¿Cuánto tiempo toma prepararse para la Ley 21.719?

Un diagnóstico inicial toma entre 2 y 4 semanas. La implementación completa, dependiendo del tamaño y complejidad de la empresa, puede tomar entre 3 y 9 meses. Empresas que manejan datos sensibles o grandes volúmenes deben empezar cuanto antes. Si estás leyendo esto en 2026, el tiempo justo para estar listo en diciembre es ahora.

Protección de DatosLey 21.719

¿Qué es la Ley 21.719 y cómo preparar tu empresa antes de diciembre 2026?

Q: ¿Cuándo entra en vigencia la Ley 21.719?

La Ley 21.719 fue publicada en el Diario Oficial en diciembre 2024. Las empresas tienen un plazo de 24 meses para adecuarse, lo que significa que las obligaciones son exigibles a partir de diciembre de 2026. Sin embargo, prepararse con tiempo es fundamental: los procesos internos, la documentación y los sistemas no se implementan de un día para otro.

Q: ¿Qué diferencia hay entre la Ley 21.719 y la Ley 19.628?

La Ley 19.628 de 1999 era una norma básica con escasas obligaciones procedimentales y sin un organismo fiscalizador con poder sancionatorio real. La Ley 21.719 establece nuevos derechos para los titulares (derechos ARCOP), crea la Agencia de Protección de Datos Personales con facultades sancionatorias, exige bases de legitimación, obliga a nombrar un Delegado de Protección de Datos en ciertos casos y establece multas de hasta 5.000 UTM.

Q: ¿Todas las empresas deben cumplir la Ley 21.719?

Sí. La Ley 21.719 se aplica a toda persona natural o jurídica, pública o privada, que trate datos personales en Chile. No existe un umbral mínimo de tamaño de empresa. Las obligaciones específicas (como el Delegado de Protección de Datos) sí varían según el tipo y volumen de tratamiento.

Por Joaquín Maldonado · CEO SilocyData2 junio 2026 · 9 min lectura

Chile tiene una nueva ley de protección de datos y el reloj está corriendo. Las empresas tienen hasta diciembre de 2026 para adecuarse. Si no empezaste todavía, esta guía te explica qué necesitas hacer y por dónde partir.

1. ¿Qué es la Ley 21.719?

La Ley 21.719 es la nueva Ley de Protección de Datos Personales de Chile. Reemplaza a la antigua Ley 19.628 de 1999, que había quedado obsoleta frente a la realidad digital actual. Fue publicada en el Diario Oficial en diciembre de 2024 y establece un plazo de 24 meses para que las empresas se adecúen, lo que significa que las obligaciones son plenamente exigibles en diciembre de 2026.

En términos de ambición regulatoria, la Ley 21.719 es el equivalente chileno al GDPR europeo. No es una copia exacta, pero adopta los mismos principios fundamentales: transparencia en el tratamiento de datos, derechos reforzados para los titulares, bases de legitimación explícitas y un organismo regulador con capacidad real de fiscalización y sanción.

2. ¿Qué cambió respecto a la Ley 19.628?

La diferencia entre ambas leyes es sustantiva. La Ley 19.628 era una norma con buenas intenciones pero sin dientes: obligaciones genéricas, sin fiscalizador con poder real y sanciones prácticamente inexistentes. La Ley 21.719 cambia eso de raíz.

Agencia de Protección de DatosSe crea la Agencia de Protección de Datos Personales, un organismo público autónomo con facultades fiscalizadoras, sancionatorias e interpretativas. La antigua ley no tenía equivalente.

Derechos ARCOP reforzadosLos titulares de datos tienen derechos de Acceso, Rectificación, Cancelación, Oposición y Portabilidad. Las empresas deben tener canales y procedimientos para responder en 30 días hábiles.

Bases de legitimaciónYa no basta con "tener el dato". Cada tratamiento necesita una base legal: consentimiento, contrato, interés legítimo, obligación legal, entre otras. Sin base, el tratamiento es ilícito.

Delegado de Protección de DatosCiertos responsables deben designar un DPD (Data Protection Officer). No es obligatorio para todas las empresas, pero sí para quienes traten datos sensibles a gran escala o realicen tratamientos de alto riesgo.

Sanciones realesMultas de hasta 5.000 UTM para infracciones graves. Las infracciones se clasifican en leves, graves y gravísimas, y pueden acumularse por cada infracción independiente.

3. ¿A quién aplica la Ley 21.719?

A toda persona natural o jurídica, pública o privada, que trate datos personales en Chile. No hay excepción por tamaño de empresa. Una PYME que maneja datos de clientes en una hoja de cálculo está sujeta a la misma ley que una multinacional con millones de registros.

Lo que sí varía según el tamaño y tipo de tratamiento son las obligaciones específicas. Las empresas que traten datos sensibles (salud, biométricos, origen étnico, orientación sexual, datos de menores) o que hagan tratamiento a gran escala tienen obligaciones adicionales: evaluaciones de impacto, Delegado de Protección de Datos y medidas técnicas reforzadas.

4. Los principales riesgos para empresas que no cumplan

El incumplimiento de la Ley 21.719 no es solo un riesgo regulatorio. Es también un riesgo reputacional, contractual y comercial. Las empresas que operen con clientes europeos o multinacionales ya están acostumbradas a recibir cuestionarios de cumplimiento en protección de datos como parte de los procesos de compra. Con la nueva ley, eso se vuelve un estándar local también.

