¿Qué es la Ley 21.719 y qué exige a las empresas en Chile?
La Ley N° 21.719, promulgada en Chile el 13 de diciembre de 2024 y publicada en el Diario Oficial, es la nueva Ley de Protección de Datos Personales. Reemplaza íntegramente a la Ley 19.628 de 1999, que había quedado obsoleta frente a la economía digital y los estándares internacionales como el RGPD europeo.
Esta ley adopta un marco inspirado en el RGPD: exige que toda entidad que trate datos personales cuente con una base de licitud que justifique ese tratamiento, respete los derechos de las personas cuyos datos se tratan (los titulares) y adopte medidas de seguridad proporcionales a los riesgos involucrados.
¿Qué cuenta como tratamiento de datos personales?
La ley define el concepto de tratamiento de forma amplia: cualquier operación sobre datos de personas naturales, incluyendo la recolección, almacenamiento, uso, comunicación, cesión o eliminación. En la práctica, una empresa trata datos personales cuando:
- Guarda la lista de clientes en una planilla o CRM con nombres, RUT o correos electrónicos
- Almacena datos de empleados para pagar sueldos y cotizaciones previsionales
- Envía campañas de marketing a una base de contactos
- Recoge datos a través de formularios web o cookies de navegación
- Comparte información de clientes o empleados con proveedores de software, payroll externo o contadores
Si tu empresa realiza alguna de estas actividades —y prácticamente toda empresa lo hace—, eres un responsable de datos bajo la Ley 21.719 y tienes obligaciones legales que cumplir.
La APDP: el nuevo organismo fiscalizador
La Ley 21.719 crea la Agencia de Protección de Datos Personales (APDP), el organismo público encargado de fiscalizar el cumplimiento, recibir denuncias de titulares de datos y aplicar sanciones. La APDP tiene hasta 24 meses desde la promulgación de la ley para quedar completamente operativa, lo que ubica su plena actividad hacia fines de 2026 o principios de 2027. Su sitio oficial es apdp.cl.
Este período de instalación es la ventana que tienen las pymes para adecuarse. La ley fue publicada el 13 de diciembre de 2024 con una vacancia de 24 meses; las obligaciones y sanciones son exigibles al término de esa vacancia (~diciembre de 2026). Las multas por infracciones graves pueden llegar a 10.000 UTM (equivalente a aproximadamente $650 millones de pesos chilenos al valor UTM 2026). Las infracciones leves se sancionan con hasta 1.000 UTM y las menos graves con hasta 5.000 UTM.
La ley aplica a toda empresa, sin importar su tamaño
La Ley 21.719 no distingue entre grandes empresas y pymes. Toda entidad —empresa, persona natural con giro, fundación u organización— que trate datos personales de personas naturales en Chile queda sujeta. No existe un umbral de tamaño, número de empleados ni facturación mínima.
Para las pymes, el punto de partida práctico es contar con la documentación básica de cumplimiento: avisos de privacidad actualizados, un registro de actividades de tratamiento y procedimientos claros para atender los derechos de los titulares. Revisa la guía de documentos legales para tu empresa para entender qué registros debes mantener actualizados.
Cómo adecuarse a la Ley 21.719: pasos para pymes
1. Identifica los datos que procesas (inventario de datos)
El primer paso es mapear qué datos personales maneja tu empresa. Agrupa por categoría:
- Datos de clientes: nombre, RUT, correo electrónico, teléfono, dirección de despacho, historial de compras, datos de pago.
- Datos de empleados: nombre, RUT, domicilio, contacto de emergencia, información previsional (AFP, Isapre), registro de asistencia y remuneraciones; datos de salud si aplican (licencias médicas, incapacidades).
- Datos de proveedores: nombre del representante legal, correo de contacto, RUT empresa, datos bancarios para pagos.
- Visitantes web: dirección IP, cookies de navegación, datos ingresados en formularios de contacto, cotización o suscripción.
Para cada categoría anota: qué datos exactos se recopilan, en qué sistema o soporte se almacenan, quién tiene acceso y con qué finalidad se usan. Este inventario es la base del Registro de Actividades de Tratamiento (RAT) que exige la ley.
