BLOG

Ley de Protección de Datos (21.719) e IA: El Doble Desafío que Enfrentan las Empresas en Chile

Retrato de Carolina Lobos con fondo de ciudad y montañas
Carolina Lobos C.
April 7, 2026
Ley 21.719 protección datos personales Chile 2026 - IA shadow AI y cumplimiento regulatorio

Faltan 8 meses. El 1 de diciembre de 2026, la Ley 21.719 entra en vigencia y reemplaza por completo a la Ley 19.628, que lleva 25 años sin una actualización real. Si tu empresa recopila, almacena o procesa datos personales de clientes, empleados, proveedores o usuarios, esto te afecta directamente.

Los números que necesitas tener en la cabeza:

  • Sanciones de hasta 20.000 UTM (~$1.397 millones CLP) por infracciones gravísimas, con posibilidad de triplicarse en caso de reincidencia
  • Agencia de Protección de Datos Personales operativa desde octubre 2026 con facultad fiscalizadora y sancionadora
  • 1 de cada 5 organizaciones ya sufrió una brecha vinculada a shadow AI, con un costo adicional promedio de USD $670.000 por incidente
  • El 63% de las empresas que sufrieron brechas no tenía política de gobernanza de IA

Pero esta ley no llega sola. Llega en un momento en que la inteligencia artificial está multiplicando los riesgos de protección de datos a una velocidad que la mayoría de las empresas no está preparada para enfrentar. Herramientas de IA no autorizadas procesando información confidencial, modelos de lenguaje memorizando datos sensibles, decisiones automatizadas que afectan a personas sin que exista supervisión humana.

Este artículo es tu guía práctica para entender qué cambia, qué obligaciones nuevas tienes, cómo la IA amplifica los riesgos y qué pasos concretos dar antes de diciembre.

¿Qué cambia con la Ley 21.719 respecto a la ley actual?

La diferencia entre la Ley 19.628 (vigente desde 1999) y la Ley 21.719 no es un ajuste menor. Es una transformación completa del marco de protección de datos en Chile.

Dimensión Ley 19.628 (actual) Ley 21.719 (dic 2026)
Bases de licitud Consentimiento como base casi única 6 bases legales: Consentimiento, contrato, obligación legal, interés vital, interés público, interés legítimo
Derechos del titular ARCO básicos (acceso, rectificación, cancelación, oposición) ARCOP ampliados: Acceso, rectificación, cancelación, oposición, portabilidad + derecho a impugnar decisiones automatizadas
Autoridad fiscalizadora No existe (solo tribunales civiles) Agencia de Protección de Datos Personales (operativa octubre 2026)
Delegado de protección de datos (DPO) No contemplado Obligatorio para tratamientos de alto riesgo, organismos públicos y grandes volúmenes de datos
Evaluación de impacto (DPIA) No contemplada Obligatoria para tratamientos que impliquen riesgo alto para los derechos de los titulares
Registro de operaciones (ROPA) No contemplado Obligatorio: Debe documentar finalidades, categorías de datos, destinatarios, plazos, medidas de seguridad
Notificación de brechas No obligatoria Obligatoria: Notificar a la Agencia y a los titulares afectados
Transferencia internacional Sin restricciones reales Requiere país adecuado, cláusulas contractuales o garantías equivalentes
Sanciones Multas mínimas (1-50 UTM) Leves: Hasta 5.000 UTM (~$349M CLP). Graves: Hasta 10.000 UTM (~$698M CLP). Gravísimas: Hasta 20.000 UTM (~$1.397M CLP). Reincidencia: Hasta el triple
Principio de responsabilidad Declarativo Accountability activo: Demostrar cumplimiento con evidencia concreta

Nota: Valor UTM marzo 2026 = $69.889 CLP. Fuente: SII

En términos simples: Chile pasó de tener una de las leyes de datos más débiles de la OCDE a un marco comparable con el GDPR europeo. La Ley 19.628 era declarativa. La 21.719 tiene dientes.

¿Cuáles son las nuevas obligaciones concretas para tu empresa?

