🛡️
PrivacyCheckby SWELL
Diagnosticar →
Guía principal

Ley 21.719 explicada: la guía completa para empresas en Chile

Todo lo que tu empresa necesita saber sobre la nueva Ley de Protección de Datos Personales: qué es, cuándo entra en vigencia, qué derechos tienen tus clientes, cuánto arriesgas en multas y quién fiscaliza. Sin tecnicismos, con las fuentes al final.

12 min de lecturaActualizado julio 2026

¿Qué es la Ley 21.719?

La Ley 21.719 es la nueva Ley de Protección de Datos Personales de Chile. Reemplaza a la Ley 19.628, que estaba vigente desde 1999 —cuando el comercio electrónico era una novedad y las redes sociales no existían— y actualiza el marco legal chileno a un estándar comparable al GDPR europeo, hoy la referencia global en la materia.

En términos simples, la ley establece que los datos personales de tus clientes, prospectos y usuarios son de ellos, no tuyos. Tu empresa puede tratarlos, pero bajo condiciones específicas: con una base legal válida, para el propósito declarado, y mientras el titular lo permita.

La ley crea además un organismo nuevo, la Agencia de Protección de Datos Personales (APDP), con facultades para fiscalizar, investigar y sancionar (ver sección 5).

¿Cuándo entra en vigencia?

La Ley 21.719 fue publicada el 13 de diciembre de 2024. Como es habitual en leyes de esta envergadura, no rige de inmediato: contempla un período de implementación gradual para que empresas, organismos públicos y la propia Agencia puedan prepararse.

La vigencia plena es el 1 de diciembre de 2026. Desde esa fecha, todas las obligaciones de la ley —incluida la fiscalización activa por parte de la Agencia— son plenamente exigibles.

Lectura práctica: el hecho de que la ley ya esté publicada no significa que el riesgo sea hoy máximo. Significa que hoy existe una ventana de preparación que se cierra el 1 de diciembre de 2026. Las empresas que ordenan su cumplimiento con tiempo llegan mejor paradas que las que esperan a último momento.

¿Qué son los derechos ARCOP?

La ley otorga a cualquier persona cinco derechos concretos y exigibles sobre sus datos personales, conocidos como derechos ARCOP:

DerechoEn qué consiste
AccesoConocer qué datos tiene una empresa sobre ti, cómo los usa y con quién los comparte.
RectificaciónExigir que se corrijan datos inexactos, incompletos o desactualizados.
Cancelación (Supresión)Pedir la eliminación de tus datos cuando ya no exista base legal para tratarlos.
OposiciónOponerte al tratamiento de tus datos para fines específicos, como marketing directo.
PortabilidadRecibir tus datos en un formato estructurado para llevarlos a otro proveedor.

El plazo general para responder una solicitud ARCOP es de 30 días hábiles, prorrogable por una única vez hasta 30 días hábiles adicionales cuando existe justificación. Hay una excepción relevante: cuando la solicitud incluye un bloqueo temporal de los datos mientras se resuelve el fondo, ese bloqueo debe resolverse en solo 2 días hábiles. No responder dentro de plazo es, en sí mismo, una infracción sancionable.

Multas y sanciones por tipo de infracción

La Ley 21.719 clasifica las infracciones en tres niveles de gravedad, cada uno con un tope de multa expresado en UTM (Unidad Tributaria Mensual, un valor que se reajusta cada mes según la inflación):

NivelEjemplosMulta máxima
LevesIncumplimiento parcial del deber de transparencia, responder fuera de plazo a solicitudes ARCOP, omitir comunicaciones obligatorias a la Agencia.5.000 UTM
GravesTratar datos sin consentimiento ni base legal, medidas de seguridad insuficientes, obstruir el ejercicio de derechos ARCOP, tratamiento ilícito de datos de menores.10.000 UTM
GravísimasTratamiento fraudulento de datos, comunicar información falsa a la Agencia, omitir maliciosamente el reporte de brechas de seguridad, tratar datos sensibles contraviniendo la ley.20.000 UTM

Con el valor de la UTM de julio de 2026 (aproximadamente $71.649 CLP), el techo de una infracción gravísima ronda los $1.400 millones de pesos chilenos. Como la UTM se reajusta mensualmente, este monto varía un poco cada mes — pero el orden de magnitud es ese.

Hay un agravante importante: en caso de reincidencia, la multa aplicable es la mayor entre triplicar la multa original o un porcentaje de las ventas anuales de la empresa en Chile (2% para reincidencia grave, 4% para gravísima). Para una empresa mediana o grande, ese segundo criterio puede superar largamente el tope en UTM.

Nota: esta información es referencial y busca dar una idea concreta de la magnitud del riesgo. No reemplaza una asesoría legal específica para tu empresa.

¿Qué es la Agencia de Protección de Datos (APDP)?

La Agencia de Protección de Datos Personales es el organismo autónomo que la Ley 21.719 crea para fiscalizar su cumplimiento. Sus principales facultades incluyen investigar de oficio (sin necesidad de que alguien reclame primero), imponer multas, ordenar la suspensión de tratamientos de datos, recibir y resolver reclamos de titulares que ejercen sus derechos ARCOP, y publicar un Registro Nacional de Sanciones de acceso público.

Que la Agencia pueda actuar de oficio es un cambio relevante frente al régimen anterior: no depende de que un cliente reclame para que una empresa sea fiscalizada.

¿Qué es un DPO o encargado de datos?

Un DPO (Data Protection Officer, o encargado de protección de datos) es la persona o cargo responsable de supervisar el cumplimiento de la ley dentro de una organización: mantener el registro de actividades de tratamiento, asesorar sobre evaluaciones de impacto, ser el punto de contacto con la Agencia y con los titulares de datos.

La ley exige designar un DPO en ciertos casos —principalmente cuando el tratamiento de datos es a gran escala o involucra datos sensibles de forma habitual—, pero incluso cuando no es obligatorio, tener a alguien responsable de esta función ordena el cumplimiento de toda la empresa.

¿Cómo saber si tu empresa cumple?

Esta guía te da el marco general. La pregunta que realmente importa es específica a tu empresa: ¿qué tan expuesto estás hoy, en qué áreas concretas, y con qué urgencia deberías actuar?

Descúbrelo en 5 minutos, sin costo

PrivacyCheck evalúa 7 áreas clave de tu ecosistema digital —sitio web, formularios, publicidad, CRM, email marketing, proveedores y datos internos— y te entrega un score de riesgo, una exposición estimada en CLP y un plan de acción priorizado.

🔍 Iniciar diagnóstico sin costo