Si tu empresa trata datos personales —y casi todas lo hacen— el 1 de diciembre de 2026 es una fecha que ya deberías tener marcada en el calendario. Ese día entra en vigencia la Ley 21.719, que reemplaza la antigua ley de 1999 y, por primera vez en Chile, le pone dientes a la protección de datos: crea una Agencia de Protección de Datos Personales con poder de fiscalizar y sancionar.
Mi intención acá no es alarmar, sino ayudarte a ordenar el trabajo. Lo que sigue son las cinco obligaciones mínimas que cualquier empresa que maneje datos de clientes, empleados o proveedores debería tener resueltas antes de esa fecha, explicadas como se las explico a un gerente, no como las escribe un abogado.
Primero, por qué esto va en serio esta vez
La ley anterior existía, pero casi nadie la cumplía porque incumplirla no costaba nada. Eso cambió. La Ley 21.719 homologa el estándar chileno al del Reglamento General de Protección de Datos europeo (GDPR), y las sanciones por infracción gravísima llegan hasta 20.000 UTM —del orden de $1.400 millones de pesos—. No es una multa simbólica: es un número capaz de doler en el balance de una empresa mediana.
La buena noticia es que tienes un plazo razonable y que el trabajo, bien ordenado, es abordable. La mala es que llegar al 1 de diciembre sin haber empezado te deja expuesto desde el día uno. Estas son las cinco cosas concretas que hay que tener.
1. Registro de actividades de tratamiento
Antes de proteger los datos, tienes que saber qué datos tienes. El registro de actividades de tratamiento es, en simple, un inventario: qué datos personales recolecta tu empresa, con qué finalidad, dónde viven, quién accede a ellos y por cuánto tiempo los guardas.
Suena burocrático, pero es el cimiento de todo lo demás. Sin este mapa no puedes responder una solicitud de un cliente, no puedes notificar bien un incidente y no puedes demostrarle a la Agencia que cumples. La mayoría de las empresas con las que conversamos descubren en este paso que tienen datos sensibles repartidos en planillas, correos y sistemas que nadie había inventariado.
2. Consentimiento válido (y sin casillas premarcadas)
La ley exige que el consentimiento para tratar datos sea libre, informado y específico. En la práctica esto entierra dos vicios muy comunes en Chile: la casilla de “acepto” ya marcada por defecto, y los textos legales kilométricos que nadie lee y que mezclan diez finalidades distintas en un solo “sí”.
Cada finalidad necesita su propio consentimiento claro. Si recolectas un correo para enviar una boleta, eso no te habilita automáticamente para mandar campañas de marketing. Revisar tus formularios web, tus flujos de registro y tus pop-ups de cookies es de las primeras cosas que hay que hacer, porque es lo más visible y lo más fácil de fiscalizar.
3. Derechos ARCO ampliados
Tus clientes y empleados tienen derecho a Acceder a sus datos, Rectificarlos, Cancelarlos (eliminarlos) y Oponerse a su tratamiento —los clásicos derechos ARCO—, y la nueva ley los amplía con figuras como la portabilidad y el bloqueo. Lo importante para ti: cuando alguien ejerce uno de estos derechos, tienes un plazo legal para responder.
Esto deja de ser un problema legal y pasa a ser un problema operativo y técnico. ¿Tu empresa puede, hoy, encontrar todos los datos de una persona y eliminarlos en un plazo acotado? Si la respuesta honesta es “tendríamos que buscarlos a mano en varios sistemas”, ahí tienes trabajo: necesitas procesos —y muchas veces integración entre tus sistemas— para responder sin que cada solicitud se convierta en una cacería.
4. DPA firmado con cada proveedor que procese datos
Acá hay un punto ciego enorme. Cuando usas un proveedor que procesa datos por ti —tu CRM, tu pasarela de pago, tu servicio de email marketing, tu nube— sigues siendo responsable de esos datos frente a la ley. Por eso necesitas un DPA (Data Processing Agreement): un acuerdo que define qué puede y qué no puede hacer ese proveedor con la información que le pasas.
Haz una lista de todas las herramientas externas que tocan datos de tus clientes. Casi siempre es más larga de lo que el gerente cree. Cada una debería tener un DPA firmado. Los proveedores serios ya lo ofrecen estandarizado; el problema son los proveedores que no lo tienen, porque esa es exactamente la cadena por donde se filtra la responsabilidad.
5. Notificación de incidentes en 72 horas
Si sufres una vulneración de datos —una filtración, un acceso no autorizado, un ransomware—, la ley te obliga a notificarlo en un plazo breve, en línea con el estándar de las 72 horas del modelo europeo. Y para notificar un incidente en 72 horas, primero tienes que ser capaz de detectarlo en 72 horas.
Ahí está el verdadero requisito escondido: necesitas un plan de respuesta a incidentes que diga quién hace qué, a quién se avisa y cómo. Improvisar esto en medio de una crisis real, con el reloj corriendo, es la receta para incumplir y para empeorar el daño.
Tu checklist de partida
Si quieres bajar todo esto a una lista accionable para tu próximo comité, parte por aquí:
- Inventario de datos: qué tratas, para qué y dónde vive.
- Formularios y consentimientos revisados, sin casillas premarcadas.
- Proceso para responder solicitudes ARCO dentro de plazo.
- Lista de proveedores que procesan datos, con su DPA firmado.
- Plan de respuesta a incidentes documentado y probado.
No tienes que resolverlo todo de una vez, pero sí tienes que empezar por el inventario: sin saber qué datos tienes, los otros cuatro puntos quedan en el aire. Si quieres entender el contexto completo, el texto oficial de la ley está en la Biblioteca del Congreso y el Estado publicó una guía práctica de implementación que vale la pena revisar.
Preguntas frecuentes
¿Esto aplica a mi empresa aunque sea pequeña?
Sí. La ley no distingue por tamaño, sino por si tratas datos personales. Si tienes clientes, empleados o proveedores con datos identificables, aplica. Lo que sí cambia con el tamaño es la escala del esfuerzo, no la obligación.
¿Qué pasa exactamente el 1 de diciembre de 2026?
Ese día la ley entra en plena vigencia y la Agencia de Protección de Datos puede fiscalizar y sancionar. No hay un “período de gracia” posterior: el plazo de adecuación es justamente el tiempo que va desde su publicación hasta esa fecha.
¿Las multas de 20.000 UTM son reales o es el máximo teórico?
Es el tope para las infracciones gravísimas; no toda falta llega ahí. Pero el rango de sanciones es lo bastante alto como para que el cumplimiento deje de ser opcional. El punto no es el peor escenario, sino que ahora incumplir tiene un costo concreto.
¿Por dónde empiezo si no he hecho nada?
Por el inventario de datos (punto 1). Es el paso que ordena todos los demás y el que te da una foto realista de cuánto te falta. A partir de ahí se prioriza según el riesgo de cada brecha.
¿No sabes en qué punto está tu empresa frente a la Ley 21.719? Hacemos un diagnóstico de cumplimiento contigo: revisamos los cinco frentes, te decimos qué falta y qué priorizar para llegar al 1 de diciembre sin sustos. La adecuación es sobre todo técnica —y la lideramos desde lo digital, con el respaldo de nuestro staff de abogados y peritaje para la capa legal. Conoce nuestro servicio de cumplimiento de la Ley 21.719 o agenda directo una consultoría sin costo y partamos por el mapa de tus datos.