La Ley 21.719, Ley Marco sobre Protección de Datos Personales, es la reforma más profunda al régimen de privacidad en Chile desde la Ley 19.628 de 1999. Fue promulgada en diciembre de 2024 y reemplaza casi íntegramente el marco anterior.
La ley reconoce el derecho a la protección de los datos personales como un derecho fundamental, establece principios claros de licitud, finalidad, proporcionalidad y seguridad, y crea una nueva institucionalidad: la Agencia de Protección de Datos Personales, organismo autónomo encargado de fiscalizar y sancionar.
Aplica a cualquier empresa —grande, mediana o pequeña— que trate datos personales de personas naturales domiciliadas en Chile, independientemente de si la empresa tiene o no presencia física en el país. Si tu empresa tiene clientes, empleados o proveedores chilenos cuyos datos trata, la ley te aplica.
El período de vacancia legal vence el 1° de diciembre de 2026. Desde esa fecha, el régimen de sanciones estará plenamente vigente y la agencia podrá iniciar investigaciones e imponer multas.
La Ley 21.719 es de aplicación general. No existe un umbral de tamaño ni de volumen de datos para quedar sujeto a sus obligaciones.
Toda persona natural o jurídica —pública o privada— que decida sobre los fines y medios del tratamiento de datos personales. Eres responsable si determinas qué datos recopilas y para qué.
Quien trata datos por cuenta y bajo las instrucciones del responsable. Los proveedores de tecnología, call centers, consultoras o procesadores de pago que trabajan con datos de tus clientes son encargados.
Aunque la empresa esté domiciliada en el extranjero, si trata datos de personas naturales domiciliadas en Chile, queda sujeta a la ley. El factor determinante es la residencia del titular, no la de la empresa.
Salud, educación, RRHH, retail, fintech, marketing digital, logística, inmobiliarias y cualquier sector que trate datos de salud, biométricos, o de origen étnico, enfrenta obligaciones adicionales reforzadas.
La ley contempla obligaciones simplificadas para microempresas en algunas áreas (como el DPO), pero el núcleo de derechos y el régimen sancionatorio aplica igualmente. No existe exención por tamaño.
Los órganos de la Administración del Estado también quedan sujetos a la ley, aunque con algunas disposiciones específicas. El sector público tiene obligaciones de transparencia y seguridad equivalentes al privado.
El régimen sancionatorio es graduado en tres niveles según la gravedad de la infracción, el volumen de datos afectados y el nivel de intencionalidad.
Ejemplos: No responder a tiempo una solicitud ARCOP, falta de información en la política de privacidad, omisión de mención de finalidades.
Ejemplos: Tratar datos sin base de licitud válida, vulnerar derechos ARCOP de forma sistemática, no notificar una brecha de seguridad al CPLT.
Ejemplos: Tratar datos sensibles sin autorización, transferir datos internacionalmente sin garantías, obstruir la fiscalización del CPLT.
Las sanciones pueden duplicarse en caso de reincidencia. El fiscalizador considera atenuantes como la implementación de un Modelo de Prevención de Infracciones (MPI).
Evalúa tu exposición al riesgoNuestro diagnóstico gratuito cubre las 8 dimensiones críticas de la Ley 21.719 con 40 preguntas diseñadas por especialistas en datos y cumplimiento normativo.
Verifica que cada tratamiento de datos cuente con una base legal válida: consentimiento, contrato, interés legítimo u obligación legal.
Evalúa que los consentimientos sean libres, específicos, informados e inequívocos, y que exista un mecanismo de revocación.
Mide la capacidad de responder solicitudes de Acceso, Rectificación, Cancelación, Oposición y Portabilidad dentro de los plazos legales.
Identifica si tu empresa trata datos de salud, biometría, origen étnico, religión u orientación sexual, y si aplica las salvaguardas reforzadas.
Evalúa controles técnicos y organizacionales, y la existencia de un procedimiento de notificación de brechas al CPLT y a los titulares.
Verifica que los contratos con proveedores que tratan datos en tu nombre incluyan las cláusulas mínimas exigidas por la ley.
Determina si exportas datos a terceros países y si cuentas con las garantías adecuadas (nivel equivalente de protección o cláusulas contractuales).
Mide el grado de avance en la implementación del MPI: encargado de prevención, canal de denuncias, capacitación y auditorías internas.
Gratuito · Sin registro previo · Resultados inmediatos
El 1° de diciembre de 2026. La ley fue promulgada en diciembre de 2024 con un período de vacancia de 24 meses. Todas las obligaciones sustantivas —consentimiento, derechos ARCOP, seguridad, MPI— son exigibles desde esa fecha.
A toda persona natural o jurídica —pública o privada— que trate datos personales de personas naturales domiciliadas en Chile, sin importar el tamaño o sector. Las microempresas tienen algunas obligaciones simplificadas, pero siguen siendo sujeto de la ley.
Las sanciones se gradúan en tres categorías: infracciones leves (hasta 5.000 UTM, ~$350M CLP), graves (hasta 10.000 UTM, ~$700M CLP) y gravísimas (hasta 20.000 UTM, ~$1.400M CLP, o 4% de los ingresos anuales en Chile si ese monto es mayor).
La ley define como sensibles los datos relativos a salud, biometría, origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical y vida sexual u orientación sexual. Su tratamiento requiere bases de licitud reforzadas y medidas de seguridad adicionales.
Durante el período transitorio, el Consejo para la Transparencia (CPLT) ejerce las funciones de fiscalización. La ley crea además una Agencia de Protección de Datos Personales que asumirá estas funciones una vez que entre en plena operación.
El MPI es un sistema interno documentado que acredita que la empresa tomó medidas razonables para prevenir infracciones. Su implementación puede operar como atenuante al momento de que el fiscalizador calcule la sanción aplicable.
Evalúa en 10 minutos las 8 áreas críticas de la Ley 21.719. Sin registro, sin costo. Resultados con código de colores y recomendaciones priorizadas.