⚠️ Multas

Multas Ley 21.719: ¿Cuánto Arriesga tu Empresa? + Simulador Gratis

10 min de lectura

Multas Ley 21.719: Todo lo que tu Empresa Necesita Saber en 2026

El 1 de diciembre de 2026 marca un antes y un después en la protección de datos personales en Chile. Ese día entra en plena vigencia la Ley 21.719 — la nueva Ley de Protección de Datos Personales — y con ella un régimen sancionatorio que puede sacudir las finanzas de cualquier organización que no esté preparada.

Ya no hablamos de recomendaciones ni de buenas prácticas voluntarias. Hablamos de multas que pueden superar los mil cuatrocientos millones de pesos chilenos y, en casos de reincidencia, alcanzar el 4% de los ingresos anuales de tu empresa.

En esta guía desglosamos el sistema completo de sanciones, calculamos los montos reales en pesos usando el valor UTM de junio 2026, y te mostramos cómo proteger tu negocio antes de que sea tarde.

---

El Régimen Sancionatorio de la Ley 21.719

La Ley 21.719 establece un sistema de sanciones administrativas que es aplicado por la Agencia de Protección de Datos Personales, el nuevo organismo fiscalizador creado por esta misma ley. Este régimen se inspira directamente en el modelo europeo del GDPR, pero adaptado a la realidad chilena.

Las sanciones se organizan en tres niveles de gravedad:

| Categoría | Multa Máxima (UTM) | Multa Máxima (CLP aprox.) |

|---|---|---|

| Leves | 5.000 UTM | ~$357 millones |

| Graves | 10.000 UTM | ~$715 millones |

| Gravísimas | 20.000 UTM | ~$1.430 millones |

> Valor de referencia: 1 UTM en junio de 2026 equivale a $71.506 CLP.

La Agencia tiene la potestad de aplicar estas sanciones de forma directa, sin necesidad de recurrir a tribunales. Además, las resoluciones sancionatorias son públicas, lo que suma un daño reputacional considerable al golpe económico.

¿Quién fiscaliza y sanciona?

La Agencia de Protección de Datos Personales (creada por el artículo 30 de la Ley 21.719) actúa como autoridad de control única. Sus atribuciones incluyen:

  • Iniciar procedimientos sancionatorios de oficio o por denuncia de cualquier titular.
  • Realizar auditorías e inspecciones a los responsables de datos.
  • Ordenar la cesación inmediata de tratamientos ilícitos.
  • Aplicar multas y publicar las resoluciones.
  • Llevar un registro público de sanciones.

---

Infracciones Leves: Hasta 5.000 UTM (~$357 Millones CLP)

Las infracciones leves están descritas en el artículo 38 de la Ley 21.719. Aunque se denominan "leves", los montos que involucran no lo son en absoluto para la gran mayoría de las empresas chilenas.

¿Qué conductas se consideran infracciones leves?

  • No informar adecuadamente al titular sobre la finalidad del tratamiento de sus datos al momento de la recolección.
  • No mantener actualizada la información de contacto del responsable o delegado de protección de datos.
  • No responder a las solicitudes de derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) dentro del plazo de 15 días hábiles establecido por la ley.
  • Carecer de un registro interno de actividades de tratamiento de datos.
  • Incumplir deberes formales de información o transparencia de carácter menor.

Ejemplo práctico

Imagina una empresa mediana de retail que recoge datos de sus clientes a través de un programa de fidelización. Si no incluye una política de privacidad clara en el formulario de inscripción, ni informa la finalidad específica del tratamiento, podría enfrentar una sanción de hasta $357 millones CLP. Esto puede representar meses de utilidad neta para una empresa de ese tamaño.

---

Infracciones Graves: Hasta 10.000 UTM (~$715 Millones CLP)

El artículo 39 de la Ley 21.719 define las infracciones graves. Aquí entramos en terreno donde un solo incidente puede comprometer seriamente la continuidad financiera de una organización.

¿Qué conductas se consideran infracciones graves?

  • Tratar datos personales sin base de licitud: sin consentimiento válido, sin contrato que lo justifique, ni ninguna de las otras bases legales reconocidas por la ley.
  • No notificar brechas de seguridad a la Agencia dentro de las 72 horas siguientes a la detección del incidente.
  • Impedir u obstruir el ejercicio de los derechos ARCO de los titulares.
  • Transferir datos personales a terceros países sin cumplir los requisitos establecidos (decisiones de adecuación, cláusulas contractuales tipo, etc.).
  • No designar un Delegado de Protección de Datos (DPO) cuando la ley lo exige (artículo 50).
  • Incumplir las medidas de seguridad técnicas y organizativas que la ley exige para proteger los datos.

