¿Las PYMEs Deben Cumplir la Ley 21.719? Todo lo que Necesitas Saber
El mito más peligroso: "Las PYMEs están exentas"
Empecemos derribando el mito que podría costarle millones a tu empresa: las PYMEs NO están exentas de la Ley 21.719. Todas las empresas que traten datos personales en Chile — desde una peluquería que guarda nombres y teléfonos de clientes hasta una startup tecnológica — deben cumplir con la ley.
Lo que sí existe es un período de gracia durante el cual las PYMEs no recibirán multas económicas, sino solo amonestaciones. Pero esto no significa que puedas ignorar la ley: significa que tienes una ventana de oportunidad para prepararte sin riesgo de sanción monetaria.
Si estás leyendo esto pensando "mi negocio es pequeño, esto no me aplica", detente. Sí te aplica. Y es mejor que lo sepas ahora.
¿Qué se considera PYME según la ley?
La clasificación de empresas en Chile sigue los criterios del Estatuto PYME (Ley 20.416) y la normativa del SII, basados en los ingresos anuales por ventas:
- Microempresa: Ingresos anuales hasta 2.400 UF (~$80 millones CLP)
- Pequeña empresa: Ingresos entre 2.400 y 25.000 UF (~$80M a $835M CLP)
- Mediana empresa: Ingresos entre 25.000 y 100.000 UF (~$835M a $3.340M CLP)
Todas estas categorías se benefician del período de gracia. Las empresas con ingresos superiores a 100.000 UF son consideradas grandes empresas y no tienen período de gracia.
El período de gracia: tu ventana de oportunidad
La Ley 21.719 establece que las PYMEs tienen un período de gracia hasta el 1 de diciembre de 2027 — un año completo después de la entrada en vigencia plena de la ley. Durante este período:
Lo que SÍ puede pasar:- La Agencia de Protección de Datos puede investigar tu empresa
- Pueden emitir amonestaciones escritas por incumplimientos
- Los titulares de datos pueden presentar reclamos contra tu empresa
- Tu reputación puede verse afectada si hay denuncias públicas
- No recibirás multas económicas (que pueden llegar hasta $1.430 millones CLP)
- No habrá sanciones que afecten directamente tu patrimonio
Obligaciones mínimas que toda PYME debe cumplir
Aunque seas una microempresa, la Ley 21.719 te exige cumplir con estas obligaciones básicas:
1. Registro de Actividades de Tratamiento (RAT)
Debes documentar qué datos personales recopilas, para qué los usas, dónde los almacenas y con quién los compartes. El artículo 34 de la ley lo exige para todos los responsables de tratamiento.
2. Base de licitud para cada tratamiento
No puedes tratar datos personales "porque sí". Necesitas una base legal para cada tipo de tratamiento: consentimiento del titular, ejecución de un contrato, obligación legal, interés legítimo, etc. (Art. 13).
3. Política de privacidad actualizada
Tu sitio web y cualquier formulario de recopilación de datos debe informar claramente qué datos recopilas, por qué, y los derechos de los titulares (Art. 14).
4. Canal de derechos ARCO
Los titulares de datos (tus clientes, empleados, proveedores) tienen derecho a solicitar acceso, rectificación, supresión u oposición al tratamiento de sus datos. Debes tener un canal para recibir y responder estas solicitudes en 15 días hábiles (Arts. 8-11).
5. Medidas de seguridad
Debes implementar medidas técnicas y organizativas para proteger los datos personales que tratas. Esto incluye contraseñas seguras, acceso restringido, copias de seguridad, etc. (Art. 14 bis).
6. Notificación de brechas
Si sufres una brecha de seguridad que afecte datos personales, debes notificar a la Agencia de Protección de Datos dentro de 72 horas (Art. 14 quinquies).
