Saltar al contenido
Cumplimiento normativo

Ley 21.719 en Chile: qué es, cómo afecta a tu empresa y cuáles son las multas por no cumplir

La nueva ley de protección de datos personales cambia la forma en que las empresas chilenas deben capturar, usar, guardar y proteger la información de clientes, trabajadores y usuarios.

16 min de lectura
Equipo UPG
Guía de la Ley 21.719 de protección de datos personales para empresas en Chile — UPG

¿Tu empresa captura datos de clientes, leads o trabajadores?

UPG puede revisar tu sitio, formularios, bases de datos y procesos para preparar tu cumplimiento antes del 1 de diciembre de 2026.

Ver servicio Ley 21.719

La Ley 21.719 es uno de los cambios regulatorios más importantes para las empresas en Chile. Si tu negocio guarda nombres, RUT, correos, teléfonos, direcciones, datos de compra, información de trabajadores, historial de atención por WhatsApp, registros de clientes o datos de navegación, esta ley no es un tema lejano: afecta directamente tu operación diaria.

El problema para muchas empresas es que la protección de datos suele verse como “un texto legal en el footer”. Con la Ley 21.719 eso deja de ser suficiente. La empresa tendrá que demostrar que sabe qué datos trata, por qué los trata, con qué base legal, por cuánto tiempo, quién accede a ellos, qué proveedores participan y qué medidas de seguridad aplicó para protegerlos.

Si necesitas convertir esta obligación en un plan ejecutable, el servicio UPG de cumplimiento de la Ley 21.719 revisa tu sitio, formularios, sistemas y procesos para definir brechas, prioridades y acciones técnicas concretas.

Esta guía resume lo esencial para empresas, pymes, e-commerce, software houses, agencias, clínicas, colegios, inmobiliarias, servicios profesionales y negocios que reciben datos personales en Chile. No reemplaza asesoría jurídica, pero sí te ayuda a entender el tamaño del cambio y por dónde empezar.

Qué es la Ley 21.719 de protección de datos personales

La Ley 21.719 regula la protección y el tratamiento de datos personales en Chile y crea la Agencia de Protección de Datos Personales. En términos simples, actualiza el marco de la antigua Ley 19.628 para responder a una realidad donde casi toda empresa usa formularios web, CRM, ERP, plataformas cloud, herramientas de marketing, WhatsApp Business, analítica digital y proveedores externos.

La ley busca que el tratamiento de datos sea lícito, transparente, seguro y proporcional. Eso significa que no basta con “tener los datos”; la empresa debe poder explicar para qué los usa, por qué está autorizada a usarlos, cómo informa al titular y cómo los protege.

Qué cambia en la práctica

  • Más derechos para las personas: acceso, rectificación, supresión, oposición, portabilidad, bloqueo y protección frente a decisiones automatizadas en los casos que correspondan.
  • Más obligaciones para las empresas: información clara, bases de licitud, seguridad, trazabilidad, contratos con proveedores y procedimientos internos.
  • Una autoridad fiscalizadora: la Agencia podrá fiscalizar, recibir reclamos, dictar instrucciones y aplicar sanciones.
  • Multas relevantes: las sanciones llegan hasta 20.000 UTM por infracciones gravísimas, con reglas agravadas para reincidencia.

Cuándo entra en vigencia la Ley 21.719

La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024. Su entrada en vigencia general está diferida al 1 de diciembre de 2026, lo que dejó un período de preparación de 24 meses.

Eso no significa que convenga esperar hasta noviembre de 2026. Las empresas que empiezan tarde suelen descubrir que el trabajo no es solo redactar una política de privacidad. Hay que mapear datos, revisar sistemas, actualizar formularios, ajustar contratos, definir responsables internos, crear procedimientos de respuesta y corregir prácticas de seguridad.

Fecha clave

1 dic 2026

Desde esa fecha, las empresas deben estar preparadas para responder solicitudes de titulares, acreditar bases de licitud, gestionar incidentes y enfrentar fiscalización de la Agencia.

A qué empresas y negocios afecta la Ley 21.719

La Ley 21.719 no está pensada solo para bancos, grandes retailers o empresas tecnológicas. Su alcance es mucho más amplio: puede aplicar a cualquier organización que trate datos personales bajo los supuestos territoriales de la ley.