Si tu organización trata datos personales, y prácticamente todas lo hacen, estas son las obligaciones que debes cumplir antes del 1 de diciembre de 2026:

1. Designar un Delegado de Protección de Datos (DPO)

La ley establece la figura del delegado de protección de datos para organizaciones que realizan tratamientos de alto riesgo, manejan grandes volúmenes de datos personales o son organismos públicos. Este profesional debe tener autonomía, conocimiento especializado y recursos adecuados.

Mi recomendación es directa: Aunque tu empresa no esté obligada formalmente, designar un DPO (interno o externalizado) es la mejor inversión en gobernanza de datos que puedes hacer. Es quien articula el cumplimiento, responde ante la Agencia y coordina internamente.

2. Implementar un Registro de Operaciones de Tratamiento (ROPA)

Debes documentar cada operación de tratamiento de datos: Qué datos recopilas, con qué finalidad, a quién los transfieres, por cuánto tiempo los retienes y qué medidas de seguridad aplicas. No es un ejercicio teórico. Es la evidencia que la Agencia te va a pedir cuando fiscalice.

3. Realizar Evaluaciones de Impacto (DPIA)

Para tratamientos que impliquen un riesgo alto para los derechos de los titulares, la ley exige una evaluación de impacto previa. Esto incluye:

  • Tratamiento masivo de datos
  • Profiling o perfilamiento sistemático
  • Monitoreo sistemático de zonas públicas
  • Decisiones automatizadas con efectos significativos sobre las personas

La DPIA debe describir las operaciones de tratamiento, evaluar su necesidad y proporcionalidad, identificar riesgos y detallar las medidas para mitigarlos.

4. Establecer un protocolo de notificación de brechas

Cuando ocurra una brecha de seguridad que afecte datos personales, la ley obliga a notificar a la Agencia de Protección de Datos Personales y a los titulares afectados. No existe un "veremos si fue grave". Si hubo compromiso de datos personales, hay que reportar.

5. Revisar todas las bases de licitud

La ley introduce seis bases legales para el tratamiento de datos. Si hoy dependes solo del consentimiento (o peor, ni siquiera lo tienes formalizado), necesitas revisar cada operación de tratamiento y asignarle la base legal correcta. El consentimiento debe ser libre, informado, específico e inequívoco. El interés legítimo requiere una ponderación documentada.

6. Actualizar políticas de privacidad y consentimiento

Las políticas genéricas de "acepto los términos" no van a ser suficientes. La ley exige transparencia real: Informar al titular de forma clara y accesible sobre qué datos se recopilan, para qué, por cuánto tiempo y cuáles son sus derechos.

¿Cómo amplifica la IA los riesgos de protección de datos?

Aquí es donde la situación se complica. La Ley 21.719 no llega en un vacío tecnológico. Llega en plena explosión de adopción de inteligencia artificial, y la intersección entre ambos mundos crea riesgos que la mayoría de las empresas no está midiendo.

Shadow AI: El riesgo invisible

El shadow AI, es decir, el uso de herramientas de IA no autorizadas por parte de empleados sin conocimiento del área de TI, es hoy uno de los mayores riesgos de protección de datos.

Los datos son contundentes:

  • 1 de cada 5 organizaciones ya sufrió una brecha vinculada a shadow AI (IBM Cost of a Data Breach 2025)
  • Las brechas por shadow AI cuestan en promedio USD $4,63 millones, USD $670.000 más que las brechas estándar
  • El 65% de los incidentes de shadow AI involucran datos personales de clientes (PII), muy por encima del promedio global del 53%
  • El 63% de las organizaciones que sufrieron brechas carecían de políticas de gobernanza de IA
  • Solo el 37% de las empresas tiene políticas para gestionar o detectar shadow AI

Lo que esto significa en la práctica: Mientras tu empresa se prepara para cumplir con la Ley 21.719, es probable que empleados estén usando ChatGPT, Gemini, Copilot u otras herramientas de IA para resolver tareas cotidianas, alimentándolas con datos de clientes, información financiera, reportes internos o documentos legales. Cada prompt que incluye datos personales es potencialmente una infracción a la ley.

