Seguridad

Ley de Protección de Datos en Chile (21.719): qué debe saber tu pyme

Chile modernizó su marco legal de privacidad y las multas por incumplimiento pueden ser significativas. Aquí el resumen práctico para que tu empresa sepa dónde está parada.

LU

Equipo Lumus Consultora

Lectura de 8 minutos

La dueña de una clínica veterinaria con tres sucursales en la Región Metropolitana maneja datos de cientos de clientes: nombres, correos, teléfonos, historial de mascotas, formas de pago. Cuando le preguntamos si conocía la nueva Ley de Protección de Datos Personales, respondió que había escuchado algo pero que eso era “para las empresas grandes.” Es el malentendido más común, y el más costoso.

La Ley 21.719, promulgada en Chile en 2024 como actualización profunda de la Ley 19.628, aplica a cualquier organización que trate datos personales de personas naturales. Sin excepción de tamaño. Y sus multas pueden alcanzar las 5.000 UTM para infracciones gravísimas, un monto muy relevante para cualquier empresa.

Qué es la Ley 21.719 y cuándo entra en vigor

La Ley 21.719 es la reforma más importante de la normativa de privacidad chilena en 25 años. Reemplaza el régimen anterior con un marco más cercano al Reglamento General de Protección de Datos europeo (GDPR), incorporando principios de responsabilidad proactiva, consentimiento explícito y derechos ampliados para los titulares de datos.

La ley fue publicada en el Diario Oficial en diciembre de 2024. Su entrada en vigor plena contempla un período de adecuación de 24 meses para que las organizaciones implementen los cambios requeridos, lo que sitúa el plazo límite de cumplimiento en diciembre de 2026. Sin embargo, algunas disposiciones comenzaron a regir antes, y la Agencia de Protección de Datos Personales —el nuevo organismo fiscalizador— ya está operativa.

A quiénes aplica

La ley aplica a cualquier responsable o mandatario del tratamiento de datos personales. En términos prácticos, afecta a tu empresa si haces cualquiera de las siguientes cosas:

  • Tienes una base de datos de clientes: nombres, correos electrónicos, teléfonos, RUT, historial de compras. Si guardas esta información en cualquier sistema (Excel incluido), eres responsable del tratamiento.
  • Manejas datos de empleados: liquidaciones, datos bancarios, licencias médicas, evaluaciones de desempeño. Todos son datos personales sujetos a la ley.
  • Operas un sitio web con formularios o cookies: si tu sitio recopila correos o usa cookies de seguimiento (como Google Analytics), estás tratando datos personales y debes informarlo correctamente.
  • Usas proveedores que procesan datos por tu cuenta: si una empresa externa administra tu CRM, tu plataforma de email marketing o tu sistema de nómina, eres responsable de que ese proveedor también cumpla la ley.

Las obligaciones concretas que trae la ley

La ley establece un conjunto de obligaciones que las organizaciones deben cumplir. Las más relevantes para una pyme son:

  • Registro de actividades de tratamiento: debes documentar qué datos recopilas, con qué finalidad, quién tiene acceso a ellos, por cuánto tiempo los guardas y cómo los proteges. No es necesario publicarlo, pero sí tenerlo disponible ante una fiscalización.
  • Consentimiento válido: el consentimiento debe ser libre, específico, informado e inequívoco. Las casillas pre-marcadas, el consentimiento genérico en términos y condiciones o el simple uso de un servicio ya no son suficientes para tratar datos con fines distintos al servicio contratado.
  • Derechos ARCO ampliados: los titulares tienen derecho a Acceder a sus datos, Rectificarlos, Cancelarlos (suprimirlos) y Oponerse al tratamiento. La ley añade el derecho a la portabilidad de datos y el derecho a no ser objeto de decisiones automatizadas. Tu empresa debe tener un mecanismo formal para responder estas solicitudes en los plazos definidos.
  • Notificación de brechas de seguridad: si sufres un incidente que compromete datos personales, debes notificarlo a la Agencia y a los afectados en un plazo de 72 horas desde que tomas conocimiento del evento.
  • Política de privacidad clara: tu sitio web y tus contratos deben incluir una política que explique en lenguaje simple qué datos recopilas, por qué, cómo los proteges y cuáles son los derechos del titular.

Las multas por incumplimiento

La ley establece un sistema de infracciones graduado en tres niveles:

  • Infracciones leves: multa de hasta 100 UTM. Aplica a incumplimientos formales menores, como no tener una política de privacidad actualizada.
  • Infracciones graves: multa de hasta 1.000 UTM. Incluye casos como no atender solicitudes de derechos ARCO o no notificar una brecha de seguridad.
  • Infracciones gravísimas: multa de hasta 5.000 UTM. Para casos como el tratamiento ilícito de datos sensibles o la transferencia internacional de datos sin garantías adecuadas.

Además de las multas económicas, la ley permite a los afectados demandar civilmente por los daños causados, y el incumplimiento sistemático puede derivar en la suspensión temporal de las actividades de tratamiento.

Los primeros pasos para cumplir

El cumplimiento de la Ley 21.719 no requiere meses de proyecto ni un equipo legal dedicado si se aborda con orden. Estos son los pasos iniciales más efectivos para una pyme:

  • Haz un inventario de datos: levanta qué datos personales tienes, dónde están guardados, quién tiene acceso y para qué se usan. Este ejercicio suele tomar entre 4 y 8 horas con el equipo correcto y es la base de todo lo demás.
  • Revisa tus formularios y contratos: verifica que el consentimiento que pides sea específico, claro y corresponda a los datos que efectivamente recopilas. Elimina los campos innecesarios.
  • Crea o actualiza tu política de privacidad: debe estar en lenguaje simple, no en lenguaje legal. Explica qué recopilas, por qué, por cuánto tiempo y cómo el titular puede ejercer sus derechos.
  • Define un proceso para solicitudes de derechos ARCO: debe haber alguien responsable de recibir y responder estas solicitudes, con un plazo claro y un registro de las respuestas dadas.
  • Revisa la seguridad de tus sistemas: contraseñas seguras, acceso por roles, respaldos periódicos y cifrado básico no son solo buenas prácticas: son parte del estándar de cuidado que la ley exige.

El plazo hasta diciembre de 2026 puede parecer holgado, pero las organizaciones que empiezan temprano tienen la ventaja de hacerlo con calma y sin errores de urgencia. Las que dejan todo para el último trimestre suelen tomar atajos que no resisten una fiscalización real.

¿Tu empresa está preparada para la Ley 21.719?

Te ayudamos a hacer el diagnóstico inicial y definir los pasos concretos para cumplir sin sobre-complicar tu operación.

Agendar Reunión Inicial Gratuita