Qué cambia el 1 de diciembre de 2026
La Ley 21.719, publicada en diciembre de 2024, reemplaza a la antigua Ley 19.628 y moderniza por completo el régimen de protección de datos personales en Chile, acercándolo al estándar del RGPD europeo. Tras el período de vacancia legal de dos años, la ley entra en plena vigencia el 1 de diciembre de 2026.
Desde esa fecha, la nueva Agencia de Protección de Datos Personales queda facultada para fiscalizar y sancionar. El cambio es estructural: Chile pasa de un régimen sin autoridad fiscalizadora ni multas relevantes a uno con sanciones que pueden comprometer la continuidad de una pyme.
Las obligaciones que ninguna empresa puede omitir
La ley aplica a prácticamente cualquier organización que trate datos personales de clientes, trabajadores o proveedores en Chile — es decir, a casi todas. Las obligaciones centrales son:
- Base de licitud para cada tratamiento: todo uso de datos personales debe ampararse en consentimiento u otra base legal, documentada y demostrable.
- Registro de actividades de tratamiento: inventario formal de qué datos se recogen, para qué, dónde se almacenan y con quién se comparten.
- Política de privacidad actualizada: transparente, accesible y consistente con los tratamientos reales.
- Derechos ARCO-P: procedimientos para responder solicitudes de acceso, rectificación, cancelación, oposición y portabilidad dentro de plazo legal.
- Medidas de seguridad y notificación de brechas: resguardos técnicos adecuados al riesgo y aviso oportuno a la Agencia ante vulneraciones de datos.
- Contratos con encargados de tratamiento: proveedores que procesan datos por cuenta de la empresa deben quedar regulados contractualmente.
El punto ciego más común: la seguridad de la información es parte del cumplimiento. Una empresa que pierde datos personales en un ataque de ransomware sin respaldos ni medidas de seguridad demostrables no solo enfrenta el incidente — enfrenta también una infracción sancionable ante la Agencia.
Por qué esperar a noviembre es mala idea
La experiencia europea con el RGPD mostró un patrón que se repetirá en Chile: las empresas que dejaron el cumplimiento para el final terminaron pagando consultorías de urgencia a precios inflados, con implementaciones superficiales que no resistieron la primera fiscalización.
Un proceso de adecuación serio — inventario de datos, políticas, procedimientos de derechos, seguridad y contratos — toma entre 2 y 4 meses en una pyme, y considerablemente más en organizaciones con múltiples sistemas. Iniciar en julio deja margen; iniciar en octubre, no.
Los 4 pasos para partir esta semana
- Inventariar: identifique todos los puntos donde su empresa recolecta o almacena datos personales (formularios web, CRM, correo, RR.HH., facturación).
- Priorizar brechas: compare su situación actual contra las obligaciones de la ley y ordene por riesgo.
- Asegurar los datos: respaldo verificable, control de accesos y protección de endpoints son la base técnica del cumplimiento. Revise nuestra guía sobre compliance y normativa y la Ley Marco de Ciberseguridad 21.663, que corre en paralelo.
- Documentar: la Agencia no evalúa intenciones, evalúa evidencia. Política de privacidad, registro de tratamientos y procedimientos escritos.
Seguiremos cubriendo la implementación de la Ley 21.719 en esta sección de noticias: reglamentos de la Agencia, criterios de fiscalización y casos relevantes a medida que se publiquen.
¿Su empresa está lista para diciembre?
La seguridad de los datos es la base del cumplimiento. Evalúe gratis su postura de respaldo y protección.