LLMs y la memorización de datos sensibles

Investigadores de Northeastern University demostraron que los modelos de lenguaje grandes (LLMs) presentan al menos cinco formas de comprometer la privacidad personal, y la memorización de datos de entrenamiento es solo una de ellas. Los LLMs pueden usar información aparentemente inofensiva para inferir datos privados de las personas. Además, los ecosistemas de IA actuales recopilan y retienen más datos de los que los usuarios imaginan, con controles de opt-out frecuentemente inefectivos.

El problema crítico: No existe una forma confiable de saber qué información ha memorizado un modelo, ni de eliminarla una vez incorporada. Si los datos personales de tus clientes fueron parte del entrenamiento de un LLM, no hay vuelta atrás.

Agentes de IA sin supervisión

Según el reporte State of AI Agent Security 2026 de Gravitee, más de 3 millones de agentes de IA operan dentro de corporaciones, pero solo el 47% está activamente monitoreado. El 87% de los CIOs reconoce que los agentes de IA están integrados en sistemas críticos, pero solo el 25% tiene visibilidad completa sobre todos los agentes en producción.

Cada agente de IA que accede a bases de datos con información personal sin las salvaguardas adecuadas es un vector de riesgo para el cumplimiento de la Ley 21.719.

¿Qué derechos tienen tus clientes frente a decisiones automatizadas con IA?

Este es uno de los cambios más relevantes de la Ley 21.719 y el que más impacto tendrá en las empresas que usan inteligencia artificial.

Derecho a impugnar decisiones automatizadas

La ley incorpora expresamente el derecho de los titulares de datos a no ser sometidos a decisiones basadas únicamente en el tratamiento automatizado de sus datos, incluido el perfilamiento, cuando esas decisiones produzcan efectos jurídicos o les afecten significativamente.

En la práctica, esto aplica a:

  • Scoring crediticio automatizado que apruebe o rechace créditos sin revisión humana
  • Algoritmos de selección de personal que filtren candidatos basándose en perfiles automatizados
  • Sistemas de pricing dinámico que ajusten precios basándose en perfilamiento del usuario
  • Decisiones de cobertura de seguros basadas en modelos predictivos
  • Chatbots con IA que tomen decisiones vinculantes sin intervención humana

Cuando una decisión automatizada produce efectos significativos, la empresa debe garantizar:

  • Transparencia: Informar al titular que la decisión fue tomada por un sistema automatizado
  • Explicabilidad: Explicar la lógica involucrada en la decisión
  • Intervención humana: Ofrecer la posibilidad de solicitar revisión por una persona
  • Derecho a impugnar: El titular puede objetar la decisión y obtener una nueva evaluación

Esto no es opcional. Es un derecho que la Agencia de Protección de Datos va a fiscalizar activamente. Las empresas que despliegan modelos de IA para tomar decisiones sobre personas necesitan documentar la lógica, implementar mecanismos de revisión y garantizar que existe un camino claro para la impugnación.

¿Cómo se compara Chile con Perú y Colombia en protección de datos e IA?

Chile no avanza en solitario. Perú y Colombia también están actualizando sus marcos regulatorios, aunque con ritmos y enfoques diferentes.