Ejemplo práctico

Una clínica médica sufre un ciberataque que expone los datos de salud de 50.000 pacientes. Si no notifica a la Agencia dentro de las 72 horas, si no tenía las medidas de seguridad técnicas adecuadas, y si además no había designado un DPO, podría acumular múltiples infracciones graves. La exposición económica total podría alcanzar fácilmente los $715 millones CLP por cada infracción, y la Agencia puede sancionar cada conducta de forma independiente.

---

Infracciones Gravísimas: Hasta 20.000 UTM (~$1.430 Millones CLP)

Las infracciones gravísimas, reguladas en el artículo 40 de la Ley 21.719, representan el nivel máximo de sanción individual. Son reservadas para las conductas más lesivas contra los derechos de los titulares.

¿Qué conductas se consideran infracciones gravísimas?

  • Tratar datos sensibles (salud, origen étnico, orientación sexual, datos biométricos, afiliación sindical, etc.) sin consentimiento expreso o fuera de las excepciones legales.
  • Utilizar datos personales para discriminación ilícita o arbitraria contra los titulares.
  • Obtener datos personales mediante engaño, fraude o vulneración del deber de secreto.
  • Cometer infracciones graves de forma reiterada (la reincidencia en infracciones graves escala automáticamente a gravísima).
  • Transferir datos sensibles internacionalmente sin cumplir los resguardos reforzados que la ley exige.
  • Obstruir deliberadamente la labor fiscalizadora de la Agencia de Protección de Datos.

La magnitud del impacto

Con un valor de UTM de $71.506 CLP en junio de 2026, la multa máxima por una infracción gravísima asciende a:

> 20.000 × $71.506 = $1.430.120.000 CLP

Estamos hablando de más de mil cuatrocientos treinta millones de pesos por una sola infracción. Para poner esto en perspectiva, esta cifra supera el patrimonio neto de miles de empresas chilenas.

---

Reincidencia: La Sanción Nuclear del 4% de Ingresos Anuales

Cuando una organización es sancionada y vuelve a incurrir en infracciones dentro de un plazo de 24 meses, la Agencia puede abandonar el sistema de UTM e imponer una sanción proporcional calculada como un porcentaje de los ingresos anuales por ventas y servicios.

  • Reincidencia en infracciones graves: hasta el 2% de los ingresos anuales.
  • Reincidencia en infracciones gravísimas: hasta el 4% de los ingresos anuales.

¿Qué significa esto en la práctica?

Para una empresa con ingresos anuales de $50.000 millones CLP (una empresa grande, pero no excepcional en el mercado chileno), una sanción por reincidencia gravísima podría alcanzar los $2.000 millones CLP. Este modelo es idéntico al del GDPR europeo y está diseñado para que ninguna empresa sea demasiado grande como para absorber la multa sin sentir el impacto.

---

Atenuantes y Agravantes: Lo que Sube y Baja la Multa

La Agencia de Protección de Datos no aplica las multas de forma mecánica. El artículo 41 de la Ley 21.719 establece criterios claros que pueden incrementar o reducir el monto final de la sanción.

Circunstancias atenuantes (reducen la multa)

  • Colaboración activa con la Agencia durante la investigación.
  • Adopción de medidas correctivas inmediatas tras detectar la infracción.
  • Contar con un Modelo de Prevención de Infracciones (MPI) certificado y vigente.
  • Haber sufrido la infracción por primera vez, sin antecedentes previos.
  • Reparación voluntaria del daño causado a los titulares afectados.

Circunstancias agravantes (aumentan la multa)

  • Beneficio económico obtenido directamente de la infracción.
  • Número elevado de titulares afectados.
  • Naturaleza sensible de los datos involucrados.
  • Duración prolongada de la conducta infractora.
  • Reiteración de conductas infractoras similares.
  • Ocultamiento deliberado de la infracción o sus consecuencias.

> Consejo clave: Tener un MPI certificado no te exime de sanciones, pero es la herramienta más poderosa para reducir significativamente el monto de cualquier multa.

---

El Modelo de Prevención de Infracciones (MPI): Tu Mejor Defensa

El Modelo de Prevención de Infracciones (MPI), regulado en los artículos 51 y 52 de la Ley 21.719, es un programa formal de cumplimiento que las organizaciones pueden implementar voluntariamente para demostrar su compromiso con la protección de datos.

Componentes obligatorios de un MPI válido

  • Designación de un Delegado de Protección de Datos (DPO): persona u órgano encargado de supervisar el cumplimiento, con autonomía funcional e independencia.
  • Programa de cumplimiento: documento que define políticas, procedimientos, controles y protocolos de actuación ante brechas.
  • Mecanismos de reporte interno: canales para que empleados y terceros reporten posibles incumplimientos.
  • Programa de capacitación: formación periódica a todo el personal que trata datos personales.
  • Auditorías internas: revisiones periódicas para verificar el funcionamiento efectivo del modelo.

