📘 Guías

Ley 21.719: Guía Completa de Protección de Datos Personales en Chile 2026

15 min de lectura

¿Qué es la Ley 21.719?

La Ley 21.719 es la nueva ley de protección de datos personales en Chile que moderniza por completo el marco regulatorio sobre privacidad y tratamiento de información personal en el país. Publicada en el Diario Oficial el 13 de diciembre de 2024, esta normativa reemplaza la antigua Ley 19.628, vigente desde 1999, que había quedado ampliamente obsoleta frente a los desafíos del mundo digital.

Chile se convierte así en uno de los países latinoamericanos con una legislación de protección de datos comparable al Reglamento General de Protección de Datos (GDPR) de la Unión Europea. La ley 21.719 introduce conceptos fundamentales como el consentimiento informado, los derechos ARCO ampliados, la obligación de notificar brechas de seguridad, la figura del Delegado de Protección de Datos (DPO) y una autoridad supervisora con dientes: la Agencia de Protección de Datos Personales.

Contexto: ¿Por qué se necesitaba esta ley?

La Ley 19.628, conocida como la "ley de datos personales" original de Chile, carecía de una autoridad fiscalizadora independiente, no contemplaba sanciones disuasorias y no abordaba fenómenos como el big data, la inteligencia artificial o el comercio electrónico transfronterizo. En la práctica, los titulares de datos no tenían mecanismos efectivos para ejercer sus derechos.

Con la Ley 21.719, Chile busca:

  • Proteger efectivamente el derecho fundamental a la privacidad (consagrado en el artículo 19 N°4 de la Constitución).
  • Generar confianza en la economía digital chilena.
  • Facilitar el flujo internacional de datos con países que exigen estándares adecuados de protección.
  • Cumplir compromisos asumidos ante la OCDE y en tratados de libre comercio.

---

¿A quién aplica la Ley 21.719?

La ley 21.719 aplica a toda persona natural o jurídica, pública o privada, que realice tratamiento de datos personales en el territorio de Chile, o que trate datos de personas que se encuentren en Chile, independientemente de dónde esté establecido el responsable del tratamiento.

Sujetos obligados

| Tipo de organización | ¿Aplica? | Observación |

|---|---|---|

| Grandes empresas | ✅ Sí | Cumplimiento pleno desde el 1 de diciembre de 2026 |

| PYMEs | ✅ Sí | Período de gracia hasta diciembre de 2027 (solo amonestaciones) |

| Organismos públicos | ✅ Sí | Régimen especial en el Título IV |

| Personas naturales (uso doméstico) | ❌ No | Excluidas cuando el tratamiento es exclusivamente personal o doméstico |

| Empresas extranjeras que tratan datos de personas en Chile | ✅ Sí | Deben designar un representante en Chile |

¿Qué son "datos personales" bajo esta ley?

Según el artículo 2° de la Ley 21.719, dato personal es cualquier información vinculada o referida a una persona natural identificada o identificable. Esto incluye:

  • Nombre, RUT, dirección, teléfono, correo electrónico.
  • Datos biométricos (huella dactilar, reconocimiento facial).
  • Datos de salud, genéticos.
  • Datos de geolocalización.
  • Identificadores en línea (cookies, dirección IP, ID de dispositivo).
  • Información financiera y crediticia.

La ley también introduce la categoría de datos personales sensibles (artículo 16 bis): origen racial o étnico, estado de salud, vida sexual, datos biométricos, opiniones políticas, afiliación sindical, creencias religiosas, y datos genéticos. Estos datos gozan de una protección reforzada y requieren consentimiento expreso para su tratamiento.

---

Principios fundamentales del tratamiento de datos

La Ley 21.719 establece en sus artículos 3° al 11 los principios rectores que toda organización debe respetar al tratar datos personales. No son meras recomendaciones: son obligaciones vinculantes cuyo incumplimiento puede derivar en multas.

1. Principio de licitud y lealtad (Art. 3°)

Los datos personales solo pueden tratarse con una base de licitud reconocida por la ley: consentimiento del titular, ejecución de un contrato, cumplimiento de una obligación legal, interés legítimo del responsable, o protección de intereses vitales.

2. Principio de finalidad (Art. 4°)

Los datos deben recopilarse para fines específicos, explícitos y legítimos. No se pueden utilizar para propósitos incompatibles con los originalmente informados al titular.

3. Principio de proporcionalidad (Art. 5°)

Solo deben tratarse los datos que sean adecuados, pertinentes y limitados a lo estrictamente necesario para cumplir la finalidad declarada. Nada de recopilar "por si acaso".