2. Establece bases de licitud para cada tratamiento
La Ley 21.719 exige que cada tratamiento de datos tenga una justificación legal llamada base de licitud. Las principales que aplican a las pymes son:
| Base de licitud | Ejemplo de uso |
|---|---|
| Consentimiento del titular | Envío de newsletter o campañas de marketing por correo electrónico |
| Ejecución de contrato | Datos de facturación de un cliente que realizó una compra |
| Obligación legal | Datos laborales para declarar ante el SII o la Dirección del Trabajo |
| Interés legítimo | Registro de acceso físico al local comercial por razones de seguridad |
No todos los tratamientos requieren consentimiento: muchos pueden ampararse en otras bases. Lo importante es que existe una base definida y documentada para cada tratamiento en particular.
Los datos sensibles —salud, biometría, creencias religiosas, opiniones políticas, orientación sexual— requieren como regla general el consentimiento explícito del titular o una habilitación legal específica. Estos datos merecen mayor cuidado y medidas reforzadas.
3. Actualiza tus avisos de privacidad
Todo responsable de datos debe informar a los titulares, en el momento de recoger sus datos, qué hará con ellos. Un aviso de privacidad o política de privacidad adecuada debe incluir:
- Identidad y datos de contacto del responsable del tratamiento
- Finalidad del tratamiento y base de licitud aplicable
- Categorías de datos personales que se tratan
- Si los datos se ceden a terceros y quiénes son esos destinatarios
- Derechos del titular y cómo ejercerlos (correo de contacto, plazo de respuesta)
- Plazo de conservación de los datos
Si tu empresa tiene sitio web con formulario de contacto, tienda en línea o punto de venta con registro de clientes, necesitas una política de privacidad publicada y accesible para los titulares antes de que entreguen sus datos.
4. Implementa medidas de seguridad
La Ley 21.719 exige medidas técnicas y organizativas para proteger los datos de accesos no autorizados, pérdida o alteración. Para una pyme, esto incluye como mínimo:
- Control de acceso a bases de datos y sistemas: solo quienes lo necesiten por su función
- Contraseñas seguras y autenticación en dos pasos para sistemas críticos (correo corporativo, CRM, ERP)
- Cifrado de datos sensibles almacenados o transmitidos por redes
- Copias de seguridad regulares almacenadas en ubicación separada y verificadas periódicamente
- Política interna de uso aceptable de datos (quién puede acceder, cómo se gestiona la salida de datos hacia terceros)
5. Conoce los derechos de los titulares (ARCOP + Portabilidad)
La Ley 21.719 reconoce a las personas los siguientes derechos sobre sus datos personales, con plazos de respuesta que la empresa debe cumplir:
| Derecho | Descripción | Plazo de respuesta |
|---|---|---|
| Acceso | Conocer qué datos tiene la empresa sobre el titular | 15 días hábiles |
| Rectificación | Corregir datos inexactos o incompletos | 5 días hábiles tras verificación |
| Cancelación (supresión) | Solicitar la eliminación de los datos cuando ya no son necesarios | 15 días hábiles |
| Oposición | Oponerse a determinados tratamientos, como el marketing directo | 5 días hábiles |
| Portabilidad | Recibir una copia de los datos en formato estructurado y reutilizable | 15 días hábiles |
Además, la ley incorpora el derecho a no ser objeto de decisiones automatizadas que tengan efectos jurídicos o significativos sobre el titular sin intervención humana —por ejemplo, sistemas de scoring crediticio automatizados o rechazos automáticos de solicitudes basados solo en algoritmos.
6. Mantén un Registro de Actividades de Tratamiento (RAT)
El RAT es un documento interno que lista cada proceso en que la empresa maneja datos personales, indicando: finalidad, base de licitud, categorías de datos, destinatarios y plazos de conservación. No se presenta ante ninguna autoridad de forma rutinaria, pero la APDP puede exigirlo en una fiscalización o ante una denuncia. Las empresas que tratan datos sensibles o realizan tratamientos de mayor escala tienen especial urgencia en mantener este registro actualizado.
