcó el inicio del reloj: a partir de esa fecha, las organizaciones tuvieron exactamente 24 meses para prepararse.
La publicación vino después de un extenso trámite legislativo que se extendió por más de una década. El proyecto original fue ingresado al Congreso en 2017, y sufrió múltiples modificaciones, indicaciones y negociaciones antes de su aprobación definitiva en junio de 2024.
¿Por qué importa esta fecha?
Porque el período de transición de 24 meses se computa desde la publicación. Todo el cronograma de la ley se ancla en este momento. Además, desde la publicación, las organizaciones quedaron formalmente notificadas de las obligaciones que se les venían encima: ignorar la ley después de esta fecha no puede calificarse como desconocimiento de buena fe.
---
Período de transición: diciembre 2024 a noviembre 2026
Los 24 meses de vacatio legis (período entre la publicación y la vigencia) fueron diseñados para que tanto el sector público como el privado pudiesen prepararse. Durante este período:
Lo que debería estar ocurriendo
- Creación de la Agencia de Protección de Datos Personales: La nueva autoridad supervisora debe estar operativa para el 1 de diciembre de 2026. Esto incluye la designación de su consejo directivo, la dotación de personal, la instalación de oficinas y la elaboración de reglamentos e instrucciones generales.
- Adecuación de las empresas: Las organizaciones deberían estar realizando sus diagnósticos de cumplimiento, mapeando datos personales, actualizando políticas de privacidad, implementando mecanismos para derechos ARCO y preparando protocolos de notificación de brechas.
- Capacitación del mercado: Gremios, colegios profesionales, universidades y consultoras deberían estar formando a los profesionales que el nuevo ecosistema necesita: delegados de protección de datos (DPO), auditores de privacidad, abogados especializados.
- Desarrollo reglamentario: El Presidente de la República debe dictar los reglamentos necesarios para la ejecución de la ley, incluyendo los que regulan el funcionamiento de la Agencia y los procedimientos sancionatorios.
La realidad a junio de 2026
A seis meses de la vigencia plena, muchas empresas chilenas aún no han comenzado su proceso de adecuación. Según diversas encuestas del sector, más del 60% de las PYMEs desconoce los detalles de la Ley 21.719 o no ha tomado acciones concretas. Esta situación genera un riesgo significativo, no solo de multas, sino de daño reputacional y pérdida de confianza de clientes.
> 💡 Consejo práctico: Si tu empresa está entre las que aún no han comenzado, no entres en pánico, pero actúa con urgencia. Un diagnóstico inicial con datOK puede darte un mapa claro de tu situación en minutos, no meses.
---
1 de diciembre de 2026: el Día D de la protección de datos en Chile
El 1 de diciembre de 2026 es la fecha que define cuándo entra en vigencia la Ley 21.719 en su totalidad. A partir de ese día:
Lo que cambia desde el día 1
- Los titulares pueden ejercer sus derechos ARCO: Cualquier persona natural podrá solicitar acceso, rectificación, cancelación, oposición, portabilidad y bloqueo de sus datos personales a cualquier empresa u organismo que los trate. Las organizaciones tendrán 15 días hábiles para responder.
- La Agencia de Protección de Datos Personales comienza a fiscalizar: La nueva autoridad estará facultada para recibir denuncias, iniciar investigaciones de oficio, requerir información, realizar inspecciones y aplicar sanciones.
- Las multas son aplicables: Las infracciones leves, graves y gravísimas podrán ser sancionadas con multas de hasta 100 UTM, 5.000 UTM y 20.000 UTM, respectivamente. Con el valor de la UTM a junio de 2026 ($71.506 CLP), una infracción gravísima puede costar hasta $1.430 millones de pesos.
- La notificación de brechas es obligatoria: Toda vulneración de seguridad que afecte datos personales deberá notificarse a la Agencia dentro de 72 horas desde su detección (artículo 48).
- Los contratos de encargo de tratamiento son exigibles: Toda relación con proveedores que traten datos personales por cuenta del responsable debe estar respaldada por un contrato conforme al artículo 15 bis.
- Los registros de tratamiento deben existir: Las organizaciones deben contar con un registro actualizado de todas sus actividades de tratamiento de datos personales (artículo 34).
