Nueva Ley de Protección de Datos Personales (Ley 21.719): guía de preparación para tu empresa — Cubillos Lama
Guía

Nueva Ley de Protección de Datos Personales (Ley 21.719): guía de preparación para tu empresa

La Ley 21.719 modifica la Ley 19.628, crea la Agencia de Protección de Datos Personales y establece nuevas obligaciones y sanciones. Esta guía presenta un plan de adecuación sin trasladar automáticamente instituciones del GDPR que no estén previstas por la legislación chilena.

GuíaRegulatorioPublicado: Actualizado:
CompartirCorreoWhatsAppLinkedIn

La Ley 21.719 reemplaza a la Ley 19.628 y reconfigura por completo el tratamiento de datos personales en Chile. El plazo de adecuación corre. Esta guía ordena qué cambia, qué tiene que estar implementado y por dónde partir.

Por qué importa ahora

La Ley 21.719 fue publicada en diciembre de 2024 y contempla un plazo de adecuación de 24 meses contado desde su publicación. La ley entra en vigencia el 1 de diciembre de 2026, correspondiente al primer día del mes vigésimo cuarto posterior a su publicación el 13 de diciembre de 2024.

El error frecuente es leer ese plazo como una postergación. No lo es. Es el tiempo que el legislador estimó razonable para que las empresas reestructuren cómo recopilan, almacenan, comparten y protegen datos personales. La adecuación real toma meses: mapear sistemas, renegociar contratos con proveedores, revisar consentimientos, capacitar equipos y, en muchos casos, cambiar herramientas. Las organizaciones que recién empiezan a mediados de 2026 llegan tarde.

El régimen pasa de uno con baja fiscalización y multas marginales a uno con una autoridad de control activa, derechos del titular reforzados y sanciones que sí impactan la línea de resultados. Conviene tratarlo como un proyecto de compliance, no como una actualización de la política de privacidad del sitio web.

Qué cambia: Ley 19.628 frente a Ley 21.719

Las 7 cosas que toda empresa debe tener implementadas

1. Inventario documentado de tratamientos

Aunque no debe presentarse como una obligación general equivalente al registro del GDPR sin identificar un artículo específico, mantener un inventario de datos, finalidades, bases de licitud, destinatarios, conservación y seguridad es una herramienta recomendable para demostrar cumplimiento y responder a titulares y a la Agencia.

2. Política de privacidad actualizada

Debe reflejar el catálogo de finalidades reales, las bases de licitud invocadas, los derechos del titular y los canales para ejercerlos, los plazos de conservación y las transferencias internacionales. Lenguaje claro, no copia de plantilla. La política es la cara visible del programa; tiene que ser consistente con lo que la empresa efectivamente hace.

3. Mecanismos de consentimiento

Cuando la base de licitud es el consentimiento, debe ser libre, específico, informado e inequívoco. Casillas premarcadas, consentimientos genéricos para finalidades múltiples y “acepto todo” sin granularidad dejan de servir. Hay que rediseñar formularios, flujos de registro y journeys de marketing.

4. DPA con encargados del tratamiento

Todo proveedor que actúe como encargado y trate datos personales por cuenta de la empresa debe estar sujeto a un contrato que refleje las obligaciones establecidas por la legislación chilena con cláusulas mínimas: objeto, duración, finalidad, instrucciones, confidencialidad, medidas de seguridad, subencargados, retorno o supresión y auditoría.

5. Procedimiento ARSOP

Un flujo interno claro para recibir, validar y responder solicitudes de acceso, rectificación, supresión, oposición y portabilidad dentro de los plazos legales. Tiene que estar documentado, asignado a un responsable y conectado con TI y el área que custodia los datos.

6. Plan de respuesta a incidentes

Protocolo de detección, contención, evaluación de impacto, notificación a la Agencia y comunicación a los titulares cuando proceda. Incluye matriz de roles, plantillas de comunicación y un registro de incidentes. Sin este plan, una brecha que técnicamente se podía manejar termina en sanción.

7. Evaluación de impacto cuando aplique

Cuando el tratamiento implique alto riesgo para los derechos del titular (datos sensibles a gran escala, observación sistemática, perfilamiento con efectos relevantes), debe realizarse una Evaluación de Impacto en Protección de Datos previa al inicio del tratamiento.