4. Principio de calidad (Art. 6°)

Los datos personales deben ser exactos, completos y actuales. El responsable debe adoptar medidas razonables para corregir o suprimir datos inexactos.

5. Principio de responsabilidad (Art. 7°)

El responsable del tratamiento debe ser capaz de demostrar el cumplimiento de todos los principios y obligaciones de la ley. Esto se conoce como accountability o responsabilidad proactiva.

6. Principio de seguridad (Art. 8°)

Obligación de implementar medidas técnicas y organizativas apropiadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales.

7. Principio de transparencia (Art. 9°)

Las políticas y prácticas de tratamiento de datos deben ser accesibles y comprensibles para los titulares. Nada de cláusulas en letra chica o legalese impenetrable.

8. Principio de confidencialidad (Art. 10)

Quienes tengan acceso a datos personales tienen la obligación de guardar secreto sobre ellos, obligación que subsiste incluso después de terminada la relación laboral o contractual.

---

Derechos de los titulares: ARCO + Portabilidad + Bloqueo

Una de las grandes novedades de la Ley 21.719 es la ampliación de los derechos de los titulares de datos. Si antes los derechos ARCO existían solo en el papel, ahora vienen respaldados por una autoridad con facultades sancionatorias reales.

Derechos ARCO ampliados

| Derecho | Artículo | ¿Qué permite? |

|---|---|---|

| Acceso | Art. 5° | Solicitar confirmación de si se tratan sus datos y obtener una copia de ellos |

| Rectificación | Art. 6° | Corregir datos inexactos, incompletos o desactualizados |

| Cancelación (Supresión) | Art. 7° | Solicitar la eliminación de datos cuando ya no sean necesarios para la finalidad original |

| Oposición | Art. 8° | Oponerse al tratamiento de datos en determinadas circunstancias (marketing directo, perfilamiento) |

Nuevos derechos incorporados

  • Portabilidad (Art. 9°): El titular puede solicitar que sus datos sean entregados en un formato estructurado, de uso común y lectura mecánica, y que se transmitan directamente a otro responsable.
  • Bloqueo (Art. 7° bis): Suspensión temporal del tratamiento de datos cuando el titular impugna su exactitud o se opone al tratamiento, mientras se resuelve la solicitud.

Plazos y procedimiento

Las organizaciones tienen 15 días hábiles desde la recepción de la solicitud para responder a cualquier requerimiento de derechos ARCO+P+B. Este plazo puede extenderse por otros 15 días hábiles en casos de especial complejidad, previa comunicación al titular.

Si la organización no responde o el titular no queda satisfecho con la respuesta, puede reclamar ante la Agencia de Protección de Datos Personales.

> 💡 Consejo práctico: Automatizar la gestión de solicitudes ARCO es fundamental. Con datOK puedes configurar un portal de solicitudes que registra, rastrea y responde cada requerimiento dentro de plazo, generando evidencia de cumplimiento.

---

Obligaciones de las empresas

La Ley 21.719 impone un conjunto robusto de obligaciones a los responsables y encargados del tratamiento de datos. Estas son las principales:

1. Registro de actividades de tratamiento (Art. 34)

Toda organización debe mantener un registro actualizado de las actividades de tratamiento que realiza. Este registro debe incluir, como mínimo:

  • La identidad del responsable y del DPO (si corresponde).
  • Las finalidades del tratamiento.
  • Las categorías de datos y de titulares.
  • Los destinatarios de los datos.
  • Las transferencias internacionales.
  • Los plazos de conservación.
  • Las medidas de seguridad implementadas.

2. Delegado de Protección de Datos — DPO (Art. 50)

La designación de un Delegado de Protección de Datos (DPO) es obligatoria para:

  • Organismos públicos (excepto tribunales en ejercicio de funciones jurisdiccionales).
  • Organizaciones que traten datos sensibles a gran escala.
  • Organizaciones cuya actividad principal consista en operaciones de tratamiento que requieran observación habitual y sistemática de titulares a gran escala.

El DPO debe actuar con autonomía, no puede ser destituido ni penalizado por el ejercicio de sus funciones, y reporta directamente al nivel más alto de la dirección.

3. Evaluación de Impacto en Protección de Datos — EIPD (Art. 47)

Antes de realizar tratamientos que puedan generar un alto riesgo para los derechos de los titulares, el responsable debe llevar a cabo una Evaluación de Impacto en Protección de Datos (EIPD). Esto aplica especialmente cuando se:

  • Utilizan nuevas tecnologías.
  • Realizan perfilamientos sistemáticos.
  • Tratan datos sensibles a gran escala.
  • Monitorean sistemáticamente zonas de acceso público.

