Nueva Ley de Datos Personales (21.719): Por Qué No Debes Esperar Hasta 2026

La Ley 21.719 de Protección de Datos Personales entrará en vigencia en diciembre de 2026 y todas las empresas en Chile que manejen información de clientes, empleados o proveedores, deberán cumplir con nuevas exigencias legales.

Esto incluye:

• Nombrar un Delegado de Protección de Datos
• Implementar evaluaciones de impacto
• Establecer protocolos de seguridad
• Notificar incidentes de manera obligatoria

No hacerlo significará sanciones altas y una potencial pérdida de confianza de tus clientes. Mi recomendación es simple: no esperes hasta 2026. Debes tomar las medidas hoy, para evitar sufrir las consecuencias en el futuro  .

¿Qué es la Ley 21.719 y cuándo empieza a aplicarse?

La Ley 21.719 regula el tratamiento de datos personales en Chile y crea la Agencia de Protección de Datos Personales. Su objetivo es garantizar que las empresas manejen la información de las personas de forma transparente, segura y con respeto a sus derechos.

La entrada en vigencia de esta ley está fijada para diciembre de 2026, dos años después de su publicación en el Diario Oficial. Sin embargo, los reglamentos que definirán el detalle de las obligaciones se publicarán antes, durante 2025. Eso significa que las empresas no tienen dos años libres, sino un plazo limitado para ajustar procesos, políticas y sistemas.

En otras palabras, si es que tu empresa maneja datos de clientes, empleados o proveedores, esta ley te afecta directamente.

* La ley no excluye a las PYMEs: Todas deben cumplir conforme al tratamiento de datos que realicen. Pero hay una excepción. Durante el primer año (diciembre 2026 – diciembre 2027), las PYMEs estarán sujetas sólo a amonestaciones, no a multas, lo que permite un margen para adaptarse sin sufrir sanciones.

Obligaciones clave para las empresas en Chile

La Ley 21.719 establece un conjunto de exigencias concretas que ninguna empresa podrá ignorar:

• Delegado de Protección de Datos (DPO): Deberá ser designado en organizaciones públicas y privadas que manejen información personal de manera significativa.
• Registro de actividades de tratamiento: Obligación de documentar cómo y para qué se usan los datos personales.
• Evaluaciones de impacto en privacidad (DPIA): Requeridas en tratamientos de alto riesgo, como uso de datos sensibles, perfilamiento o monitoreo masivo.
• Notificación de incidentes: Las filtraciones de datos deberán reportarse a la Agencia y a los afectados en plazos establecidos.
• Medidas de seguridad: Implementación de controles técnicos y organizativos para reducir riesgos de pérdida, acceso indebido o uso indebido de datos.
• Transferencias internacionales: Solo se permitirán bajo reglas claras de adecuación o con autorización expresa de la Agencia.

Estas obligaciones implican cambios reales en políticas internas de las organizaciones, contratos con proveedores, gestión de riesgos y sistemas de seguridad. No se trata de ajustar un documento legal, sino de transformar la forma en que la empresa gestiona la información personal de los clientes.

Derechos de los titulares de datos que no puede ignorar

Esta nueva ley refuerza los derechos de las personas sobre su información. Toda empresa deberá estar preparada para responder solicitudes en plazos acotados y con procesos claros:

• Acceso: Cualquier persona puede exigir saber qué datos se tienen y cómo se usan.
• Rectificación: Obligación de corregir datos incorrectos o desactualizados.
• Supresión (derecho al olvido): Eliminación de datos cuando ya no sean necesarios o se retire el consentimiento.
• Portabilidad: Entrega de los datos en un formato estándar para ser usados en otra organización.
• Oposición y limitación: Posibilidad de negarse o restringir ciertos tratamientos de datos.

No atender estos derechos será considerado una infracción grave. Las empresas deben tener canales formales, responsables definidos y procesos documentados para poder responder a los titulares sin retrasos ni excusas.

Multas y riesgos de no cumplir con la Ley 21.719

El incumplimiento tendrá consecuencias directas y costosas para las empresas:

• Multas económicas: La Agencia de Protección de Datos podrá aplicar sanciones que van desde 1 UTM hasta 10.000 UTM, dependiendo de la gravedad de la infracción. Eso significa montos que pueden superar los $650 millones de pesos chilenos.
• Riesgo reputacional: Una filtración de datos o la falta de respuesta a los titulares puede dañar la confianza de clientes, socios y empleados.
• Exposición legal: Además de las multas de la Agencia, la empresa puede enfrentar demandas colectivas y procesos judiciales.
• Impacto operativo: Incidentes mal gestionados generan interrupciones, pérdida de clientes y costos adicionales en contención.

Claramente no se trata solo de cumplir con esta ley para evitar sanciones, sino que se debe buscar proteger la continuidad del negocio y la confianza del mercado.

Cómo prepararse desde hoy con apoyo especializado

Cumplir con todo lo anterior no es un proceso rápido. Requiere revisar contratos, ajustar políticas internas, implementar medidas técnicas, capacitar equipos y crear protocolos de respuesta ante incidentes. Todo esto toma tiempo y coordinación entre áreas legales, de TI y de gestión.

El típico error es esperar hasta último momento. La experiencia demuestra que las empresas que empiezan tarde terminan pagando más, trabajan bajo presión y quedan expuestas a incumplimientos.

Contar con un partner especializado en ciberseguridad y protección de datos permite avanzar de manera ordenada:

• Diagnóstico del estado actual de cumplimiento.
• Diseño de un plan de adecuación a la ley.
• Implementación de medidas técnicas y organizativas.
• Entrenamiento de equipos para gestionar incidentes y solicitudes de titulares.

La Ley 21.719 comenzará a aplicarse en diciembre de 2026, pero el momento de actuar es ahora. Prepararse con anticipación no solo evita multas, también asegura confianza y continuidad en el negocio.