Hasta la Ley 21.719, Chile no tenía una autoridad dedicada a fiscalizar el uso de datos personales — el cumplimiento dependía casi enteramente de que un afectado reclamara por su cuenta. Eso cambia con la creación de la Agencia de Protección de Datos Personales (APDP), un organismo autónomo con facultades de investigación y sanción propias.
Qué es y cuándo empieza a operar
La APDP es un organismo público autónomo, creado por la Ley 21.719 específicamente para fiscalizar su cumplimiento. A diferencia de un ministerio o servicio dependiente del gobierno de turno, su autonomía busca darle continuidad e independencia técnica en sus decisiones.
La Agencia comienza a fiscalizar con plenas facultades el 1 de diciembre de 2026, fecha en que la ley entra en vigencia plena. Antes de esa fecha, la Agencia atraviesa un proceso de instalación institucional.
Cómo se compone
La APDP es dirigida por un Consejo Directivo de tres consejeros, designados por el Presidente de la República con acuerdo del Senado por dos tercios de sus miembros en ejercicio. Cada consejero dura 6 años en el cargo, con mandatos escalonados para asegurar continuidad institucional — el primer Consejo tendrá integrantes con mandatos de 6, 4 y 2 años respectivamente, de modo que nunca se renueve completo de una sola vez.
En mayo de 2026, el Ejecutivo envió al Senado la propuesta con los tres consejeros que integrarán ese primer Consejo Directivo, en el marco del proceso de instalación de la Agencia previo a su entrada en vigencia plena.
Qué facultades tiene
Las principales atribuciones de la Agencia incluyen:
- Investigar de oficio, sin necesidad de que un titular presente un reclamo primero.
- Imponer multas según los tres niveles de infracción que establece la ley (ver multas y sanciones).
- Ordenar la suspensión de tratamientos de datos que infrinjan la ley.
- Recibir y resolver reclamos de titulares que ejercen sus derechos ARCOP frente a una empresa.
- Publicar un Registro Nacional de Sanciones de acceso público, con las empresas sancionadas y el detalle de la infracción.
Por qué "de oficio" cambia las reglas
Bajo el régimen anterior, en la práctica una empresa solo enfrentaba consecuencias si un cliente afectado reclamaba activamente. Con la APDP, eso ya no es un supuesto seguro: la Agencia puede iniciar una investigación por iniciativa propia, a partir de una auditoría sectorial, una denuncia de un tercero, o simplemente porque detecta un patrón de riesgo en una industria.
En la práctica, esto significa que "nadie ha reclamado" deja de ser una señal confiable de que una empresa está en regla.
Qué hacer si la Agencia contacta a tu empresa
Si tu empresa recibe un requerimiento de información, una notificación de investigación o cualquier comunicación formal de la APDP, lo prudente es:
- No ignorar los plazos indicados en la comunicación — el silencio o la demora agravan la situación.
- Documentar internamente qué se solicita y designar a un responsable de coordinar la respuesta.
- Buscar asesoría legal especializada antes de responder formalmente, especialmente si la investigación involucra una posible infracción grave o gravísima.
- Revisar en paralelo el estado real de cumplimiento de la empresa, no solo el punto específico bajo investigación — una auditoría suele destapar más de un hallazgo.
Adelántate a la fiscalización
La mejor posición frente a la APDP no es reactiva, es preventiva: saber hoy dónde están tus brechas, antes de que una investigación las encuentre por ti.
Descúbrelo en 5 minutos, sin costo
PrivacyCheck evalúa 7 áreas clave de tu ecosistema digital y te entrega un score de riesgo, una exposición estimada en CLP y un plan de acción priorizado.
🔍 Iniciar diagnóstico sin costo