4. Notificación de brechas de seguridad (Art. 48)

Cuando se produzca una vulneración de seguridad que afecte datos personales, el responsable debe:

  • Notificar a la Agencia de Protección de Datos Personales dentro de las 72 horas siguientes a la detección.
  • Notificar a los titulares afectados sin dilación indebida, cuando la brecha suponga un alto riesgo para sus derechos y libertades.

La notificación debe incluir la naturaleza de la brecha, las categorías de datos afectados, el número estimado de titulares afectados, las consecuencias probables y las medidas adoptadas o propuestas.

5. Contratos con encargados del tratamiento (Art. 15 bis)

Cuando un responsable encargue el tratamiento de datos a un tercero (por ejemplo, un proveedor de servicios cloud, una empresa de marketing, un procesador de pagos), debe formalizar la relación mediante un contrato de encargo de tratamiento que establezca instrucciones claras, obligaciones de seguridad y confidencialidad.

6. Transferencias internacionales de datos (Art. 27 y ss.)

Las transferencias de datos personales a países u organizaciones internacionales fuera de Chile solo son lícitas cuando el país de destino garantiza un nivel adecuado de protección, o cuando se aplican garantías adecuadas como cláusulas contractuales tipo, normas corporativas vinculantes o consentimiento expreso del titular.

> 💡 Consejo práctico: Construir toda esta infraestructura de cumplimiento desde cero es complejo y costoso. datOK te entrega plantillas pre-configuradas para registros de tratamiento, contratos de encargo, políticas de privacidad y procedimientos de notificación de brechas listos para usar.

---

Cronograma de implementación

La Ley 21.719 no entra en vigencia de golpe. El legislador diseñó un calendario escalonado para dar tiempo a las organizaciones:

Fechas clave

| Fecha | Hito |

|---|---|

| 13 de diciembre de 2024 | Publicación en el Diario Oficial |

| 1 de diciembre de 2026 | Entrada en vigencia plena de la ley |

| Diciembre de 2027 | Fin del período de gracia para PYMEs |

¿Qué significa el período de gracia para PYMEs?

Durante el primer año de vigencia (diciembre 2026 a diciembre 2027), las micro, pequeñas y medianas empresas que infrinjan la ley solo recibirán amonestaciones por escrito, sin multas económicas. Esto siempre que la infracción no sea reiterada y que la empresa demuestre estar avanzando de buena fe hacia el cumplimiento.

Importante: El período de gracia no exime a las PYMEs de cumplir la ley. Solo atenúa las sanciones. Desde el día 1 (1 de diciembre de 2026), los titulares de datos pueden ejercer sus derechos ARCO frente a cualquier empresa, y la Agencia puede fiscalizar a cualquier organización.

¿Cuánto queda para la entrada en vigencia?

Al momento de esta publicación (junio de 2026), quedan menos de 6 meses para la entrada en vigencia plena. Si tu empresa aún no ha comenzado el proceso de adecuación, el momento de actuar es ahora.

---

Multas y sanciones

La Ley 21.719 introduce un régimen sancionatorio con multas que pueden ser devastadoras para las finanzas de cualquier empresa. Se clasifican en tres niveles según la gravedad de la infracción:

Clasificación de infracciones y multas

| Tipo de infracción | Multa máxima (UTM) | Multa máxima (CLP, junio 2026) | Ejemplos |

|---|---|---|---|

| Leves | Hasta 100 UTM | Hasta ~$7.150.600 CLP | No tener política de privacidad actualizada; demoras menores en responder solicitudes ARCO |

| Graves | Hasta 5.000 UTM | Hasta ~$357.530.000 CLP | Tratar datos sin base de licitud; no notificar brechas a la Agencia; obstaculizar la fiscalización |

| Gravísimas | Hasta 20.000 UTM | Hasta ~$1.430.120.000 CLP | Tratar datos sensibles sin consentimiento; transferencias internacionales ilícitas; obstruir deliberadamente a la Agencia |

Valores calculados con UTM de junio 2026: $71.506 CLP.

Factores agravantes y atenuantes

La Agencia de Protección de Datos Personales considerará al determinar la multa:

Agravantes:
  • Beneficio económico obtenido con la infracción.
  • Intencionalidad o negligencia grave.
  • Reincidencia en infracciones del mismo tipo.
  • Volumen de datos y titulares afectados.
  • Capacidad económica del infractor.
Atenuantes:
  • Adopción de medidas correctivas inmediatas.
  • Colaboración con la Agencia durante la investigación.
  • Implementación previa de un modelo de prevención de infracciones (compliance).
  • Autodetección y notificación voluntaria de la brecha.