¿Qué pasa si no estoy listo para el 1 de diciembre?
Si tu organización no está en cumplimiento al 1 de diciembre de 2026, te expones a:
- Multas económicas aplicadas por la Agencia de Protección de Datos Personales.
- Reclamos de titulares que ejerzan sus derechos y tu empresa no pueda gestionar adecuadamente.
- Daño reputacional si se hace pública una brecha o una sanción.
- Pérdida de negocios con empresas internacionales o nacionales que exijan cumplimiento a sus proveedores.
---
Período de gracia para PYMEs: hasta diciembre de 2027
Una de las preguntas más frecuentes sobre los plazos de la Ley 21.719 es si las PYMEs tienen un trato diferenciado. La respuesta es sí, pero con matices importantes.
¿En qué consiste el período de gracia?
Durante el primer año de vigencia de la ley (diciembre 2026 a diciembre 2027), las micro, pequeñas y medianas empresas que incurran en infracciones solo recibirán amonestaciones por escrito, sin multas económicas. Este beneficio aplica siempre que:
- La infracción no sea reiterada (no se haya amonestado previamente por el mismo tipo de falta).
- La empresa demuestre estar avanzando de buena fe hacia el cumplimiento.
- No se trate de infracciones que involucren un daño grave o irreparable a los derechos de los titulares.
¿Qué NO cubre el período de gracia?
Es fundamental entender lo que el período de gracia no significa:
- No exime del cumplimiento: Las PYMEs deben cumplir la ley desde el 1 de diciembre de 2026. El período de gracia solo atenúa las sanciones.
- No protege contra reclamos de titulares: Los ciudadanos pueden ejercer sus derechos ARCO frente a cualquier empresa desde el día 1, y reclamar ante la Agencia si no reciben respuesta.
- No cubre infracciones graves deliberadas: Si una PYME trata datos sensibles sin consentimiento o realiza transferencias internacionales ilícitas, el período de gracia no la protegerá de consecuencias severas.
- No es renovable: Termina en diciembre de 2027, punto. Después de esa fecha, las PYMEs enfrentan el mismo régimen sancionatorio que las grandes empresas.
¿Cómo se clasifica una PYME?
La clasificación sigue los criterios de la Ley 20.416 sobre empresas de menor tamaño:
| Categoría | Ingresos anuales por ventas |
|---|---|
| Microempresa | Hasta 2.400 UF |
| Pequeña empresa | De 2.400 a 25.000 UF |
| Mediana empresa | De 25.000 a 100.000 UF |
> ⚠️ Importante: El período de gracia es una oportunidad, no una excusa para postergar. Las PYMEs que lo utilicen estratégicamente para avanzar en su adecuación llegarán a diciembre de 2027 preparadas. Las que lo desperdicien se encontrarán con multas de un día para otro.
---
La Agencia de Protección de Datos Personales: la nueva autoridad
Un componente crucial del cronograma de la Ley 21.719 es la creación de la Agencia de Protección de Datos Personales, la primera autoridad independiente en Chile dedicada exclusivamente a la protección de la privacidad.
¿Cuándo comienza a operar?
La Agencia debe estar plenamente operativa para la entrada en vigencia de la ley el 1 de diciembre de 2026. Su creación y puesta en marcha es responsabilidad del Estado durante el período de transición.
Funciones principales
La Agencia tendrá facultades para:
- Fiscalizar el cumplimiento de la Ley 21.719 por parte de organismos públicos y privados.
- Recibir y resolver reclamos de titulares de datos.
- Iniciar investigaciones de oficio cuando tenga indicios de infracciones.
- Aplicar sanciones que van desde amonestaciones hasta multas de 20.000 UTM.
- Dictar instrucciones generales que orienten la interpretación y aplicación de la ley.
- Promover la educación y difusión de los derechos de protección de datos.
- Participar en la cooperación internacional con autoridades de protección de datos de otros países.
¿Por qué es un cambio tan significativo?
Bajo la antigua Ley 19.628, no existía una autoridad supervisora independiente. Los titulares de datos debían recurrir a los tribunales civiles para hacer valer sus derechos, un proceso lento, costoso e inaccesible para la mayoría. La creación de la Agencia transforma radicalmente el panorama: ahora habrá un ente especializado que puede actuar de oficio, resolver reclamos en plazos razonables e imponer sanciones disuasorias.
