Estrategia 9 min de lectura

Ley de protección de datos personales en Chile: guía 2026

La Ley 21.719 de protección de datos personales rige en Chile desde diciembre de 2026. Qué debe hacer tu empresa para cumplir a tiempo y evitar multas.

S
Softdigital
·

El 1 de diciembre de 2026 entra en vigencia en Chile la Ley 21.719, la nueva ley de protección de datos personales que reemplaza el régimen de la Ley 19.628 y crea la Agencia de Protección de Datos Personales. Si tu empresa guarda nombres, RUT, correos, datos de salud o historial de compras —es decir, casi cualquier empresa—, te quedan menos de seis meses para ordenar la casa.

La parte buena: gran parte del cumplimiento no es papeleo legal, es trabajo de sistemas. Saber qué datos tienes, dónde están, quién los usa y poder borrarlos cuando alguien lo pida es un problema de software, no de abogados. Esta guía explica qué exige la ley, cuánto arriesgas si no cumples y un plan concreto para llegar a diciembre preparado.

No somos un estudio jurídico. Aquí cubrimos la capa técnica y operativa del cumplimiento —el inventario de datos, los sistemas para responder solicitudes, los registros auditables—; la redacción y validación legal de tu política la hace un abogado.

¿Quieres saber en 5 minutos dónde está parada tu empresa? Haz nuestro test gratuito de cumplimiento Ley 21.719 (12 preguntas) o revisa los paquetes de adecuación con precio fijo.

Qué es la Ley 21.719 de protección de datos personales

La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entra en vigencia el 1 de diciembre de 2026, tras un período de transición de 24 meses. Reforma por completo la antigua Ley 19.628 y, según la guía oficial de la Secretaría de Gobierno Digital, lleva a Chile a proteger los datos personales “conforme a los más altos estándares internacionales vigentes”. El marco de referencia es el RGPD europeo.

Tres cambios importan para tu operación:

  • Una agencia con dientes. Se crea la Agencia de Protección de Datos Personales, con facultades para fiscalizar, investigar de oficio, ordenar el cese de un tratamiento y aplicar multas.
  • Derechos reforzados del titular. Cualquier persona podrá pedirte acceso, rectificación, supresión, oposición y portabilidad de sus datos —los llamados derechos ARCO más portabilidad— y recurrir a la Agencia si no respondes a tiempo.
  • Aplica a todos. La ley define como “responsable” a toda persona natural o jurídica, pública o privada, que decide para qué se usan los datos. No hay excepción por rubro ni por tamaño.

Desde cuándo aplica y qué pasa con las pymes

La fecha es 1 de diciembre de 2026, sin distinción de tamaño. La ley aplica criterios de proporcionalidad según la realidad de cada empresa, pero la obligación de cumplir parte el día uno: una amonestación pública o una orden de suspender un tratamiento golpea la operación aunque la multa llegue después.

Traducido: tener seis meses no es lo mismo que tener tiempo de sobra. El paso más lento —el inventario de datos— toma semanas y es la base de todo lo demás. Por eso conviene partir ahora y no en noviembre.

Las multas: cuánto está realmente en juego

Las sanciones se clasifican en leves, graves y gravísimas y se expresan en UTM. Para las infracciones gravísimas, la multa puede llegar a 20.000 UTM —del orden de $1.400 millones al valor actual de la UTM, que el SII fija cada mes—. En caso de reincidencia, la ley permite sanciones de hasta el 4% de los ingresos anuales de la empresa por sus ventas y servicios en Chile. Puedes revisar el texto en la Biblioteca del Congreso Nacional.

Pero el monto no es lo único en juego. La Agencia puede ordenar suspender un tratamiento —por ejemplo, dejar de usar una base de datos clave— y publicar un registro de sanciones. Para muchas empresas, frenar un proceso de negocio o el daño reputacional pesa más que la multa.

Lo que la ley te obliga a tener (y por qué es un tema de software)

La fiscalización no se conforma con una política bonita en PDF: pide evidencia operativa. Esto es lo que necesitas montar, y por qué cada punto termina siendo un asunto de sistemas.

1. Un inventario real de tus datos

El primer paso, y el más subestimado, es saber qué datos personales tratas y dónde viven. La guía oficial propone una matriz que, por cada tipo de dato, registra si es sensible, en qué base o sistema está, con qué finalidad y base legal, quién accede, cuánto tiempo se conserva, a qué terceros se cede y si sale del país.

En una pyme típica esos datos están repartidos entre el ERP, la planilla de RR.HH., el CRM, WhatsApp, los formularios de la web y dos o tres servicios en la nube. Mapear eso a mano en Excel se desactualiza la semana siguiente. Un inventario vivo, conectado a tus fuentes, es la única forma de mantenerlo al día. Aquí es donde el software a medida marca la diferencia frente a una planilla estática.

2. Un catálogo público y una política al día

La ley (artículo 14 ter) te obliga a publicar y mantener disponible información sobre tus tratamientos: categorías de datos, finalidades, base legal, plazos de conservación, transferencias internacionales y los derechos del titular. Es contenido que cambia cuando cambian tus procesos, así que conviene generarlo desde una fuente única en vez de copiarlo a mano en el sitio cada vez.

3. Responder solicitudes ARCO sin colapsar

Cuando un cliente pida ver, corregir, portar o borrar sus datos, tienes un plazo legal para responder. El “derecho al olvido” es el más difícil: implica encontrar y eliminar a esa persona en todos tus sistemas, no solo en el CRM. Sin automatización, cada solicitud es una cacería manual; con un flujo conectado, es un proceso de minutos que además queda registrado. Esto es exactamente lo que resuelve la IA y automatización de procesos.