La importancia del modelo de prevención

El artículo 49 de la Ley 21.719 establece que las organizaciones que cuenten con un modelo de prevención de infracciones certificado podrán beneficiarse de una atenuación significativa de las sanciones. Este modelo debe incluir:

  • Un encargado de prevención (que puede ser el DPO).
  • Identificación de riesgos y protocolos de respuesta.
  • Mecanismos de supervisión y auditoría interna.
  • Programas de capacitación al personal.

> ⚠️ Dato clave: Una multa gravísima de 20.000 UTM equivale a más de $1.430 millones de pesos chilenos. Ninguna PYME sobrevive a una multa de esa magnitud. Cumplir la ley no es opcional, es una necesidad de supervivencia empresarial.

---

Cómo empezar a cumplir la Ley 21.719

Cumplir con la ley de protección de datos personales en Chile no tiene por qué ser un proceso agobiante. Aquí te presentamos una hoja de ruta práctica en 8 pasos:

Paso 1: Diagnóstico inicial

Identifica qué datos personales recopila tu organización, de quién, con qué finalidad y dónde se almacenan. Este "mapeo de datos" es el cimiento de todo tu programa de cumplimiento.

Paso 2: Inventario y registro de tratamientos

Documenta formalmente cada actividad de tratamiento en un registro conforme al artículo 34. Incluye bases de licitud, categorías de datos, plazos de conservación y medidas de seguridad.

Paso 3: Actualiza tus políticas de privacidad

Redacta o actualiza tu política de privacidad para que cumpla con los requisitos de transparencia de la Ley 21.719. Debe ser clara, accesible y completa.

Paso 4: Implementa mecanismos para derechos ARCO

Establece un canal claro para que los titulares puedan ejercer sus derechos de acceso, rectificación, cancelación, oposición, portabilidad y bloqueo. Automatiza los flujos de respuesta para cumplir el plazo de 15 días hábiles.

Paso 5: Revisa contratos con proveedores

Asegúrate de que todos tus proveedores que tratan datos personales por tu cuenta tengan un contrato de encargo de tratamiento vigente con las cláusulas requeridas por la ley.

Paso 6: Designa un DPO (si corresponde)

Evalúa si tu organización está obligada a designar un Delegado de Protección de Datos según el artículo 50, y procede con su nombramiento.

Paso 7: Prepara tu protocolo de brechas

Define un procedimiento interno para detectar, contener, evaluar y notificar brechas de seguridad dentro de las 72 horas exigidas por la ley.

Paso 8: Capacita a tu equipo

La protección de datos es responsabilidad de toda la organización. Capacita a tu personal sobre los principios de la ley, el manejo de datos sensibles y los procedimientos internos.

🚀 Acelera tu cumplimiento con datOK

No necesitas hacerlo todo solo. datOK es la plataforma chilena diseñada específicamente para ayudarte a cumplir con la Ley 21.719 de forma simple, rápida y asequible.

Con datOK puedes:

  • ✅ Generar tu registro de tratamientos con plantillas guiadas.
  • ✅ Gestionar solicitudes ARCO desde un portal automatizado.
  • ✅ Crear tu política de privacidad conforme a la ley.
  • ✅ Documentar tu modelo de prevención de infracciones.
  • ✅ Simular multas para entender tu nivel de riesgo.
  • ✅ Acceder a un plan gratuito diseñado para PYMEs.
Comienza gratis en datok.cl →

---

Preguntas frecuentes sobre la Ley 21.719

A continuación respondemos las dudas más comunes sobre la nueva ley de protección de datos personales en Chile.

---

Conclusión

La Ley 21.719 representa un cambio de paradigma en la protección de datos personales en Chile. Con su entrada en vigencia plena el 1 de diciembre de 2026, todas las organizaciones —grandes, medianas y pequeñas— deben estar preparadas para cumplir con obligaciones concretas y exigibles, respaldadas por multas que pueden alcanzar los $1.430 millones de pesos.

No se trata solo de evitar sanciones. Cumplir con la ley de protección de datos es una oportunidad para generar confianza con tus clientes, diferenciarte de la competencia y profesionalizar la gestión de la información en tu organización.

El tiempo corre. Si aún no has iniciado tu proceso de adecuación, datOK te ofrece las herramientas para hacerlo de forma simple, guiada y con un plan gratuito para PYMEs. Empieza hoy.

Crea tu cuenta gratuita en datOK →

❓ Preguntas Frecuentes

¿Listo para cumplir la Ley 21.719?

datOK te guía paso a paso. Registra tratamientos, gestiona derechos ARCO, notifica brechas y más. Plan gratuito disponible.

Crear cuenta gratis

📖 Artículos Relacionados