7. Notifica incidentes de seguridad a la APDP
Si ocurre una brecha de seguridad —acceso no autorizado, pérdida o robo de datos— que pueda afectar los derechos de los titulares, la Ley 21.719 obliga al responsable a notificar a la APDP en el plazo que establezcan sus normas de desarrollo. En los casos más graves, también se deberá notificar a los propios titulares afectados. La empresa debe registrar internamente todos los incidentes de seguridad, incluso aquellos que no alcancen el umbral de notificación obligatoria, para demostrar diligencia ante una eventual fiscalización.
8. Define responsables internos del cumplimiento
Para organizaciones más grandes o que manejan datos sensibles en volumen, la ley contempla la figura del encargado de datos: quien procesa datos personales por cuenta del responsable —por ejemplo, un proveedor de software de RRHH o una firma de payroll externo—. En ese caso, debe existir un contrato de encargo de tratamiento que establezca las obligaciones del encargado para proteger esos datos y las instrucciones del responsable.
Para pymes más pequeñas, lo fundamental es designar internamente a la persona responsable de gestionar las solicitudes de derechos ARCOP, de mantener actualizado el RAT y de coordinar con la APDP en caso de requerimientos o incidentes de seguridad.
Documentos de cumplimiento para la Ley 21.719
La adecuación a la Ley 21.719 requiere que la empresa cuente con los siguientes documentos de cumplimiento. Algunos son obligatorios desde el inicio; otros aplican solo en determinadas situaciones:
| Documento | Finalidad | Cuándo se necesita |
|---|---|---|
| Aviso de privacidad / Política de privacidad | Informa a los titulares sobre el tratamiento de sus datos, la base de licitud y sus derechos | Siempre que se traten datos personales, en especial en sitios web, formularios y puntos de venta |
| Formulario de consentimiento | Acredita el consentimiento libre, informado, específico y revocable del titular | Para marketing, suscripciones y tratamiento de datos sensibles |
| Registro de Actividades de Tratamiento (RAT) | Documenta internamente todos los procesos de tratamiento: finalidad, base de licitud, datos involucrados y destinatarios | Empresas que traten datos de forma habitual; exigible por la APDP en fiscalizaciones |
| Procedimiento para atender derechos ARCOP | Define cómo recibir, tramitar y responder solicitudes de Acceso, Rectificación, Cancelación, Oposición y Portabilidad dentro del plazo legal | Todas las empresas que traten datos personales |
| Política de seguridad de datos | Establece las medidas técnicas y organizativas de protección de datos adoptadas por la empresa | Según tamaño y tipo de datos tratados; altamente recomendable para toda empresa |
| Contrato de encargo de tratamiento | Regula las obligaciones del proveedor que procesa datos personales por cuenta de la empresa (por ej., plataformas de email marketing, software de RR.HH.) | Cuando se contrata a terceros que procesarán datos personales de clientes o empleados |
| Notificación de incidente de seguridad | Informa a la APDP y, cuando corresponde, a los titulares afectados sobre una brecha de seguridad | Solo si ocurre una brecha de seguridad que pueda afectar derechos de los titulares |
Para mantener ordenada toda la documentación legal de tu empresa, incluyendo estos nuevos documentos de protección de datos, revisa la guía de documentos legales para empresas en Chile.
Errores frecuentes en el cumplimiento de datos personales para pymes
1. Creer que la Ley 21.719 solo aplica a grandes empresas
Es el error más común. La ley no establece ningún umbral de tamaño, facturación ni número de trabajadores. Cualquier empresa —incluso un emprendimiento unipersonal con una base de clientes en Excel— que trate datos personales de personas naturales está sujeta a sus obligaciones. El criterio relevante es si se tratan datos personales, no el tamaño de la organización.
2. Seguir usando la Ley 19.628 como referencia sin actualizar
La Ley 21.719 no es una modificación menor: deroga y reemplaza íntegramente a la Ley 19.628 de 1999. Introduce conceptos nuevos —bases de licitud, encargado de datos, datos sensibles con definición ampliada, derechos de portabilidad y decisiones automatizadas— que no existían en la ley anterior. Actualizar solo parcialmente los documentos o seguir aplicando la lógica de la ley antigua deja a la empresa en incumplimiento.