Multas de hasta 5.000 UTM por infracciones graves o gravísimas (más de $350 millones de pesos al tipo actual)
Prohibición de tratamiento de datos mientras dure la sanción — lo que puede paralizar operaciones completas
Responsabilidad civil ante titulares que acrediten daño por mal tratamiento de sus datos
Pérdida de contratos con clientes que exijan cumplimiento como condición de la relación comercial
Daño reputacional en un mercado donde la privacidad es un diferenciador competitivo creciente

5. Cómo preparar tu empresa: la hoja de ruta

La preparación para la Ley 21.719 no es solo un proyecto legal. Es un proyecto que involucra tecnología, procesos y personas. Por eso en SilocyData trabajamos con un enfoque estructurado en cinco fases:

Fase 1 — Diagnóstico2–4 semanas

Mapeo de todos los flujos de datos personales: qué datos tratas, dónde están almacenados, quién tiene acceso, con qué base legal y a quién los transfieren. El resultado es un Registro de Actividades de Tratamiento (RAT).

Fase 2 — Análisis de brechas1–2 semanas

Comparar el estado actual con los requisitos de la ley. Identificar qué tratamientos no tienen base legal, qué datos sensibles no están protegidos adecuadamente y qué derechos no se pueden atender hoy.

Fase 3 — Plan de remediación1 semana

Priorización de brechas por riesgo y esfuerzo. Definición de responsables, plazos y presupuesto para cada medida.

Fase 4 — Implementación3–6 meses

Ejecución del plan: contratos con proveedores, políticas internas, canal de atención de derechos ARCOP, medidas técnicas de seguridad, evaluaciones de impacto donde corresponda.

Fase 5 — Monitoreo continuoPermanente

El cumplimiento no es un proyecto único. La ley evoluciona, los sistemas cambian y el tratamiento de datos varía. Se necesita un proceso de revisión periódica y un responsable interno.

Si quieres entender en detalle cómo acompañamos este proceso, revisa nuestra página de servicio de cumplimiento Ley 21.719 o visita el centro de recursos sobre la ley que hemos preparado para empresas chilenas.

6. Lo que más se subestima: el inventario de datos

El mayor obstáculo que encontramos en las empresas no es la voluntad de cumplir — es que no saben qué datos tienen ni dónde están. Bases de datos en servidores locales que nadie documenta, hojas de cálculo con datos de clientes en OneDrive personal, proveedores de nube que tratan datos como subencargados sin contrato vigente.

El Registro de Actividades de Tratamiento (RAT) es el punto de partida obligatorio. Sin saber qué datos tratas, no puedes definir bases de legitimación, no puedes responder solicitudes ARCOP y no puedes evaluar riesgos. El RAT no es un documento burocrático — es la columna vertebral de todo el programa de cumplimiento.

7. La dimensión técnica: qué necesita cambiar en tu infraestructura

El cumplimiento de la Ley 21.719 tiene una dimensión técnica que muchos equipos legales pasan por alto hasta que intentan implementar los cambios y descubren que el sistema no lo soporta. Los requerimientos técnicos más frecuentes:

Capacidad de localizar y exportar todos los datos de una persona en formato estructurado (portabilidad de datos)
Capacidad de eliminar o anonimizar datos de forma completa y verificable (derecho de cancelación)
Control de acceso basado en roles con registros de auditoría para datos personales
Cifrado de datos personales en reposo y en tránsito, especialmente para datos sensibles
Proceso de notificación de brechas de seguridad dentro del plazo legal (72 horas a la Agencia)
Gestión de consentimientos con registro de cuándo, cómo y para qué fue otorgado

Preguntas frecuentes

¿Cuándo entra en vigencia la Ley 21.719?

La ley fue publicada en diciembre de 2024. El plazo de adecuación es de 24 meses, por lo que las obligaciones son plenamente exigibles en diciembre de 2026. Prepararse con anticipación es fundamental: los procesos internos y los sistemas no se adaptan de un día para otro.

¿Qué diferencia hay entre la Ley 21.719 y la Ley 19.628?

La Ley 19.628 de 1999 tenía obligaciones básicas y sin fiscalizador real. La Ley 21.719 crea la Agencia de Protección de Datos con poder sancionatorio, establece los derechos ARCOP, exige bases de legitimación explícitas y define multas de hasta 5.000 UTM para infracciones graves.

¿Todas las empresas deben cumplir la Ley 21.719?

Sí. Aplica a toda persona natural o jurídica que trate datos personales en Chile, sin importar el tamaño. Las obligaciones específicas varían según el tipo y volumen de tratamiento.

¿Cuánto tiempo toma prepararse?

Un diagnóstico inicial toma 2 a 4 semanas. La implementación completa, dependiendo de la complejidad, puede tomar entre 3 y 9 meses. Si estás leyendo esto en 2026, el tiempo disponible para diciembre es ajustado. Conviene empezar cuanto antes.

¿Tu empresa está lista para diciembre 2026?

Hacemos un diagnóstico inicial en 2 semanas. Sabrás exactamente dónde estás y qué debes hacer.

Agenda una reunión →