Ley 21.719
Ley 21.719: qué es la nueva Ley de Protección de Datos en Chile

La Ley 21.719 es la nueva Ley de Protección de Datos Personales de Chile y cambia por completo las reglas con las que las empresas tratan la información de las personas. Fue publicada el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026. En esta guía te explicamos qué es, a quién aplica, qué cambia y cómo empezar a cumplir.
Qué es la Ley 21.719 y por qué te importa
La Ley 21.719 no crea una ley desde cero: modifica y moderniza la Ley 19.628, que regía la protección de datos en Chile desde 1999. El resultado es un marco mucho más cercano a estándares internacionales como el Reglamento General de Protección de Datos (RGPD) europeo.
El cambio de fondo es simple de enunciar y exigente de cumplir: los datos personales dejan de ser un activo que la empresa administra libremente y pasan a estar bajo un régimen de derechos, obligaciones y sanciones reales. Antes, incumplir tenía consecuencias limitadas. Ahora existe una autoridad con poder para fiscalizar y multar.
Si tu organización maneja datos de clientes, trabajadores, usuarios o proveedores —es decir, prácticamente cualquier empresa— la Ley 21.719 te aplica y necesitas un plan.
A quién aplica la Ley 21.719
La ley aplica al tratamiento de datos personales de personas naturales, con un alcance amplio:
- Responsables de datos: quien decide para qué y cómo se tratan los datos (por ejemplo, tu empresa frente a sus clientes).
- Encargados de datos: quien trata datos por cuenta del responsable (por ejemplo, un proveedor de software, un call center o un hosting).
- Sector privado y público, con reglas específicas para cada uno.
También tiene alcance extraterritorial: puede aplicar a empresas fuera de Chile que traten datos de personas que están en el país, en línea con la tendencia internacional. En la práctica, casi ninguna organización que opere en Chile queda fuera.
Qué cambia frente a la Ley 19.628
Este es el punto que más ordena la conversación interna. Lo esencial que introduce o refuerza la Ley 21.719:
| Tema | Ley 19.628 (1999) | Ley 21.719 |
|---|---|---|
| Autoridad fiscalizadora | No existía una agencia especializada | Crea la Agencia de Protección de Datos Personales (APDP) |
| Sanciones | Muy limitadas | Multas de hasta 20.000 UTM y suspensión del tratamiento |
| Principios | Difusos | Catálogo explícito (finalidad, seguridad, responsabilidad, etc.) |
| Derechos de las personas | Acotados | Derechos ARCO + portabilidad reforzados |
| Brechas de seguridad | Sin deber claro de notificar | Obligación de notificar a la Agencia y a los titulares |
| Rol de encargados | Poco definido | Contrato o mandato obligatorio con el responsable |
En otras palabras: pasa de una ley declarativa a una ley con accountability exigible y consecuencias.
Los principios de la Ley 21.719
La ley articula el cumplimiento en torno a principios que deben guiar todo tratamiento de datos:
- Licitud y lealtad: tratar datos con una base legal y de forma leal con las personas.
- Finalidad: recolectar datos para fines específicos y explícitos.
- Proporcionalidad: usar solo los datos necesarios para esa finalidad.
- Calidad: mantener los datos exactos y actualizados.
- Responsabilidad (accountability): poder demostrar el cumplimiento, no solo afirmarlo.
- Seguridad: proteger los datos con medidas técnicas y organizativas.
- Transparencia e información: informar de forma clara qué se hace con los datos.
- Confidencialidad: resguardar los datos frente a accesos no autorizados.
El principio de responsabilidad es clave: no basta con cumplir, hay que poder probarlo con políticas, registros y evidencia.
Bases de licitud
Todo tratamiento debe apoyarse en una base legal. Las principales son:
- Consentimiento del titular.
- Ejecución de un contrato.
- Cumplimiento de una obligación legal.
- Interés legítimo del responsable.
Para datos sensibles y datos de niños, niñas y adolescentes (NNA) la ley exige mayor protección y condiciones más estrictas.
Derechos de las personas: ARCO + portabilidad
Las personas ganan derechos concretos que tu empresa debe poder atender en plazos definidos. Se conocen como derechos ARCO, ahora ampliados con la portabilidad:
- Acceso: saber qué datos tienes de ellas.