---
¿Qué deberías estar haciendo AHORA? Guía de implementación por meses
Con menos de 6 meses para la vigencia plena, cada semana cuenta. Aquí tienes una hoja de ruta realista:
Junio - Julio 2026: Diagnóstico y mapeo
- Realiza un inventario de datos personales: qué datos recopilas, de quién, con qué fin, dónde se almacenan.
- Identifica tus bases de licitud para cada tratamiento (consentimiento, contrato, obligación legal, interés legítimo).
- Evalúa si necesitas designar un DPO conforme al artículo 50.
Agosto - Septiembre 2026: Documentación y políticas
- Crea o actualiza tu política de privacidad conforme a los estándares de la Ley 21.719.
- Establece tu registro de actividades de tratamiento (artículo 34).
- Redacta contratos de encargo de tratamiento con todos los proveedores que manejan datos personales por tu cuenta.
- Desarrolla tu protocolo de notificación de brechas (72 horas).
Octubre - Noviembre 2026: Implementación operativa
- Implementa un canal de solicitudes ARCO para que los titulares puedan ejercer sus derechos.
- Define flujos internos para responder solicitudes dentro de los 15 días hábiles.
- Capacita a tu equipo en los principios y obligaciones de la ley.
- Realiza una evaluación de impacto (EIPD) si tratas datos de alto riesgo (artículo 47).
- Implementa o refuerza tus medidas de seguridad técnicas y organizativas.
Diciembre 2026: Activación
- Verifica que todos los sistemas, procesos y documentos estén operativos.
- Activa tu portal de derechos ARCO.
- Comunica a tus clientes y colaboradores tu compromiso con la protección de datos.
🚀 Acelera todo el proceso con datOK
No tienes que construir nada desde cero. datOK te entrega:
- ✅ Diagnóstico guiado que te muestra exactamente dónde estás y qué te falta.
- ✅ Registro de tratamientos con plantillas pre-configuradas para Chile.
- ✅ Portal de solicitudes ARCO automatizado, con tracking y plazos.
- ✅ Políticas de privacidad generadas conforme a la Ley 21.719.
- ✅ Protocolo de brechas listo para usar.
- ✅ Plan gratuito para PYMEs que están comenzando.
---
Comparación: antes y después de la vigencia
Para dimensionar el cambio que trae la Ley 21.719, compara la situación bajo la antigua Ley 19.628 con lo que viene:
| Aspecto | Ley 19.628 (antes) | Ley 21.719 (desde dic. 2026) |
|---|---|---|
| Autoridad supervisora | No existía | Agencia de Protección de Datos Personales |
| Multas máximas | Simbólicas (~50 UTM) | Hasta 20.000 UTM (~$1.430 millones CLP) |
| Derechos del titular | ARCO básicos, sin mecanismo efectivo | ARCO + Portabilidad + Bloqueo, con reclamación ante Agencia |
| Notificación de brechas | No obligatoria | Obligatoria en 72 horas |
| DPO | No contemplado | Obligatorio para ciertos organismos (Art. 50) |
| Transferencias internacionales | Sin regulación efectiva | Requieren nivel adecuado de protección o garantías |
| Consentimiento | Ambiguo | Libre, específico, informado e inequívoco |
---
Conclusión: el tiempo es tu recurso más escaso
La pregunta ya no es cuándo entra en vigencia la Ley 21.719 —eso está claro: 1 de diciembre de 2026—, sino si tu organización estará lista para ese día.
Con 24 meses de período de transición, un año adicional de gracia para PYMEs, y herramientas como datOK que simplifican el proceso, el legislador ha hecho todo lo posible por facilitar la transición. Lo que falta es que tú actúes.
Cada día que pasa sin avanzar en la adecuación es un día menos de margen. Y cuando la Agencia de Protección de Datos comience a operar el 1 de diciembre, no habrá excusas válidas.
Crea tu cuenta gratuita en datOK y comienza hoy →❓ Preguntas Frecuentes
¿Listo para cumplir la Ley 21.719?
datOK te guía paso a paso. Registra tratamientos, gestiona derechos ARCO, notifica brechas y más. Plan gratuito disponible.
Crear cuenta gratis