En la mayoría de los directorios chilenos, la protección de datos personales todavía se despacha en una línea del informe de TI. Hay una razón histórica. La Ley N° 19.628, vigente desde 1999, no contemplaba una autoridad fiscalizadora dedicada ni multas relevantes, y el incumplimiento salía casi gratis. Ese equilibrio termina el 1 de diciembre de 2026, fecha en que entran en vigencia las modificaciones que la Ley N° 21.719 introduce al régimen de protección de datos (artículo primero transitorio de la Ley 21.719, publicada el 13 de diciembre de 2024).
La tesis de este análisis es directa. Desde esa fecha, el tratamiento de datos personales deja de ser un asunto técnico delegable y pasa a ser un deber de dirección, con el mismo estatus que los riesgos financieros o tributarios que el directorio ya supervisa. No es una consigna. Es la arquitectura de la propia ley, y conviene revisarla con calma.
1. Lo que cambia el 1 de diciembre de 2026
La Ley 21.719 reescribe casi completa la Ley 19.628. Crea la Agencia de Protección de Datos Personales, un regulador con facultades de fiscalización, sanción y dictación de instrucciones generales. Consagra derechos reforzados para los titulares, entre ellos acceso, rectificación, supresión, oposición y portabilidad, con plazos de respuesta y reclamación ante la Agencia. Y exige que todo tratamiento se apoye en una base de licitud que la empresa pueda demostrar.
Ese último punto es el corazón del cambio. El nuevo artículo 3° obliga al responsable a ser capaz de acreditar la licitud del tratamiento que realiza. Ya no basta con no infringir. Hay que poder probar, con documentos y procesos, qué datos se tratan, para qué, con qué base jurídica y por cuánto tiempo. Una empresa que hoy no puede responder esas preguntas en una reunión de directorio tiene trabajo pendiente.
La ley además crea el Registro Nacional de Sanciones y Cumplimiento, un registro público administrado por la Agencia que consigna las sanciones impuestas y los modelos de prevención certificados. Las multas dejarán de ser un dato privado. Quedarán a la vista de clientes, bancos, aseguradoras y contrapartes de due diligence.
2. Un régimen de multas por tramos, con agravantes que muerden
El nuevo régimen sancionatorio clasifica las infracciones en leves, graves y gravísimas (art. 34) y les asigna multas por tramos (art. 35).
Sobre esa base operan tres reglas que elevan el riesgo real. Primero, la Agencia ordena en cada sanción medidas correctivas, y si no se adoptan dentro de sesenta días la multa se recarga en un 50%. Segundo, en caso de reincidencia la multa puede llegar hasta tres veces el monto asignado a la infracción. Tercero, para empresas que no califican como de menor tamaño según la Ley 20.416, la multa por infracciones graves o gravísimas puede alcanzar el 2% o el 4% de los ingresos anuales por ventas y servicios del último año calendario, si ese monto es mayor. Es el mismo diseño disuasivo del reglamento europeo, adaptado a escala chilena.
Nota para PyMEs. Durante los primeros doce meses de vigencia, la Agencia podrá aplicar a las empresas de menor tamaño una amonestación escrita en lugar de la sanción que correspondiera (artículo sexto transitorio, Ley 21.719). Es un período de aterrizaje, no una exención permanente.
3. Por qué esto es un deber de dirección y no un proyecto de TI
Tres disposiciones de la ley apuntan derechamente al gobierno corporativo.
- La ley presume deberes de dirección y supervisión sobre los datos. Entre las atenuantes del artículo 36 figura haber cumplido diligentemente los deberes de dirección y supervisión para la protección de los datos personales, lo que se verifica con el certificado del modelo de prevención (art. 51). Si el cumplimiento diligente de esos deberes atenúa la sanción, su incumplimiento queda expuesto en cada procedimiento sancionatorio.
- El delegado de protección de datos se designa arriba, no abajo. El artículo 50 exige que lo nombre la máxima autoridad directiva o administrativa del responsable, sea el directorio, un socio administrador o el gerente general, y que cuente con autonomía y recursos proporcionados al tamaño de la empresa. En las micro, pequeñas y medianas empresas el dueño puede asumir personalmente la función.
- La sanción es pública y afecta activos que administra el directorio. Reputación, acceso a financiamiento, procesos de venta de la compañía. Un registro público de sanciones convierte cada multa en un hallazgo automático de due diligence.
Dicho de otro modo, la ley no le pide al gerente de TI que compre un software. Le pide al órgano de administración que gobierne un riesgo. La analogía correcta no es la ciberseguridad. Es la Ley 20.393 y su modelo de prevención de delitos, que ya enseñó al mercado chileno que los programas de cumplimiento se evalúan por su implementación efectiva, no por su portada.
4. El modelo de prevención de infracciones, la pieza que casi nadie mira
La Ley 21.719 incorpora un modelo de prevención de infracciones voluntario (art. 49), consistente en un programa de cumplimiento con elementos mínimos. La designación del delegado de protección de datos, la definición de sus medios y facultades, la identificación del tipo de información que la entidad trata y de los titulares, y la identificación de las actividades o procesos con riesgo de infracción, entre otros. La Agencia certifica los modelos que cumplen los requisitos y los inscribe en el Registro Nacional de Sanciones y Cumplimiento (art. 51).
El incentivo es concreto. El certificado es la vía que la propia ley señala para acreditar el cumplimiento diligente de los deberes de dirección y supervisión, con efecto atenuante directo en cualquier procedimiento sancionatorio. Para una empresa mediana, la diferencia entre una multa gravísima a tramo completo y una sanción atenuada puede ser la diferencia entre un mal año y un problema de solvencia.
5. Cinco preguntas que tu directorio debería responder este semestre
Si alguna respuesta es "no sabemos", el tema ya no es de TI. Es de tabla de directorio.
6. Cómo acompaña CUBILLOS LAMA
En CUBILLOS LAMA trabajamos como Outside General Counsel de empresas chilenas. Tu departamento legal, sin el costo de uno propio. Levantamos el inventario de datos, definimos las bases de licitud, diseñamos el modelo de prevención de infracciones y preparamos al directorio para el nuevo régimen con roles y evidencia documentada. Si tu empresa aún no tiene un plan para diciembre de 2026, agenda una reunión de diagnóstico.
Este contenido es informativo y no constituye asesoría legal para un caso específico.
¿Tienes consultas sobre tu situación legal?
Conversemos sobre cómo aplica esto a tu empresa.
Contáctanos →Área relacionada: Compliance
Conoce cómo abordamos este ámbito legal bajo el modelo OGC.
Área relacionada: Compliance →