¿Cuándo entra en vigencia la Ley 21.719 en Chile?

La Ley 21.719 entra en vigencia el 1 de diciembre de 2026, conforme a su disposición transitoria primera. Fue publicada en el Diario Oficial el 13 de diciembre de 2024.

¿Cuáles son las multas de la Ley 21.719 en Chile?

Las multas son: infracciones leves hasta 5.000 UTM, graves hasta 10.000 UTM, gravísimas hasta 20.000 UTM. Para grandes empresas reincidentes, puede alcanzar el 2% o 4% de ingresos anuales.

¿Qué es la Agencia de Protección de Datos Personales de Chile?

La APDP es el organismo autónomo creado por la Ley 21.719 para fiscalizar el tratamiento de datos personales en Chile, con potestad sancionadora real.

¿Qué obliga el Artículo 14 quáter de la Ley 21.719?

El Art. 14 quáter establece el deber de protección desde el diseño y por defecto. El responsable debe aplicar medidas técnicas antes del inicio del tratamiento, no como corrección posterior.

¿Cuándo es obligatoria la evaluación de impacto según la Ley 21.719?

Según el Art. 15 ter, es obligatoria cuando el tratamiento pueda producir alto riesgo: perfilamiento automatizado, tratamiento masivo, monitoreo de zonas públicas, o datos sensibles sin consentimiento.

Ley 21.719: lo que tu organización debe resolver antes del 1 de diciembre de 2026

Infografía Ley 21.719 — Protección de Datos Personales Chile: derechos ARCO-P, creación de la APDP, multas y obligaciones del responsable

La Ley 21.719 no es una recomendación de buenas prácticas. Es la ley de la República, publicada el 13 de diciembre de 2024, con fecha de vigencia confirmada para el 1 de diciembre de 2026. Lo que muchas organizaciones llaman "el proyecto de privacidad" debería llamarse "la fecha límite que ya está corriendo".

20.000

UTM de multa máxima por infracción gravísima — Art. 35

De ingresos anuales para grandes empresas reincidentes en falta grave

Días corridos para responder solicitudes de titulares — Art. 11

De qué trata realmente esta ley

La Ley 21.719 reemplaza el marco de la Ley 19.628, que llevaba décadas sin dientes. Crea la Agencia de Protección de Datos Personales (Art. 30), un organismo autónomo con potestad sancionadora real, y establece un régimen de infracciones en tres niveles: leves, graves y gravísimas. Las multas son en UTM y, para empresas grandes que reinciden, pueden alcanzar el 4% de los ingresos anuales por ventas.

Para organizaciones que operan con datos a escala —banca, seguros, retail, minería o logística— el cambio es estructural: el responsable deja de ser pasivo y asume deberes activos. No se trata de cumplir con una política en el footer. La ley exige protección desde el diseño (Art. 14 quáter), medidas de seguridad verificables (Art. 14 quinquies) y la notificación de brechas a la Agencia sin dilaciones indebidas (Art. 14 sexies).

"El responsable deberá ser capaz de acreditar la licitud del tratamiento de datos personales que realiza."

Art. 3°, letra a), Ley 21.719

Esa frase es la que más incomoda a los equipos de TI y legal cuando la leen con atención. No dice "deberá tener documentada" ni "procurará demostrar". Dice acreditar. La carga de la prueba es del responsable. Si la Agencia pregunta, tú tienes que responder con evidencia.

Las 5 obligaciones que más organizaciones están ignorando

Evaluación de impacto (Art. 15 ter) Obligatoria cuando el tratamiento pueda producir alto riesgo para los derechos de los titulares. Incluye perfilamiento automatizado, tratamiento masivo y datos sensibles sin consentimiento. No es opcional ni postergable.

Protección desde el diseño y por defecto (Art. 14 quáter) El responsable debe aplicar medidas técnicas antes del inicio del tratamiento, no como corrección posterior. Esto afecta directamente al ciclo de desarrollo de software y al aprovisionamiento de infraestructura cloud.

Información pública permanente (Art. 14 ter) El sitio web debe publicar de forma permanente: categorías de datos tratados, finalidades, base de licitud, política de seguridad, período de conservación y cómo ejercer los derechos ARSO. Si no está publicado hoy, ya existe incumplimiento potencial.

Contratos con terceros mandatarios (Art. 15 bis) Todo proveedor que trate datos por cuenta del responsable necesita un contrato que especifique objeto, duración, finalidad, tipo de datos y obligaciones. Los contratos de servicios cloud genéricos no cumplen este estándar por sí solos.

Protocolo de respuesta a titulares (Art. 11) El responsable debe acusar recibo y pronunciarse en 30 días corridos, prorrogables por 30 más. Necesita un canal habilitado, un proceso interno documentado y trazabilidad completa de las respuestas.

El artículo que nadie quiere leer

// Art. 34 quáter, letra f) — infracción gravísima

"Omitir en forma deliberada la comunicación de las vulneraciones a las medidas de seguridad que puedan afectar la confidencialidad, disponibilidad o integridad de los datos personales."

Multa de hasta 20.000 UTM. Y la palabra clave es deliberada: si no tienes un proceso de detección de brechas, no puedes demostrar que la omisión no fue intencional. El silencio organizacional se presume como decisión.

El Art. 14 sexies exige reportar a la Agencia "por los medios más expeditos posibles y sin dilaciones indebidas" cuando una vulneración genera riesgo razonable para los titulares. Sin un sistema de monitoreo y un protocolo de escalamiento documentado, no hay forma de cumplir ese estándar en tiempo real.

El atenuante que pocas organizaciones están usando

La ley contempla un Modelo de Prevención de Infracciones (Art. 49) certificable por la Agencia. Adoptarlo no elimina la responsabilidad, pero es circunstancia atenuante explícita (Art. 36, numeral 5). Incluye la designación de un delegado de protección de datos, protocolos de tratamiento, mecanismos de reporte y sanciones internas.

Las organizaciones que tengan este modelo certificado vigente entran al Registro Nacional de Sanciones y Cumplimiento con marca positiva. En una eventual investigación, presentar un modelo certificado activo es la diferencia entre una multa atenuada y una sanción en su escala máxima.

Los certificados tienen vigencia de tres años (Art. 52). Para organizaciones medianas y grandes, el proceso de certificación toma entre 3 y 6 meses de trabajo efectivo. Con 239 días al 1 de diciembre, el tiempo para una certificación completa ya está ajustado.

Las organizaciones que empiezan hoy tienen margen. Las que esperan a que la Agencia esté operativa no tendrán ese lujo.