Dimensión Chile Perú Colombia
Ley de datos vigente Ley 19.628 (1999), reemplazada por Ley 21.719 en dic 2026 Ley 29.733 (2011), nuevo reglamento DS 016-2024-JUS vigente desde marzo 2025 Ley 1581 (2012), proyecto de reforma radicado agosto 2025
Autoridad Agencia de Protección de Datos (operativa octubre 2026) Autoridad Nacional de Protección de Datos Personales (ANPDP) Superintendencia de Industria y Comercio (SIC)
DPO obligatorio Sí, para tratamientos de alto riesgo Vigente dic 2026 Sí, según nuevo reglamento Vigente No obligatorio (recomendado) Pendiente
DPIA Obligatoria para tratamientos de alto riesgo Vigente dic 2026 Incluida en nuevo reglamento Vigente No obligatoria (buena práctica) Pendiente
Notificación de brechas Obligatoria a Agencia y titulares Vigente dic 2026 Incluida en nuevo reglamento Vigente No obligatoria explícitamente Pendiente
Sanciones máximas 20.000 UTM (~$1.397M CLP) Hasta 100 UIT (~$500.000 USD) Hasta 2.000 SMLMV (~$850M COP)
Regulación de IA Proyecto aprobado por Cámara (octubre 2025), en trámite en Senado En trámite DS 115-2025-PCM sobre desarrollo y uso de IA Vigente PL 043-2025 en tramitación, CONPES 4144 vigente En trámite
Decisiones automatizadas Derecho a impugnar (Ley 21.719) Vigente dic 2026 Mencionado en nuevo reglamento Parcial Sin regulación específica Pendiente
Transferencia internacional Regulada con requisitos de adecuación Regulada con requisitos de adecuación Regulada, lista de países con nivel adecuado

Lo que esto revela: Chile tendrá, a partir de diciembre, el marco más robusto de la región en protección de datos personales. Pero Perú dio un paso importante con su nuevo reglamento en 2025, y Colombia está actualizando activamente su ley de 2012. Las tres regulaciones de IA están en distintas etapas de tramitación.

Para empresas que operan en múltiples países de la región, el mensaje es claro: El cumplimiento no se puede pensar por silos. Una estrategia regional de gobernanza de datos es imprescindible.

Checklist de preparación por trimestre (Q1-Q4 2026)

Q1 (enero - marzo 2026): Diagnóstico y gap analysis

  • Gap analysis completo: Evaluar estado actual de cumplimiento vs requisitos de la Ley 21.719
  • Inventario de datos personales: Mapear todos los flujos de datos personales en la organización
  • Inventario de herramientas de IA: Identificar todas las herramientas de IA en uso (autorizadas y no autorizadas)
  • Evaluación de bases de licitud: Revisar cada operación de tratamiento y asignar base legal correcta
  • Presupuesto de cumplimiento aprobado: Asegurar recursos para el programa de adecuación

Q2 (abril - junio 2026): Implementación

  • Designar DPO (interno o externalizado): Registrar ante la futura Agencia cuando corresponda
  • Implementar ROPA: Documentar todas las operaciones de tratamiento
  • Ejecutar DPIAs para tratamientos de alto riesgo, especialmente los que involucren IA
  • Actualizar políticas de privacidad: Consentimiento granular, transparencia, derechos ARCOP
  • Protocolo de notificación de brechas: Definir flujo, responsables y tiempos
  • Política de gobernanza de IA: Controlar shadow AI, definir herramientas autorizadas, establecer reglas de uso

Q3 (julio - septiembre 2026): Pruebas y ajustes

  • Simulacro de brecha de datos: Probar el protocolo de notificación completo
  • Revisión de contratos con proveedores: Incluir cláusulas de protección de datos en todos los contratos con encargados de tratamiento
  • Capacitación a equipos: Formación sobre derechos ARCOP, shadow AI, manejo de datos sensibles
  • Auditoría de decisiones automatizadas: Verificar que todos los sistemas de IA con impacto en personas cumplen con los requisitos de transparencia e impugnación
  • Evaluar transferencias internacionales: Verificar que los países de destino cumplen requisitos de adecuación

Q4 (octubre - diciembre 2026): Activación y fiscalización

  • Agencia de Protección de Datos operativa (octubre 2026): Monitorear primeras resoluciones y criterios
  • Revisión final de cumplimiento: Auditoría interna pre-vigencia
  • Documentación de accountability: Compilar toda la evidencia de cumplimiento (ROPA, DPIAs, políticas, capacitaciones, actas)
  • Plan de mejora continua: Definir ciclo de revisión periódica post-vigencia
  • 1 de diciembre 2026: Ley en vigor. Fiscalización activa

Resultado orientativo:

  • 0-5 items completados: Riesgo crítico. Necesitas actuar ahora. El plazo no da margen para improvisar.
  • 6-12 items completados: Riesgo moderado. Tienes bases, pero los gaps que quedan son exactamente los que la Agencia va a fiscalizar.
  • 13-20 items completados: Preparación avanzada. Tu organización está en camino de cumplir antes de diciembre.