En términos prácticos, deberías revisar tu cumplimiento si tu negocio hace cualquiera de estas actividades:

  • Recibe formularios de contacto, cotización, diagnóstico, reserva o postulación.
  • Gestiona una base de clientes, leads, proveedores o trabajadores.
  • Vende por e-commerce o procesa pagos, despachos y devoluciones.
  • Usa CRM, ERP, herramientas de email marketing o automatización comercial.
  • Atiende por WhatsApp, chat web, chatbot o agentes de inteligencia artificial.
  • Guarda datos de salud, biométricos, financieros, geolocalización o información de menores de edad.
  • Comparte información con contadores, agencias, software externos, call centers, cloud providers o plataformas SaaS.

Ejemplos por industria

Tipo de negocio Datos típicos Riesgo si no se prepara
E-commerce Nombre, RUT, dirección, teléfono, compras, pagos, despacho Uso de datos sin información clara, retención excesiva o proveedores sin control
Clínicas y salud Datos sensibles, fichas, exámenes, agenda médica Tratamiento de datos sensibles sin controles reforzados
Educación Datos de estudiantes, apoderados, menores de edad, evaluaciones Falta de resguardos especiales para niños, niñas y adolescentes
Servicios profesionales Clientes, contratos, antecedentes laborales, tributarios o financieros Accesos internos sin trazabilidad y documentos compartidos sin política
Marketing y ventas Leads, campañas, perfiles, listas, interacciones por email o WhatsApp Consentimientos débiles, bases compradas o dificultad para atender oposición

Qué datos personales quedan protegidos

Un error común es pensar que “dato personal” significa solo RUT o información bancaria. En realidad, cualquier información vinculada o vinculable a una persona natural identificada o identificable puede ser dato personal.

Algunos ejemplos frecuentes en empresas chilenas:

  • Identificación: nombre, RUT, correo, teléfono, dirección, firma.
  • Comercial: historial de compras, cotizaciones, reclamos, tickets de soporte, preferencias.
  • Laboral: contratos, liquidaciones, licencias, evaluaciones, asistencia, currículums.
  • Digital: IP, identificadores de cookies, logs, ubicación, comportamiento en una plataforma.
  • Sensible: salud, biometría, creencias, vida sexual, afiliación sindical u otros datos especialmente protegidos.
  • Menores de edad: información de niños, niñas y adolescentes, que exige una evaluación más cuidadosa.

La pregunta correcta no es “¿tengo datos críticos?”, sino “¿qué datos personales trato, para qué finalidad y con qué controles?”. Esa diferencia cambia la forma de diseñar formularios, bases de datos, permisos de usuario, integraciones y flujos de atención.

Obligaciones principales para empresas

La Ley 21.719 exige pasar de un cumplimiento documental a una gestión real de datos. Estas son las obligaciones que más impactan a empresas y pymes.

1. Tener una base de licitud para cada tratamiento

Cada uso de datos necesita una justificación válida. En algunos casos será el consentimiento; en otros, la ejecución de un contrato, una obligación legal, el interés legítimo u otra base admitida por la ley. Lo importante es documentarlo por finalidad, no de forma genérica.

2. Informar de forma clara

Las personas deben saber quién trata sus datos, para qué, por cuánto tiempo, con quién se comparten y cómo pueden ejercer sus derechos. Esto impacta políticas de privacidad, formularios web, términos de servicio, avisos de cookies y flujos de atención.

3. Gestionar derechos de titulares

Tu empresa debe estar preparada para recibir, validar y responder solicitudes de acceso, rectificación, supresión, oposición, portabilidad y bloqueo. Esto requiere un procedimiento interno, responsables claros y evidencia de respuesta.

4. Aplicar seguridad proporcional al riesgo

No todos los datos requieren el mismo nivel de control, pero toda empresa necesita medidas técnicas y organizativas razonables: control de accesos, contraseñas seguras, respaldos, cifrado cuando corresponda, registros de actividad, segregación de permisos, gestión de proveedores y plan de incidentes.

5. Notificar brechas de seguridad

Si ocurre una vulneración que afecta datos personales, la organización debe actuar rápido. La ley incorpora obligaciones de notificación a la Agencia y, en ciertos casos, comunicación a los titulares afectados. Operativamente conviene tener un protocolo que permita investigar, contener, registrar y notificar dentro de los plazos aplicables.

