¿Qué es la Ley 21.719?
La Ley 21.719 es la nueva Ley de Protección de Datos Personales de Chile. Reemplaza a la Ley 19.628, que estaba vigente desde 1999 —cuando el comercio electrónico era una novedad y las redes sociales no existían— y actualiza el marco legal chileno a un estándar comparable al GDPR europeo, hoy la referencia global en la materia.
En términos simples, la ley establece que los datos personales de tus clientes, prospectos y usuarios son de ellos, no tuyos. Tu empresa puede tratarlos, pero bajo condiciones específicas: con una base legal válida, para el propósito declarado, y mientras el titular lo permita.
La ley crea además un organismo nuevo, la Agencia de Protección de Datos Personales (APDP), con facultades para fiscalizar, investigar y sancionar (ver sección 5).
¿Cuándo entra en vigencia?
La Ley 21.719 fue publicada el 13 de diciembre de 2024. Como es habitual en leyes de esta envergadura, no rige de inmediato: contempla un período de implementación gradual para que empresas, organismos públicos y la propia Agencia puedan prepararse.
La vigencia plena es el 1 de diciembre de 2026. Desde esa fecha, todas las obligaciones de la ley —incluida la fiscalización activa por parte de la Agencia— son plenamente exigibles.
¿Qué son los derechos ARCOP?
La ley otorga a cualquier persona cinco derechos concretos y exigibles sobre sus datos personales, conocidos como derechos ARCOP:
| Derecho | En qué consiste |
|---|---|
| Acceso | Conocer qué datos tiene una empresa sobre ti, cómo los usa y con quién los comparte. |
| Rectificación | Exigir que se corrijan datos inexactos, incompletos o desactualizados. |
| Cancelación (Supresión) | Pedir la eliminación de tus datos cuando ya no exista base legal para tratarlos. |
| Oposición | Oponerte al tratamiento de tus datos para fines específicos, como marketing directo. |
| Portabilidad | Recibir tus datos en un formato estructurado para llevarlos a otro proveedor. |
El plazo general para responder una solicitud ARCOP es de 30 días hábiles, prorrogable por una única vez hasta 30 días hábiles adicionales cuando existe justificación. Hay una excepción relevante: cuando la solicitud incluye un bloqueo temporal de los datos mientras se resuelve el fondo, ese bloqueo debe resolverse en solo 2 días hábiles. No responder dentro de plazo es, en sí mismo, una infracción sancionable.
Multas y sanciones por tipo de infracción
La Ley 21.719 clasifica las infracciones en tres niveles de gravedad, cada uno con un tope de multa expresado en UTM (Unidad Tributaria Mensual, un valor que se reajusta cada mes según la inflación):
| Nivel | Ejemplos | Multa máxima |
|---|---|---|
| Leves | Incumplimiento parcial del deber de transparencia, responder fuera de plazo a solicitudes ARCOP, omitir comunicaciones obligatorias a la Agencia. | 5.000 UTM |
| Graves | Tratar datos sin consentimiento ni base legal, medidas de seguridad insuficientes, obstruir el ejercicio de derechos ARCOP, tratamiento ilícito de datos de menores. | 10.000 UTM |
| Gravísimas | Tratamiento fraudulento de datos, comunicar información falsa a la Agencia, omitir maliciosamente el reporte de brechas de seguridad, tratar datos sensibles contraviniendo la ley. | 20.000 UTM |
Con el valor de la UTM de julio de 2026 (aproximadamente $71.649 CLP), el techo de una infracción gravísima ronda los $1.400 millones de pesos chilenos. Como la UTM se reajusta mensualmente, este monto varía un poco cada mes — pero el orden de magnitud es ese.
Hay un agravante importante: en caso de reincidencia, la multa aplicable es la mayor entre triplicar la multa original o un porcentaje de las ventas anuales de la empresa en Chile (2% para reincidencia grave, 4% para gravísima). Para una empresa mediana o grande, ese segundo criterio puede superar largamente el tope en UTM.
¿Qué es la Agencia de Protección de Datos (APDP)?
La Agencia de Protección de Datos Personales es el organismo autónomo que la Ley 21.719 crea para fiscalizar su cumplimiento. Sus principales facultades incluyen investigar de oficio (sin necesidad de que alguien reclame primero), imponer multas, ordenar la suspensión de tratamientos de datos, recibir y resolver reclamos de titulares que ejercen sus derechos ARCOP, y publicar un Registro Nacional de Sanciones de acceso público.
Que la Agencia pueda actuar de oficio es un cambio relevante frente al régimen anterior: no depende de que un cliente reclame para que una empresa sea fiscalizada.
¿Qué es un DPO o encargado de datos?
Un DPO (Data Protection Officer, o encargado de protección de datos) es la persona o cargo responsable de supervisar el cumplimiento de la ley dentro de una organización: mantener el registro de actividades de tratamiento, asesorar sobre evaluaciones de impacto, ser el punto de contacto con la Agencia y con los titulares de datos.
La ley exige designar un DPO en ciertos casos —principalmente cuando el tratamiento de datos es a gran escala o involucra datos sensibles de forma habitual—, pero incluso cuando no es obligatorio, tener a alguien responsable de esta función ordena el cumplimiento de toda la empresa.
¿Cómo saber si tu empresa cumple?
Esta guía te da el marco general. La pregunta que realmente importa es específica a tu empresa: ¿qué tan expuesto estás hoy, en qué áreas concretas, y con qué urgencia deberías actuar?
Descúbrelo en 5 minutos, sin costo
PrivacyCheck evalúa 7 áreas clave de tu ecosistema digital —sitio web, formularios, publicidad, CRM, email marketing, proveedores y datos internos— y te entrega un score de riesgo, una exposición estimada en CLP y un plan de acción priorizado.
🔍 Iniciar diagnóstico sin costo