¿Cómo puede ayudarte Netprovider?

La Ley 21.719 no es solo un desafío legal. Es un desafío operativo, tecnológico y organizacional. Y cuando le sumas el factor IA, la complejidad se multiplica.

En Netprovider, trabajamos con empresas de sectores críticos que enfrentan exactamente este escenario: Cumplir con regulaciones exigentes mientras gestionan riesgos tecnológicos que evolucionan cada semana.

GRC: Gobernanza, Riesgo y Cumplimiento

Nuestro equipo de GRC te acompaña desde el gap analysis inicial hasta la implementación completa del programa de cumplimiento. Esto incluye:

  • Diagnóstico de brechas frente a la Ley 21.719
  • Implementación de ROPA y DPIAs
  • Diseño de políticas de privacidad y consentimiento
  • Preparación para la fiscalización de la Agencia

DPO as a Service

Si tu organización necesita un delegado de protección de datos pero no tiene el perfil interno o el presupuesto para una contratación permanente, nuestro servicio de DPO as a Service te entrega un profesional especializado que:

  • Actúa como tu delegado ante la Agencia de Protección de Datos
  • Coordina el programa de cumplimiento internamente
  • Supervisa la gobernanza de IA y el control de shadow AI
  • Gestiona incidentes de datos personales y notificaciones de brechas

Evaluaciones de seguridad

Los datos personales solo están protegidos si la infraestructura que los almacena y procesa es segura. Nuestras evaluaciones de seguridad incluyen:

  • Ethical hacking para identificar vulnerabilidades antes de que las encuentren los atacantes
  • Análisis de vulnerabilidades en sistemas que procesan datos personales
  • Evaluación de riesgo en sistemas de IA y modelos automatizados

La cuenta regresiva corre. Diciembre 2026 no se va a mover. Y la Agencia de Protección de Datos, operativa desde octubre, va a estar lista para fiscalizar desde el día uno. La pregunta no es si debes prepararte, sino si vas a empezar ahora o cuando ya sea tarde.

Fuentes

  • Ley 21.719, Biblioteca del Congreso Nacional: bcn.cl
  • Guía Práctica Implementación Ley Datos Personales, Gobierno Digital Chile: wikiguias.digital.gob.cl
  • IBM Cost of a Data Breach Report 2025: ibm.com
  • Shadow AI - The Emerging Security Threat, IBM 2025: nudgesecurity.com
  • WeLiveSecurity - Shadow AI: Uso no autorizado de IA pone en riesgo su empresa: welivesecurity.com
  • Five Ways LLMs Expose Your Personal Data, Northeastern University (2025): news.northeastern.edu
  • Shadow AI Agents: The New Enterprise Security Threat, Noma Security / Gravitee: noma.security
  • SII, Valores UTM 2026: sii.cl
  • Proyecto de Ley IA Chile, Cámara de Diputados: camara.cl
  • Nuevo Reglamento de Protección de Datos Personales en Perú, IAPP: iapp.org
  • Colombia Proyecto de Ley Datos Personales, MinCiencias: minciencias.gov.co
  • Netprovider - Ley 21.719 Guía Práctica: netprovider.com
  • Netprovider - IA y Ciberseguridad 2026: netprovider.com
Comparte este post
Ciberseguridad
Seguridad Digital
Protección de Datos
Amenazas Cibernéticas
Retrato de Carolina Lobos con fondo de ciudad y montañas
Carolina Lobos C.
Gerente Comercial

Contáctanos para asegurar tu continuidad operacional

No esperes más, protege tu negocio y asegura su continuidad operativa con nuestros servicios especializados.

Contáctanos
Animación de ondas azulesAnimación de ondas azules