6. Controlar proveedores y encargados

Muchas empresas entregan datos a terceros: hosting, CRM, ERP, email marketing, contabilidad, soporte técnico, agencias, call centers o plataformas de IA. La responsabilidad no desaparece por externalizar. Debes saber qué datos reciben, para qué los usan, qué medidas de seguridad aplican y qué contrato regula ese tratamiento.

7. Incorporar privacidad por diseño y por defecto

La privacidad ya no debería agregarse al final de un proyecto. Si desarrollas un software, implementas un ERP, automatizas WhatsApp o lanzas un formulario nuevo, el tratamiento de datos debe diseñarse desde el inicio: minimización, permisos, trazabilidad, retención y eliminación.

¿No sabes por dónde partir?

UPG puede levantar tus flujos de datos, revisar formularios y sistemas, priorizar brechas y ejecutar los cambios técnicos para cumplir la Ley 21.719.

Conocer el servicio

Multas y sanciones por incumplimiento de la Ley 21.719

Las multas se expresan en UTM y dependen de la gravedad de la infracción. A modo referencial, usando el valor oficial de la UTM de mayo de 2026 publicado por el SII ($70.588), los máximos equivalen aproximadamente a:

Leves

5.000 UTM

Hasta $352.940.000 CLP

Graves

10.000 UTM

Hasta $705.880.000 CLP

Gravísimas

20.000 UTM

Hasta $1.411.760.000 CLP

Cálculo referencial con UTM de mayo de 2026: $70.588. La UTM cambia mensualmente.

Además, en caso de reincidencia la Agencia puede aplicar reglas más severas. Para empresas que no califican como empresas de menor tamaño, las infracciones graves o gravísimas reincidentes pueden llegar al 2% o 4% de los ingresos anuales por ventas y servicios, según corresponda, cuando ese cálculo resulte más gravoso.

Más allá de la multa, el costo real puede incluir pérdida de confianza, reclamos de clientes, interrupción operacional, revisión de proveedores, costos de respuesta a incidentes y daño reputacional.

Cómo preparar tu negocio para cumplir la Ley 21.719

La adaptación debe ser práctica. La meta no es llenar carpetas con documentos que nadie usa, sino dejar a la empresa con procesos, sistemas y evidencias que funcionen.

1. Mapea tus datos personales

Lista qué datos capturas, dónde entran, dónde se guardan, quién accede, con qué finalidad se usan, qué proveedores participan y cuándo se eliminan. Incluye formularios web, CRM, ERP, planillas, correos, WhatsApp y respaldos.

2. Define finalidades y bases de licitud

No uses una finalidad genérica como “gestión comercial” para todo. Separa cotización, venta, despacho, soporte, marketing, cobranza, obligaciones laborales y cumplimiento legal. Cada finalidad debe tener su base y su plazo de retención.

3. Actualiza tu política de privacidad y formularios

Tu política debe ser entendible y consistente con lo que realmente haces. Los formularios deben pedir solo lo necesario, informar la finalidad y registrar la autorización cuando corresponda.

4. Implementa un flujo para derechos de titulares

Define un canal de contacto, responsable interno, forma de verificar identidad, plantillas de respuesta, plazos y registro de solicitudes. Si un cliente pide eliminación u oposición, tu equipo debe saber qué hacer sin improvisar.

5. Revisa accesos y seguridad

Haz una revisión básica: usuarios activos, permisos excesivos, cuentas compartidas, respaldos, MFA, cifrado, logs, ambientes de prueba con datos reales y accesos de proveedores. Muchas brechas nacen de controles simples mal gestionados.

6. Regulariza proveedores

Identifica proveedores que tratan datos personales por cuenta de tu empresa y revisa contratos, anexos de tratamiento, medidas de seguridad, subencargados, ubicación de datos y mecanismos de eliminación o devolución.

7. Prepara un protocolo de incidentes

Define cómo reportar internamente una filtración, quién decide si se notifica, qué evidencia se recopila, cómo se contiene el incidente y cómo se comunica a la Agencia o titulares si corresponde.