Casos especiales

Datos sensibles

Datos referidos a salud, vida sexual, origen étnico, opiniones políticas, convicciones religiosas, datos biométricos y datos genéticos, entre otros. Su tratamiento exige base de licitud reforzada (consentimiento expreso u otras causales tasadas) y medidas de seguridad acordes al riesgo. Es la categoría donde más se concentran las infracciones gravísimas.

Datos de niños, niñas y adolescentes

Están sujetos a reglas reforzadas que deben aplicarse atendiendo a la edad del titular, el tipo de dato y las bases de licitud previstas por la ley, incluyendo los casos en que se requiere consentimiento de representantes legales. Cualquier empresa con productos o servicios dirigidos a menores debe revisar a fondo sus flujos de consentimiento.

Perfilamiento y decisiones automatizadas

El titular tiene derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente, salvo causales tasadas. Cuando se utilicen, deben informarse la lógica involucrada, las consecuencias previstas y los mecanismos para solicitar intervención humana e impugnar la decisión.

Cuándo se requiere DPO

La Ley 21.719 contempla la figura del delegado de protección de datos, especialmente en relación con modelos de prevención de infracciones y funciones de cumplimiento. No debe afirmarse que rigen automáticamente los supuestos obligatorios del GDPR. Cada organización debe revisar si una disposición legal o sectorial específica exige su designación y si conviene nombrarlo voluntariamente.

Fuera de esos casos, la designación es voluntaria. Muchas empresas medianas igualmente designan a un DPO interno o externo porque centraliza el conocimiento, ordena el ciclo de cumplimiento y se vuelve el punto de contacto con la Agencia y con los titulares.

Régimen de sanciones

Las infracciones se gradúan en tres categorías:

  • Leves: incumplimientos formales o de menor entidad. Multas más bajas en UTM.
  • Graves: incumplimiento de obligaciones sustantivas (información, consentimiento, derechos del titular, deber de seguridad básico, transferencias internacionales sin garantías).
  • Gravísimas: tratamiento ilícito de datos sensibles, vulneración consciente de los derechos del titular, transferencia internacional sin causa habilitante, obstrucción a la fiscalización.

La multa máxima para infracciones gravísimas llega a 20.000 UTM. A eso pueden sumarse sanciones accesorias, como la suspensión del tratamiento. El parámetro relevante no es solo el monto: la sola apertura de un procedimiento sancionatorio genera costos legales, distracción de gestión y exposición reputacional.

Plan de adecuación en fases

Fase 1 — Diagnóstico

Mapeo de tratamientos, flujos de datos y proveedores. Inventario de bases de licitud actualmente invocadas. Revisión de contratos con encargados. Análisis de brechas frente a la Ley 21.719. Producto: informe de diagnóstico con priorización por riesgo.

Fase 2 — Remediación

Elaboración del Registro de Actividades de Tratamiento. Rediseño de la política de privacidad y de los flujos de consentimiento. Negociación de DPA con proveedores. Implementación del procedimiento ARSOP y del plan de respuesta a incidentes. Designación del DPO cuando corresponda. Realización de Evaluaciones de Impacto en tratamientos de alto riesgo. Capacitación de equipos.

Fase 3 — Sostenimiento

Monitoreo continuo, auditoría interna periódica, revisión anual del Registro, gestión de solicitudes ARSOP, gestión de incidentes y actualización ante cambios regulatorios o de negocio. El cumplimiento de la Ley 21.719 no es un proyecto que se cierra; es un programa permanente.

Las 3 primeras acciones para esta semana

  1. Definir un sponsor ejecutivo y un responsable operativo del proyecto de adecuación. Sin dueño claro no hay proyecto.
  2. Levantar un inventario preliminar de los sistemas que almacenan datos personales (CRM, ERP, planillas, sistemas de RR. HH., herramientas de marketing, proveedores cloud). No tiene que ser exhaustivo todavía; basta para empezar el diagnóstico.
  3. Listar a los principales encargados del tratamiento y verificar si ya cuentan con DPA suscrito o si la versión vigente cubre las obligaciones de la Ley 21.719.

Este contenido es informativo y no constituye asesoría legal para un caso específico. Para evaluar la situación de su empresa frente a la Ley 21.719, recomendamos una revisión particular.

¿Tienes consultas sobre tu situación legal?

Conversemos sobre cómo aplica esto a tu empresa.

Contáctanos →

Área relacionada: Regulatorio

Conoce cómo abordamos este ámbito legal bajo el modelo OGC.

Área relacionada: Regulatorio