Cumplimiento

Multas de la Ley 21.719: cuánto arriesga tu empresa

Multas de la Ley 21.719: cuánto arriesga tu empresa

Las multas Ley 21.719 son, para muchas empresas chilenas, la principal razón para tomarse en serio la protección de datos personales. La nueva ley fue publicada el 13 de diciembre de 2024, modifica la Ley 19.628 y entra en vigencia el 1 de diciembre de 2026. Desde esa fecha, la Agencia de Protección de Datos Personales (APDP) podrá fiscalizar, investigar y sancionar con montos que llegan hasta las 20.000 UTM, es decir, del orden de los 1.400 millones de pesos.

En este artículo revisamos cómo se clasifican las infracciones, cuánto puede costar cada tramo, qué atenuantes existen y qué medidas concretas reducen el riesgo de una sanción. Si aún no conoces el marco general, te recomendamos leer primero qué es la Ley 21.719.

Un nuevo régimen sancionatorio para los datos personales

Hasta ahora, incumplir la Ley 19.628 tenía consecuencias limitadas y difíciles de fiscalizar. La Ley 21.719 cambia el escenario por completo: crea una autoridad especializada, la APDP, con facultades para investigar de oficio o por reclamo, ordenar medidas y aplicar multas proporcionales a la gravedad de la conducta.

La lógica es similar a la del modelo europeo. No se sanciona solo el daño causado, sino también el incumplimiento de los principios y deberes de la ley: licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia y confidencialidad.

Cómo se clasifican las infracciones

La ley agrupa las infracciones en tres categorías, según su gravedad. Esta clasificación determina el rango de la multa aplicable.

Infracciones leves

Corresponden a incumplimientos formales o de menor impacto. Por ejemplo, no entregar la información de transparencia exigida, no responder a tiempo las solicitudes de los titulares o mantener canales de contacto desactualizados.

Infracciones graves

Aquí entran las conductas que afectan de forma directa los derechos de las personas: tratar datos sin una base de licitud adecuada, comunicarlos a terceros sin autorización, obstaculizar el ejercicio de los derechos ARCO y de portabilidad o incumplir las obligaciones de seguridad.

Infracciones gravísimas

Son las más serias. Incluyen el uso fraudulento o malicioso de datos, el tratamiento ilícito de datos sensibles o de niños, niñas y adolescentes, y la omisión deliberada de notificar una brecha de seguridad.

Cuánto puede costar: tramos y montos

Cada categoría tiene un tope de multa. Los montos que verás a continuación son referenciales: la Agencia fija la sanción concreta dentro del rango, considerando las circunstancias del caso.

Categoría Ejemplos de conducta Multa (referencial)
Leve Fallas de transparencia, no responder solicitudes, datos de contacto desactualizados Amonestación o multa de hasta 5.000 UTM
Grave Tratamiento sin base legal, comunicación no autorizada, obstaculizar derechos ARCO, fallas de seguridad Multa de hasta 10.000 UTM
Gravísima Uso fraudulento, tratamiento ilícito de datos sensibles o de menores, ocultar una brecha Multa de hasta 20.000 UTM

Para dimensionar, 20.000 UTM equivalen aproximadamente a 1.400 millones de pesos. El monto exacto varía con el valor de la UTM al momento de aplicar la sanción, por lo que las cifras deben leerse como órdenes de magnitud y no como valores fijos.

Reincidencia: hasta el 4% de los ingresos anuales

Los topes en UTM no son el único techo. Análisis especializados de la ley señalan que, en caso de reincidencia en infracciones graves o gravísimas, las empresas que no califican como de menor tamaño pueden ser sancionadas con hasta un 2% o un 4% de sus ingresos anuales por ventas y servicios, respectivamente, cuando ese porcentaje supere el monto fijo en UTM.

Para una empresa con ingresos relevantes, ese 4% puede ser mucho mayor que las 20.000 UTM. Es el mecanismo que evita que las grandes compañías traten las multas como un simple costo operacional.

Amonestación para las pymes

La ley reconoce la realidad de las empresas de menor tamaño. En línea con la Ley 20.416, una pyme puede recibir una amonestación escrita en su primera infracción, en lugar de una multa, siempre que no se trate de conductas de especial gravedad.