8. Evalúa un modelo de prevención y DPO

Para empresas con alto volumen de datos, operaciones digitales intensivas, datos sensibles o exposición reputacional, conviene evaluar un modelo de prevención de infracciones. La figura del Delegado de Protección de Datos puede ayudar a ordenar gobernanza, supervisión, capacitación y relación con la Agencia.

Errores comunes que aumentan el riesgo

En diagnósticos de cumplimiento suelen repetirse los mismos problemas. Resolverlos temprano reduce riesgo y costo de adecuación.

  • Copiar una política de privacidad genérica que no describe los tratamientos reales del negocio.
  • Pedir datos innecesarios en formularios “por si acaso”.
  • Usar bases de marketing sin trazabilidad de consentimiento u origen lícito.
  • Compartir planillas por correo o WhatsApp con datos de clientes o trabajadores sin control de acceso.
  • No tener inventario de proveedores que acceden a datos personales.
  • Guardar datos indefinidamente sin finalidad vigente ni criterio de eliminación.
  • Probar software con datos reales sin anonimización ni control.
  • No tener responsable interno para solicitudes de titulares o incidentes.

Preguntas frecuentes sobre la Ley 21.719

¿Qué es la Ley 21.719 en Chile?

La Ley 21.719 moderniza la Ley 19.628 sobre protección de datos personales. Regula cómo se recolectan, usan, almacenan, comunican y eliminan los datos personales, crea la Agencia de Protección de Datos Personales y establece obligaciones y sanciones para responsables y encargados de tratamiento.

¿Cuándo entra en vigencia la Ley 21.719?

La ley fue publicada el 13 de diciembre de 2024 y su entrada en vigencia general está diferida al 1 de diciembre de 2026. Desde esa fecha, las obligaciones, fiscalización y sanciones serán exigibles conforme al régimen de la nueva ley.

¿A qué empresas afecta la Ley 21.719?

Afecta a cualquier persona natural o jurídica, pública o privada, que trate datos personales bajo los supuestos de aplicación territorial de la ley. En la práctica, si una empresa tiene clientes, trabajadores, proveedores, formularios web, e-commerce, CRM, campañas de marketing, WhatsApp Business o bases de datos de personas en Chile, debe revisar su cumplimiento.

¿Cuáles son las multas de la Ley 21.719?

Las infracciones leves pueden sancionarse hasta con 5.000 UTM, las graves hasta con 10.000 UTM y las gravísimas hasta con 20.000 UTM. En caso de reincidencia, la multa puede elevarse hasta tres veces y, para empresas que no sean de menor tamaño, puede llegar al 2% o 4% de los ingresos anuales por ventas y servicios en los casos que correspondan.

¿Qué debe hacer una pyme para prepararse?

Una pyme debería partir por mapear qué datos personales trata, para qué los usa, qué base de licitud tiene, dónde se almacenan, quién accede a ellos, qué proveedores participan, cómo responde solicitudes de derechos y qué medidas de seguridad existen. Desde ahí se priorizan políticas, consentimientos, contratos, controles técnicos y procedimientos.

¿La Ley 21.719 exige tener un Delegado de Protección de Datos?

No todas las empresas privadas deben designar uno de forma general. La figura del Delegado de Protección de Datos toma relevancia dentro del modelo de prevención de infracciones y como mecanismo de gobernanza. Para empresas con alto volumen de datos, datos sensibles o riesgo regulatorio, evaluar un DPO interno o externalizado suele ser recomendable.

Cómo puede ayudarte UPG

En UPG combinamos ingeniería de software, automatización y cumplimiento operativo para que la Ley 21.719 no se quede solo en documentos. Revisamos cómo tu empresa captura datos, cómo los guarda en sistemas, qué formularios usa, qué integraciones existen y qué controles técnicos faltan.

Nuestro servicio de adaptación y cumplimiento de la Ley 21.719 puede incluir diagnóstico, mapeo de datos, actualización de políticas, textos de consentimiento, revisión de formularios, procedimientos para derechos, controles de acceso, gestión de proveedores, protocolo de brechas y acompañamiento como DPO externalizado cuando tenga sentido para tu caso.

Fuentes consultadas

Prepara tu empresa antes del 1 de diciembre de 2026

Evaluamos tu sitio, sistemas, formularios, proveedores y flujos de datos para dejar un plan de cumplimiento claro y ejecutable.

Ver servicio de cumplimiento Hablar con UPG