Ley 21.719: quedan menos de 5 meses
para la entrada en vigencia

El 1 de diciembre de 2026 comienza a regir la nueva Ley de Protección de Datos Personales en Chile. La Agencia de Protección de Datos podrá aplicar multas de hasta 20.000 UTM, y gran parte de las empresas aún no ha iniciado su proceso de cumplimiento.

Qué cambia el 1 de diciembre de 2026

La Ley 21.719, publicada en diciembre de 2024, reemplaza a la antigua Ley 19.628 y moderniza por completo el régimen de protección de datos personales en Chile, acercándolo al estándar del RGPD europeo. Tras el período de vacancia legal de dos años, la ley entra en plena vigencia el 1 de diciembre de 2026.

Desde esa fecha, la nueva Agencia de Protección de Datos Personales queda facultada para fiscalizar y sancionar. El cambio es estructural: Chile pasa de un régimen sin autoridad fiscalizadora ni multas relevantes a uno con sanciones que pueden comprometer la continuidad de una pyme.

1 dic
de 2026: fecha de entrada en vigencia de la Ley 21.719
20.000 UTM
multa máxima por infracciones gravísimas (más de $1.300 millones CLP)
4%
de los ingresos anuales como tope alternativo para grandes empresas reincidentes

Las obligaciones que ninguna empresa puede omitir

La ley aplica a prácticamente cualquier organización que trate datos personales de clientes, trabajadores o proveedores en Chile — es decir, a casi todas. Las obligaciones centrales son:

El punto ciego más común: la seguridad de la información es parte del cumplimiento. Una empresa que pierde datos personales en un ataque de ransomware sin respaldos ni medidas de seguridad demostrables no solo enfrenta el incidente — enfrenta también una infracción sancionable ante la Agencia.

Por qué esperar a noviembre es mala idea

La experiencia europea con el RGPD mostró un patrón que se repetirá en Chile: las empresas que dejaron el cumplimiento para el final terminaron pagando consultorías de urgencia a precios inflados, con implementaciones superficiales que no resistieron la primera fiscalización.

Un proceso de adecuación serio — inventario de datos, políticas, procedimientos de derechos, seguridad y contratos — toma entre 2 y 4 meses en una pyme, y considerablemente más en organizaciones con múltiples sistemas. Iniciar en julio deja margen; iniciar en octubre, no.

Los 4 pasos para partir esta semana

  1. Inventariar: identifique todos los puntos donde su empresa recolecta o almacena datos personales (formularios web, CRM, correo, RR.HH., facturación).
  2. Priorizar brechas: compare su situación actual contra las obligaciones de la ley y ordene por riesgo.
  3. Asegurar los datos: respaldo verificable, control de accesos y protección de endpoints son la base técnica del cumplimiento. Revise nuestra guía sobre compliance y normativa y la Ley Marco de Ciberseguridad 21.663, que corre en paralelo.
  4. Documentar: la Agencia no evalúa intenciones, evalúa evidencia. Política de privacidad, registro de tratamientos y procedimientos escritos.

Seguiremos cubriendo la implementación de la Ley 21.719 en esta sección de noticias: reglamentos de la Agencia, criterios de fiscalización y casos relevantes a medida que se publiquen.

¿Su empresa está lista para diciembre?

La seguridad de los datos es la base del cumplimiento. Evalúe gratis su postura de respaldo y protección.