4. Consentimiento que puedas demostrar

Si tratas datos sobre la base del consentimiento, debes poder probar cuándo y para qué lo dio cada persona, y permitir retirarlo. Eso significa registrar y versionar consentimientos, no marcar una casilla y olvidarse.

5. Detección y aviso de brechas

Ante una filtración debes poder detectarla y notificarla a tiempo. Eso exige logs, monitoreo y alertas: si te enteras de la fuga tres meses después porque te avisa un cliente, ya incumpliste.

6. Controles técnicos y registros datados

Control de acceso por rol, cifrado de datos sensibles, anonimización donde se pueda y bitácoras con fecha de quién accedió a qué. La Agencia fiscaliza evidencia: registros que demuestren que las medidas existen y funcionan, no solo que están escritas.

7. IA y decisiones automatizadas

Si usas algoritmos o IA para decidir sobre personas —scoring crediticio, selección, perfiles—, debes informar la lógica y las consecuencias de esa decisión. Y si alimentas un asistente con datos de clientes, como un chatbot con tus propios datos, ese tratamiento también entra en el inventario.

Este cruce entre obligación legal y sistema queda más claro en una tabla:

Obligación de la leyHacerlo a manoCon un sistema
Inventario de datosExcel que se desactualizaInventario conectado a tus fuentes
Solicitudes ARCOCacería por cada plataformaFlujo que busca, exporta o borra y deja registro
ConsentimientoCasilla sin respaldoRegistro fechado y versionado
BrechasTe enteras tardeLogs y alertas en tiempo real
Catálogo públicoCopiar y pegar al sitioPublicación desde una fuente única

Para sectores que tratan datos sensibles a diario —salud, seguros o fintech con KYC y onboarding—, estos controles no son opcionales: son el corazón del negocio.

Plan de acción antes de diciembre de 2026

Un orden realista para llegar a tiempo, alineado con las etapas que propone la guía oficial:

  1. Designa un responsable. Una persona que coordine el cumplimiento. La ley permite, de forma voluntaria, nombrar un delegado de protección de datos.
  2. Levanta el inventario. Mapea cada dato personal: dónde está, para qué, quién accede, cuánto se conserva, a quién se cede. Es el paso más lento; pártelo ya.
  3. Detecta tus brechas de cumplimiento. Compara lo que tienes hoy contra lo que exige la ley —catálogo, política, seguridad, ARCO— y prioriza por riesgo.
  4. Ordena lo organizativo. Política de tratamiento y catálogo público, al día y publicados.
  5. Implementa lo técnico. Controles de acceso, cifrado, registro de consentimiento, flujo ARCO y logs de brechas. Aquí entra el desarrollo a medida o la automatización de lo que ya tienes.
  6. Documenta y deja rastro. Todo lo anterior debe quedar auditable: registros datados que la Agencia pueda revisar si lo pide.

Cómo lo abordamos en Softdigital

En Softdigital construimos la capa de sistemas del cumplimiento: el inventario de datos conectado a tus fuentes, los flujos para responder solicitudes ARCO, el registro de consentimientos y las bitácoras auditables que la ley pide. No reemplazamos a tu abogado; le damos la infraestructura para que la política se cumpla de verdad.

Lo hacemos con la misma lógica de todos nuestros proyectos: precio fijo sin sorpresas, el código queda tuyo y resultados visibles desde el primer sprint. En un proyecto de ERP a medida automatizamos 800 órdenes de trabajo al mes y redujimos en 60% los errores operativos —el mismo tipo de trazabilidad y control de acceso que ahora exige la nueva ley—. Y ya hemos automatizado cumplimiento antes: la facturación electrónica ante el SII sigue exactamente la misma lógica de procesos auditables.

Si no sabes por dónde partir, lo más rentable es un diagnóstico: mapear dónde están hoy tus datos y qué te falta para diciembre. Parte por el test gratuito de 12 preguntas —te muestra tus brechas al instante— y luego revisa nuestros paquetes de adecuación Ley 21.719 con precio fijo, desde $990.000 CLP para pymes.

Preguntas frecuentes

¿Desde cuándo rige la Ley 21.719? Desde el 1 de diciembre de 2026. Fue publicada en diciembre de 2024 con un período de transición de 24 meses.

¿Aplica a las pymes? Sí. La ley aplica a toda organización que trate datos personales, sin importar su tamaño; lo que varía es la proporcionalidad de las sanciones.

¿Cuál es la multa máxima? Para infracciones gravísimas, hasta 20.000 UTM, y en caso de reincidencia hasta el 4% de los ingresos anuales por ventas y servicios en Chile.

¿Qué son los derechos ARCO? Acceso, rectificación, cancelación (supresión) y oposición, más la portabilidad: lo que cualquier persona puede exigir respecto de sus datos.

¿Necesito un software especial? No uno “de marca”, pero sí sistemas que te permitan inventariar datos, responder solicitudes y dejar registro. Muchas pymes lo resuelven automatizando lo que ya tienen.

Llegar a diciembre cumpliendo, sin frenar tu operación

Diciembre de 2026 parece lejos, pero el inventario de datos —la base de todo— toma semanas. Mientras antes lo partas, más barato y ordenado sale, y menos riesgo corres de quedar improvisando sobre la fecha.

Conversemos en una llamada de 15 minutos: revisamos dónde están tus datos hoy y armamos el plan para llegar a la nueva ley cumpliendo, con precio fijo y sin frenar tu negocio.

Tags

#Ley 21.719 #protección de datos personales #cumplimiento #datos personales Chile #Agencia de Protección de Datos #ciberseguridad pymes #estrategia

¿Este artículo te fue útil?

Implementamos lo que enseñamos. Agenda una llamada de 15 minutos y analizamos cómo aplicar esto en tu empresa.

Quiero una consulta gratuita