Recursos/Guía Ley 21.719
Lectura: ~10 minutos

Guía completa:
Ley 21.719 de Protección de Datos

La guía más completa en español sobre la nueva ley de datos chilena. Actualizada a 2026.

Vigencia: 1 de diciembre de 2026

Toda empresa que maneje datos personales en Chile debe estar en cumplimiento antes de esa fecha.

¿Qué es la Ley 21.719?

La Ley 21.719, publicada en diciembre de 2024, es la reforma más importante a la protección de datos personales en Chile desde 1999. Reemplaza la antigua Ley 19.628 y eleva los estándares nacionales a nivel de las mejores prácticas internacionales, inspirándose en el GDPR europeo.

La ley crea la Agencia de Protección de Datos Personales (AAPDP), el organismo fiscalizador con poder de imponer multas y ordenar medidas correctivas. Su vigencia completa comienza el 1 de diciembre de 2026.

¿A quién aplica?

La ley aplica a toda persona natural o jurídica que trate datos personales de personas naturales en Chile, independiente de su tamaño o sector:

Empresas con datos de clientes (nombre, email, RUT, teléfono)
Empleadores con datos de trabajadores (contratos, remuneraciones, salud)
Tiendas online con historial de compras o perfiles de usuario
Profesionales independientes con agenda de contactos
Clínicas, colegios, gimnasios, servicios de cualquier tipo
Proveedores que acceden a datos de clientes de otra empresa

En resumen: si tu empresa guarda el nombre, email, RUT o teléfono de cualquier persona, la ley te aplica.

Conceptos clave

Titular

La persona natural a quien pertenecen los datos (tu cliente, empleado o proveedor).

Responsable del tratamiento

La empresa que decide para qué y cómo se usan los datos. Tiene todas las obligaciones legales.

Encargado del tratamiento

Un tercero que procesa datos por cuenta del responsable (ej: proveedor de software, contador, call center).

Dato sensible

Datos de salud, biométricos, origen étnico, opiniones políticas, vida sexual, datos de menores. Requieren consentimiento expreso y protección reforzada.

Base de licitud

La razón legal que justifica el tratamiento: consentimiento, contrato, obligación legal, interés legítimo, etc.

Derechos ARCO+

Acceso, Rectificación, Cancelación, Oposición, más Portabilidad y Oposición a decisiones automatizadas.

Obligaciones principales

1Política de privacidad (Art. 14 ter)

Debes tener una política de privacidad publicada con exactamente 12 elementos mínimos:

1Identidad y contacto del responsable
2Categorías de datos tratados
3Finalidades del tratamiento
4Base de licitud para cada finalidad
5Destinatarios o categorías de destinatarios
6Transferencias internacionales
7Plazos de conservación
8Derechos del titular y cómo ejercerlos
9Derecho a revocar el consentimiento
10Derecho a reclamar ante la AAPDP
11Existencia de decisiones automatizadas
12Información sobre cookies (si aplica)

2Registro de actividades de tratamiento (Art. 14 bis)

Documento interno que lista cada actividad de tratamiento: qué datos, para qué, con qué base legal, quién los accede y cuánto tiempo se conservan.

3Consentimiento (Art. 12–13)

Cuando la base de licitud es el consentimiento, debe ser libre, informado, específico y revocable. Debes poder demostrar cuándo y cómo lo obtuviste.

4Derechos ARCO+ (Art. 23)

Tener un procedimiento para recibir y gestionar solicitudes de Acceso, Rectificación, Cancelación, Oposición y Portabilidad. Plazo de respuesta: 15 días hábiles.

5Notificación de brechas (Art. 49)

Si sufres una brecha de seguridad que afecte datos personales, debes notificar a la AAPDP y a los titulares afectados en 72 horas desde que tomas conocimiento.

Plazos críticos

72 horas

Para notificar brechas de seguridad a la AAPDP

15 días

Para responder solicitudes ARCO de titulares

Dic 2026

Entrada en vigencia completa de la ley

Sanciones

Leve

hasta UF 500 (~USD 19.000)

No tener política de privacidad publicada, no incluir los 12 elementos del Art. 14 ter.

Grave

hasta UF 1.000 (~USD 38.000)

No obtener consentimiento, no poder acreditarlo, no tener procedimiento ARCO, compartir datos sin contratos.

Gravísima

hasta UF 2.000 (~USD 77.000)

No notificar brechas en 72 hrs, tratar datos sensibles sin consentimiento expreso.

⚠️ Multiplicador para empresas grandes

Para empresas con ingresos anuales superiores a UF 100.000, las multas pueden multiplicarse hasta 20 veces, alcanzando USD 1.550.000.

Cronograma de vigencia

Diciembre 2024

Publicación de la Ley 21.719 en el Diario Oficial

2025–2026

Creación y puesta en marcha de la AAPDP

1 Diciembre 2026

Vigencia plena de la ley — comienza la fiscalización y aplicación de sanciones

Cómo cumplir con Normatik

Normatik automatiza el proceso de compliance para que cualquier empresa pueda cumplir sin contratar consultores ni abogados:

01

Diagnóstico

15 preguntas que evalúan tu situación actual y detectan exactamente qué brechas tienes, con las sanciones asociadas.

02

Documentos automáticos

Generamos tu política de privacidad (Art. 14 ter), registro de tratamiento, procedimiento ARCO y protocolo de brechas.

03

Portal ARCO

URL pública para que tus clientes ejerzan sus derechos. Tú gestionas todo desde el panel con seguimiento de plazos.

Hacer diagnóstico gratis

Sin costo. Sin compromiso. Resultado en 5 minutos.