- Rectificación: corregir datos inexactos.
- Cancelación / supresión: eliminar datos cuando corresponde.
- Oposición: negarse a ciertos tratamientos.
- Portabilidad: llevar sus datos a otro proveedor.
Necesitarás un canal y un procedimiento para recibir y resolver estas solicitudes. Lo profundizamos en nuestra guía sobre derechos ARCO y portabilidad.
La Agencia de Protección de Datos Personales (APDP)
La gran novedad institucional es la Agencia de Protección de Datos Personales (APDP), un organismo con atribuciones amplias. Entre sus facultades:
- Dictar la normativa e instrucciones de detalle.
- Fiscalizar e investigar de oficio o por reclamo de un titular.
- Sancionar los incumplimientos.
- Ordenar la suspensión del tratamiento de datos (hasta 30 días).
- Llevar un Registro Nacional de Cumplimiento y Sanciones, donde las sanciones se publican por 5 años.
Esa publicación por cinco años añade un costo reputacional que, para muchas empresas, pesa tanto como la multa.
Sanciones: un resumen
Las infracciones se clasifican en tres niveles, cada uno con su tope de multa (la UTM es la unidad de referencia que fija la ley):
| Nivel | Ejemplos | Multa máxima |
|---|---|---|
| Leves | Fallas en el deber de información o de transparencia | Hasta 5.000 UTM |
| Graves | Tratar datos sin base de licitud, medidas de seguridad insuficientes | Hasta 10.000 UTM |
| Gravísimas | Tratamiento fraudulento, omisión maliciosa de una brecha | Hasta 20.000 UTM |
El tope de 20.000 UTM equivale a aproximadamente $1.400 millones. Además, análisis especializados señalan que en casos de reincidencia la multa puede llegar hasta el 4% de los ingresos anuales por ventas y servicios en Chile (o el triple de la multa, el mayor de ambos).
Dos matices importantes: las pymes (según la Ley 20.416) pueden recibir una amonestación en su primera infracción en vez de multa, y contar con un modelo de prevención de infracciones puede operar como atenuante. Revisa el detalle en nuestra guía de multas de la Ley 21.719.
Fechas clave
- 13 de diciembre de 2024: publicación de la Ley 21.719.
- Vacancia de 24 meses: periodo para adecuarse.
- 1 de diciembre de 2026: entrada en plena vigencia.
La vacancia no es tiempo libre: es el plazo para llegar preparado. Un proyecto de cumplimiento serio toma meses, especialmente si hay que ordenar sistemas, contratos y procesos.
Primeros pasos para cumplir
Si recién comienzas, prioriza esto:
- Levanta un inventario de qué datos tratas, dónde están y con quién los compartes.
- Asigna una base de licitud a cada tratamiento.
- Revisa tus políticas y avisos de privacidad para que informen con claridad.
- Refuerza la seguridad: cifrado, control de accesos, respaldos y, cuando sea posible, residencia de los datos en Chile.
- Define un plan de respuesta a brechas y evalúa designar un Delegado de Protección de Datos.
Tenemos el detalle paso a paso en la guía cómo prepararse para la Ley 21.719, y si dudas sobre el rol del DPO, revisa ¿necesito un DPO?.
Preguntas frecuentes
¿Cuándo entra en vigencia la Ley 21.719?
Entra en plena vigencia el 1 de diciembre de 2026, tras una vacancia de 24 meses desde su publicación en diciembre de 2024. Ese plazo es para que las organizaciones se adecúen.
¿A quién aplica la Ley 21.719?
A quien trate datos personales de personas naturales, sea como responsable o como encargado, en el sector privado y público. Su alcance puede incluso extenderse a empresas fuera de Chile que traten datos de personas que están en el país.
¿Cuál es la multa máxima de la Ley 21.719?
El tope general es de 20.000 UTM (del orden de $1.400 millones) para infracciones gravísimas. En reincidencia, análisis especializados mencionan hasta un 4% de los ingresos anuales. Las pymes pueden recibir una amonestación en su primera infracción.
¿Necesitas cumplir la Ley 21.719 sin improvisar? En basedatos.cl combinamos abogados e ingenieros para alojar y proteger tus bases de datos en Chile. Escríbenos y agenda una asesoría.
Este contenido es informativo y no constituye asesoría legal para un caso particular.