Es un alivio importante, pero no una exención: la reincidencia o las infracciones gravísimas siguen exponiendo a la empresa a sanciones económicas.

Cómo se determina la sanción

La Agencia no aplica el monto máximo de forma automática. Para graduar la multa dentro del rango considera factores como:

  • La gravedad y duración de la infracción.
  • El número de titulares afectados y el tipo de datos involucrados.
  • El beneficio económico obtenido con la infracción.
  • La intencionalidad o negligencia de la conducta.
  • Las medidas adoptadas para mitigar el daño.
  • La existencia de un programa de cumplimiento previo.

Por eso, dos empresas con la misma infracción pueden recibir sanciones muy distintas según cómo hayan gestionado el riesgo.

Atenuantes: el modelo de prevención de infracciones

El factor más relevante bajo el control de la empresa es contar con un modelo de prevención de infracciones o programa de cumplimiento. Documentar políticas, registros de actividades de tratamiento, evaluaciones de impacto, capacitación y controles técnicos puede operar como atenuante al momento de determinar la sanción.

Un programa serio no solo reduce la probabilidad de una infracción: demuestra ante la Agencia una conducta diligente. En muchos casos, la diferencia entre una amonestación y una multa gravísima está en la evidencia de que la empresa hizo lo razonable para cumplir. Revisa nuestro checklist para prepararte para la Ley 21.719 para ordenar ese trabajo.

Suspensión del tratamiento de datos

Además de las multas, la Agencia puede ordenar la suspensión temporal de las operaciones de tratamiento, hasta por 30 días. Para negocios que dependen de sus bases de datos —marketing, cobranza, plataformas digitales— detener el tratamiento durante un mes puede ser tan grave como la propia multa, o más.

Es una sanción accesoria pensada para frenar de inmediato prácticas que ponen en riesgo a los titulares mientras se resuelve el procedimiento.

El Registro Nacional de Cumplimiento y Sanciones

La APDP lleva un Registro Nacional de Cumplimiento y Sanciones de carácter público. Las sanciones aplicadas se inscriben y permanecen visibles durante cinco años.

El impacto no es solo económico. Aparecer en un registro público de sanciones afecta la reputación frente a clientes, socios comerciales y licitaciones, y puede convertirse en un obstáculo en procesos de due diligence o de contratación. En la práctica, el costo reputacional suele pesar tanto como la multa.

Cómo reducir el riesgo de multas

No existe forma de garantizar cero sanciones, pero sí de reducir su probabilidad y su magnitud. Las prioridades más rentables suelen ser:

  1. Levantar un registro de las actividades de tratamiento y su base de licitud.
  2. Implementar medidas de seguridad razonables y un plan de respuesta a incidentes.
  3. Documentar un programa de cumplimiento que sirva como atenuante.
  4. Definir un procedimiento claro para atender derechos ARCO y portabilidad.
  5. Preparar la notificación de brechas en 72 horas antes de que ocurra un incidente.

Preguntas frecuentes

¿Desde cuándo se pueden aplicar las multas de la Ley 21.719?

El régimen sancionatorio rige desde la entrada en vigencia de la ley, el 1 de diciembre de 2026. El tiempo previo es la ventana para adecuarse; conviene aprovecharlo, porque adaptar procesos y sistemas toma meses.

¿Una pyme puede recibir una multa gravísima en su primera infracción?

La posibilidad de amonestación escrita en la primera infracción está pensada para incumplimientos que no sean de especial gravedad. Frente a conductas gravísimas, como el uso fraudulento de datos, una pyme igualmente puede quedar expuesta a sanciones económicas.

¿Tener un modelo de prevención elimina las multas?

No las elimina, pero puede operar como atenuante en la determinación de la sanción y demuestra diligencia ante la Agencia. Es una de las inversiones con mejor relación costo-beneficio para gestionar el riesgo.

¿Quieres saber cuánto arriesga realmente tu empresa y cómo reducir esa exposición? En basedatos.cl combinamos asesoría legal e ingeniería para dejar tus bases de datos en regla antes de diciembre de 2026. Conversemos en /contacto.

Este contenido es informativo y no constituye asesoría legal para un caso particular.

Escríbenos