¿Qué es la Ley 21.719 de Protección de Datos Personales?

La Ley 21.719 es la nueva ley chilena de protección de datos personales, promulgada en diciembre de 2024. Reemplaza la antigua Ley 19.628 (de 1999) y eleva los estándares al nivel del RGPD europeo. Crea la Agencia de Protección de Datos Personales como regulador, define derechos ARCO+P y establece sanciones de hasta 2% de la facturación de la empresa o UTM 20.000.

¿Cuándo entra en vigor la Ley 21.719?

La ley contempla un plazo de adecuación de 24 meses desde su publicación. Las obligaciones plenas para responsables del tratamiento entran en régimen entre 2026 y 2027 según el tema. Las empresas deben empezar ahora: implementar políticas, mapear datos, capacitar al personal y definir el rol del Delegado de Protección de Datos (DPO).

¿Qué son los derechos ARCO+P?

ARCO+P son los derechos del titular de datos personales: Acceso (saber qué datos tiene la empresa sobre él), Rectificación (corregir errores), Cancelación (eliminar datos), Oposición (oponerse a ciertos tratamientos) y Portabilidad (recibir los datos en formato estructurado para llevarlos a otro responsable). La empresa tiene plazos cortos para responder a cada solicitud.

¿Qué sanciones tiene la Ley 21.719?

Las multas se clasifican en leves, graves y gravísimas. Para infracciones gravísimas, la sanción puede llegar al 4% de los ingresos anuales o UTM 20.000 (~CLP 1.300 millones), tomando el mayor. Adicionalmente, la Agencia puede ordenar la suspensión del tratamiento. La reincidencia escala las sanciones.

Ley 21.719 de Protección de Datos Personales en Chile: cómo prepararte (2026)

La Ley 21.719 es el cambio regulatorio más importante en privacidad de datos en Chile en 25 años. Si tu empresa procesa datos de clientes, empleados o proveedores chilenos, tienes que adecuarte —y el plazo se acaba.

¿Qué cambia con la Ley 21.719?

La Ley 21.719, promulgada el 13 de diciembre de 2024, deroga la antigua Ley 19.628 (de 1999) y eleva los estándares de protección de datos personales en Chile al nivel del RGPD europeo. Los cambios principales:

Crea la Agencia de Protección de Datos Personales como autoridad regulatoria con potestad sancionadora.
Reconoce los derechos ARCO+P del titular (Acceso, Rectificación, Cancelación, Oposición y Portabilidad).
Obliga al consentimiento previo, libre, informado, específico e inequívoco.
Introduce el Delegado de Protección de Datos (DPO) obligatorio para ciertas empresas.
Exige evaluaciones de impacto (DPIA) para tratamientos de alto riesgo.
Notificación de brechas a la Agencia en 72 horas.
Sanciones de hasta el 4% de la facturación anual o UTM 20.000 (~CLP 1.300 millones).

Plazos de adecuación

La ley contempla un plazo general de adecuación de 24 meses desde su publicación. Eso significa que las obligaciones plenas comenzarán a fiscalizarse desde fines de 2026 hacia adelante. Las empresas deben usar este período para:

Mapear los datos personales que tratan (ROPA — Registro de Operaciones de Tratamiento).
Actualizar políticas de privacidad y consentimientos.
Designar un DPO si corresponde.
Implementar procesos para responder solicitudes ARCO+P en plazos legales.
Capacitar a todo el personal que trate datos.
Establecer protocolo de notificación de brechas.

Los derechos ARCO+P explicados

Acceso

El titular puede solicitar a la empresa qué datos suyos tiene, con qué finalidad y a quién se han comunicado. La empresa debe responder en plazos cortos (15-30 días) sin costo.

Rectificación

Corregir datos inexactos o incompletos. Si los datos se compartieron con terceros, hay que comunicar la rectificación a esos terceros también.

Cancelación

Eliminación de los datos cuando ya no son necesarios o cuando el titular retira su consentimiento. Hay excepciones legales (obligaciones contables, defensa de reclamaciones).

Oposición

El titular puede oponerse al tratamiento por motivos relacionados con su situación particular. La empresa debe evaluar y, salvo motivos legítimos imperiosos, cesar el tratamiento.

Portabilidad

Recibir los datos en formato estructurado (JSON, CSV) para transferirlos a otro responsable. Pensado para evitar el "lock-in" del proveedor.

Checklist práctico de cumplimiento

Una empresa típica debe trabajar en estos 10 frentes:

Inventario de datos (ROPA): qué datos, dónde están, con qué finalidad, base legal, plazo de retención.
Política de privacidad pública actualizada y accesible en el sitio web.
Mecanismos de consentimiento claros, granulares y revocables.
Procedimiento ARCO+P documentado, con plazos y responsables internos.
Designación del DPO si la empresa cumple los criterios de obligatoriedad.
Cláusulas en contratos con encargados del tratamiento (proveedores).
Plan de respuesta a brechas: detección, evaluación, notificación a la Agencia y a los afectados.
DPIA (evaluación de impacto) para tratamientos de alto riesgo (perfilamiento masivo, datos sensibles).
Capacitación a todo el personal que trate datos personales (este es el punto donde Certisec aporta directamente).
Auditoría interna anual para verificar el cumplimiento.

Atención al riesgo humano: el 60% de las filtraciones de datos personales ocurren por error humano (envío erróneo, phishing exitoso, contraseñas débiles). La capacitación obligatoria del personal no es un trámite — es la primera línea de defensa.

El rol de la capacitación en la Ley 21.719

La ley exige que el responsable del tratamiento adopte medidas técnicas y organizativas apropiadas. "Organizativas" incluye capacitación. Una brecha causada por un colaborador que cayó en phishing se considera negligencia agravada si la empresa no puede demostrar que lo capacitó en privacidad y seguridad.

Certisec incluye un curso específico de Protección de Datos alineado con la Ley 21.719 y mantiene el registro de capacitación auditable. Combinado con simulaciones de phishing, da evidencia objetiva de que la empresa tomó medidas razonables.