Ley de protección de datos en Chile: Lo que debes saber

La aplicación de la ley de protección de datos en Chile está a la vuelta de la esquina. El 1 de diciembre de 2026 entra en vigencia la Ley 21.719, la reforma más profunda que ha tenido la protección de datos personales en el país desde 1999.

Si tu empresa recopila correos electrónicos, teléfonos, RUTs, historiales de compra o cualquier dato de clientes y empleados, esta normativa te afecta directamente, sin importar su tamaño ni si opera en presencial o digital.

¿Pero qué es la Ley 21.719 y qué cambia exactamente?

La Ley 21.719 reforma y moderniza profundamente la Ley 19.628 de 1999, que llevaba dos décadas sin capacidad real de fiscalización. Fue publicada en el Diario Oficial el 13 de diciembre de 2024, con un período de transición de 24 meses para que organizaciones públicas y privadas se lograran adaptar. Y ese momento llegó.

El cambio más importante que propone es estructural: nace la Agencia de Protección de Datos Personales (APDP), una entidad autónoma de derecho público con facultades reales para investigar, sancionar, ordenar suspensiones de tratamiento y publicar un Registro Nacional de Sanciones.

Otro cambio sustantivo es el nivel de las multas por incumplimiento. Las sanciones parten desde las 5000 UTM las leves; 10000 UTM las graves; y las gravísimas alcanzan las 20.000 UTM, equivalentes a cerca de 1.400 millones de pesos chilenos. En casos de reincidencia, la sanción puede llegar al 4% de los ingresos anuales por ventas y servicios en Chile, o la multa triplicada (lo que resulte mayor).

Los seis derechos que la ley reconoce a las personas

Uno de los ejes centrales de esta reforma consta en ampliar y fortalecer los derechos de los titulares, es decir, de las persona cuyos datos sean tratados. Así, la ley reconoce 6 derechos irrenunciables, que no pueden limitarse por contrato:

• Acceso: para saber si una organización trata tus datos, obtener copia de ellos e información sobre su origen, finalidad y destinatarios.
• Rectificación: la potestad de corregir datos inexactos, desactualizados o incompletos.
• Supresión: poder de eliminar tus datos cuando ya no son necesarios o fueron tratados ilícitamente.
• Oposición: pedir que no se realice un tratamiento determinado, por ejemplo para fines de marketing.
• Portabilidad: recibir tus datos en formato electrónico y transferirlos a otro responsable.
• Bloqueo: suspender temporalmente el tratamiento mientras se resuelve una reclamación.

Con estos derechos claros, las empresas deben responder las solicitudes de ejercicio en un plazo máximo de 30 días corridos. Las solicitudes de bloqueo deben responderse en solo 2 días hábiles. El acceso es gratuito al menos una vez por trimestre.

¿Qué debe hacer tu empresa antes del 1 de diciembre de 2026?

Ten presente que esta ley aplica a todos: empresas grandes, pymes, organismos públicos y cualquier persona que trate datos personales, sin importar su tamaño. Incluso empresas extranjeras que ofrecen servicios a personas en Chile quedan sujetas a esta norma.

La Secretaría de Gobierno Digital publicó una Guía Práctica de Implementación orientada a los organismos del Estado, pero sus pasos son igualmente útiles para el sector privado. El punto de partida recomendado tiene tres acciones concretas:

• Designar un responsable institucional: Debe ser una persona con capacidad de gestión para que coordine la implementación. En empresas con mayor volumen de datos, puede ser el Delegado de Protección de Datos (DPO).
• Levantar un inventario de datos: Identificar qué datos se recopilan, dónde están, con qué finalidad, quién los maneja y por cuánto tiempo se conservan.
• Revisar las bases de licitud: Cada tratamiento debe tener una justificación legal válida: consentimiento, contrato, obligación legal o interés legítimo.

Además, la ley obliga a notificar brechas de seguridad en un plazo de 72 horas tanto a la APDP como a los titulares afectados. Esto significa que los equipos de tecnología también deben estar preparados.

¿Por dónde empezar si todavía no has iniciado la adecuación?

El tiempo disponible es el necesario para hacerlo bien, sin mucho para perder. Una implementación de cumplimiento puede requerir entre 6 y 9 meses si se parte desde cero. Estas son las prioridades:

• Inventario y accesos (primeros 30 días): mapea qué datos tienes, dónde están almacenados y quién puede acceder a ellos.
• Gobernanza y contratos (días 30-60): revisa los contratos con proveedores tecnológicos, actualiza las cláusulas de tratamiento de datos y define tu política de privacidad.
• Controles técnicos y simulación (días 60-90+): implementa logs de acceso, procedimientos de respuesta ante brechas y ensaya el proceso de atención a titulares.

En PlanOK desarrollamos B-OK, un servicio de consultorías de ciberseguridad que blinda a tu empresa ante estos nuevos escenarios. Herman Vega, nuestro CISO, explica en el siguiente video:

Si quieres saber el nivel de cumplimiento de tu empresa, te invitamos a hacer este autodiagnóstico exprés sin costo: Quiero el diagnóstico.

Una última cosa: recuerda que la APDP va a fiscalizar evidencia operativa, no tus buenas intenciones. Logs, inventarios, registros de consentimiento y contratos datados son la diferencia entre cumplir y no cumplir. Mucho éxito.

Y si necesitas ayuda, desde B-OK estamos dispuestos a ayudarte.