Ventajas competitivas de cumplir antes del plazo
Más allá de evitar multas, cumplir anticipadamente la Ley 21.719 trae beneficios concretos para tu PYME:
Confianza del cliente: En una encuesta reciente, el 78% de los consumidores chilenos declaró que prefiere comprar a empresas que demuestren proteger sus datos personales. Mostrar cumplimiento es un diferenciador. Acceso a grandes clientes: Las grandes empresas (bancos, retail, salud) están empezando a exigir cumplimiento de protección de datos a sus proveedores. Si eres proveedor PYME, cumplir la ley te abre puertas. Modelo de Prevención de Infracciones (MPI): Si implementas un MPI certificado (Arts. 51-52), esto actúa como atenuante ante cualquier sanción futura. Es como un seguro legal para tu empresa. Orden interno: El proceso de mapear tus datos te obliga a entender mejor tu negocio. Muchas PYMEs descubren que estaban recopilando datos que ni siquiera necesitaban, ahorrando costos de almacenamiento y reduciendo riesgos.Checklist de cumplimiento mínimo para PYMEs
Usa esta lista como punto de partida. No necesitas hacer todo de una vez — avanza paso a paso:
- Identificar todos los datos personales que tu empresa recopila
- Documentar la base legal para cada tratamiento de datos
- Crear o actualizar tu política de privacidad
- Implementar un formulario de derechos ARCO (puedes usar el Portal ARCO gratuito de datOK)
- Revisar contratos con proveedores que acceden a datos de tus clientes
- Implementar medidas básicas de seguridad (contraseñas, acceso restringido)
- Capacitar a tu equipo sobre protección de datos
- Designar un responsable de datos (puede ser el dueño/representante legal)
- Crear un protocolo básico de respuesta ante brechas de seguridad
- Revisar y actualizar formularios de consentimiento
Cómo cumplir sin abogados ni consultores (con datOK)
La principal barrera para las PYMEs es el costo. Contratar un abogado especializado puede costar entre $2-5 millones CLP. Un proyecto de consultoría completo, $10-20 millones. Para muchas PYMEs, estos montos son prohibitivos.
datOK fue diseñado específicamente para resolver este problema. Nuestra plataforma ofrece:- Plan gratuito para PYMEs con todas las funciones esenciales
- Asistente de IA que te guía paso a paso en lenguaje simple
- Registro de tratamientos con plantillas predefinidas por industria
- Portal ARCO público listo para usar
- Generador de políticas de privacidad
- Gestión de consentimientos con formularios configurables
- Alertas y plazos automatizados
- Dashboard de cumplimiento con score en tiempo real
No necesitas ser abogado, consultor ni experto en tecnología. Si puedes usar un computador, puedes usar datOK.
Paso a paso para empezar hoy
- Regístrate gratis en datOK — toma 2 minutos
- Completa el onboarding — nuestro asistente te hará preguntas simples sobre tu empresa
- Registra tus tratamientos — el sistema te sugiere los más comunes para tu industria
- Activa tu Portal ARCO — un enlace público para que tus clientes ejerzan sus derechos
- Genera tu política de privacidad — basada en tus tratamientos reales
- Revisa tu score de cumplimiento — sabrás exactamente qué te falta
Todo esto lo puedes hacer en una tarde. Sin abogados. Sin consultores. Sin gastar un peso.
La cuenta regresiva ya empezó
Faltan menos de 6 meses para la vigencia plena de la Ley 21.719. Aunque como PYME tengas un año adicional de gracia, cada día que pasa sin prepararte es un día de riesgo innecesario. Las amonestaciones durante el período de gracia sí quedan registradas y pueden afectar tu reputación comercial.
No esperes al último momento. Empieza hoy. Es gratis.
❓ Preguntas Frecuentes
¿Listo para cumplir la Ley 21.719?
datOK te guía paso a paso. Registra tratamientos, gestiona derechos ARCO, notifica brechas y más. Plan gratuito disponible.
Crear cuenta gratis