¿Cómo se certifica el MPI?

La Agencia de Protección de Datos Personales es la entidad responsable de certificar los MPI. El proceso implica una revisión exhaustiva del programa, y la certificación tiene una vigencia limitada que requiere renovación periódica. Las organizaciones con MPI certificado acceden a un trato preferencial en los procedimientos sancionatorios.

---

Período de Gracia para PYMEs: Hasta Diciembre 2027

Un punto crucial que muchas PYMEs desconocen: la Ley 21.719 contempla un período de gracia de un año adicional para micro, pequeñas y medianas empresas. Desde el 1 de diciembre de 2026 hasta diciembre de 2027, las PYMEs solo recibirán:

  • Amonestaciones por escrito.
  • Advertencias formales.
  • Requerimientos de corrección.
No se aplicarán multas económicas durante ese período. Sin embargo, esto no significa impunidad:
  • Las infracciones quedan registradas y se acumulan.
  • Terminado el período de gracia, la reincidencia se computa con todo el historial previo.
  • El daño reputacional de una amonestación pública existe igualmente.

> Advertencia para PYMEs: usar el período de gracia como excusa para postergar la adecuación es la peor estrategia posible. Llegado diciembre de 2027, las PYMEs con historial de amonestaciones enfrentarán un escenario de reincidencia desde el día uno.

---

Comparativa: Multas Ley 21.719 vs. GDPR Europeo

| Concepto | Ley 21.719 (Chile) | GDPR (Europa) |

|---|---|---|

| Multa máxima fija | 20.000 UTM (~$1.430M CLP / ~€1.5M) | €20 millones |

| Multa por reincidencia | Hasta 4% ingresos anuales | Hasta 4% facturación global |

| Plazo notificación brecha | 72 horas | 72 horas |

| Respuesta derechos ARCO | 15 días hábiles | 30 días calendario |

| Autoridad de control | Agencia de Protección de Datos | Autoridades nacionales (DPA) |

Chile adoptó deliberadamente un modelo alineado con estándares internacionales. Esto no es casualidad: busca facilitar la transferencia internacional de datos con la Unión Europea y posicionar al país como un socio comercial confiable en materia de privacidad.

---

Cómo Proteger tu Empresa con datOK

Frente a multas de esta magnitud, la pregunta no es si puedes permitirte invertir en cumplimiento, sino si puedes permitirte no hacerlo.

datOK es la plataforma SaaS diseñada específicamente para que las empresas chilenas cumplan con la Ley 21.719 de manera práctica, eficiente y sin necesidad de ser expertos legales.

¿Qué puedes hacer con datOK?

  • 📋 Diagnóstico de cumplimiento automatizado: evalúa en minutos tu nivel de adecuación a la Ley 21.719.
  • 🔔 Gestión de brechas de seguridad: documenta, notifica y responde dentro del plazo de 72 horas.
  • 📝 Gestión de derechos ARCO: recibe, procesa y responde solicitudes de titulares dentro de los 15 días hábiles.
  • 📊 Registro de actividades de tratamiento: mantén un inventario actualizado y auditable de todos tus tratamientos de datos.
  • 🛡️ Soporte para implementar tu MPI: genera la documentación base para tu Modelo de Prevención de Infracciones.
  • 💰 Simulador de multas: calcula cuánto arriesga tu empresa según tu situación actual.

Plan gratuito para PYMEs

datOK ofrece un plan gratuito permanente diseñado para micro y pequeñas empresas. Este plan incluye las funcionalidades esenciales para iniciar tu proceso de adecuación durante el período de gracia, sin excusas y sin costo.

👉 Comienza gratis en datok.cl — No necesitas tarjeta de crédito.

---

Conclusión: Las Multas son Reales y el Plazo es Ahora

La Ley 21.719 no es una amenaza futura: entra en vigencia en diciembre de 2026. Las multas oscilan desde los $357 millones CLP por una infracción leve hasta los $1.430 millones CLP por una gravísima, con la posibilidad de escalar al 4% de los ingresos anuales en casos de reincidencia.

La buena noticia es que tienes herramientas para prepararte. Un Modelo de Prevención de Infracciones (MPI) reduce significativamente las sanciones, y plataformas como datOK simplifican todo el proceso de cumplimiento.

No esperes a que la Agencia de Protección de Datos toque tu puerta. Empieza hoy, gratis, en datok.cl.

❓ Preguntas Frecuentes

¿Listo para cumplir la Ley 21.719?

datOK te guía paso a paso. Registra tratamientos, gestiona derechos ARCO, notifica brechas y más. Plan gratuito disponible.

Crear cuenta gratis

📖 Artículos Relacionados