3. No tener aviso de privacidad en el sitio web ni en el punto de venta
Si el sitio web de la empresa tiene un formulario de contacto, cotización o suscripción, la ley exige que los titulares sean informados sobre el tratamiento antes de entregar sus datos. Lo mismo aplica al punto de venta físico cuando se recogen datos de clientes. Muchas pymes operan sin política de privacidad publicada, lo que constituye una infracción directa.
4. Compartir datos de clientes con terceros sin base de licitud ni contrato de encargo
Enviar una base de contactos a una agencia de marketing, contratar una plataforma de email o usar un software de CRM en la nube implica ceder o transferir datos personales a terceros. Para que eso sea lícito, debe existir una base de licitud (por ejemplo, consentimiento del titular para el marketing) y, cuando el tercero actúa como encargado, un contrato de encargo de tratamiento que defina sus obligaciones. Sin ese contrato, la empresa puede ser responsable de las actuaciones del proveedor.
5. No responder solicitudes de derechos ARCOP dentro del plazo legal
Cuando un cliente, empleado o proveedor ejerce sus derechos de Acceso, Rectificación, Cancelación, Oposición o Portabilidad, la empresa tiene plazos definidos para responder (entre 5 y 15 días hábiles según el derecho). No responder, ignorar la solicitud o responder fuera de plazo es una infracción que el titular puede denunciar directamente ante la APDP.
¿Qué más deben hacer las empresas en materia legal?
Con los pasos básicos de adecuación cubiertos, hay acciones adicionales que conviene planificar para tener un cumplimiento sólido:
1. Centraliza la documentación legal de tu empresa
La Ley 21.719 suma nuevos documentos a los que ya debe mantener cualquier empresa. Para tener una visión completa de la documentación legal que necesitas —contratos, avisos, registros y más—, revisa la guía de documentos legales para empresas en Chile. Contar con todos los documentos organizados facilita responder ante una fiscalización.
2. Mantente atento a las guías que publicará la APDP
La Agencia de Protección de Datos Personales emitirá durante su período de instalación guías prácticas, modelos de documentos y normativa de desarrollo específica para distintos sectores y tamaños de empresa. Suscríbete a su sitio oficial para acceder a esas publicaciones cuando estén disponibles, ya que adaptarán los requisitos legales a la realidad de las pymes.
3. Revisa tus contratos con proveedores que procesan tus datos
Si contratas servicios de software, plataformas en la nube, agencias de marketing, empresas de payroll externo o contadores que acceden a datos de tus clientes o empleados, necesitas un contrato de encargo de tratamiento con cada uno. Sin ese contrato, el proveedor no tiene obligaciones formales de proteger los datos y tú sigues siendo el único responsable de las consecuencias ante la APDP y los titulares.
4. Las empresas extranjeras que operan en Chile también deben cumplir
Si tu empresa tiene proveedores o socios con sede en la Unión Europea, Argentina u otros países con leyes de protección de datos, considera que la Ley 21.719 puede afectar la forma en que esas empresas tratan datos de personas naturales en Chile. Revisa si necesitas adaptar los contratos internacionales existentes.
5. Si estás creando tu empresa ahora, empieza bien desde el inicio
Si todavía estás en la etapa de constitución de tu empresa, integra desde el principio las políticas de privacidad y protección de datos en tus procesos. Revisa la guía para crear tu empresa en Chile y planifica las obligaciones de datos personales junto con las tributarias y laborales, para no tener que hacer una adecuación costosa después.
Preguntas frecuentes
¿Desde cuándo rige la Ley 21.719 en Chile?
La Ley N° 21.719 fue promulgada el 13 de diciembre de 2024 y publicada en el Diario Oficial en esa misma fecha. Entró en vigencia formal desde ese momento, reemplazando íntegramente a la Ley 19.628 de 1999. Sin embargo, la Agencia de Protección de Datos Personales (APDP) tiene un plazo de hasta 24 meses desde la promulgación para quedar plenamente operativa, por lo que se estima que las fiscalizaciones activas y la aplicación de sanciones comenzarán hacia fines de 2026 o principios de 2027. Esto no significa que las obligaciones no existan: la ley está vigente desde diciembre de 2024.
¿Mi pyme pequeña está sujeta a la Ley 21.719?
Sí. La Ley 21.719 no establece umbral de tamaño, facturación ni número de empleados. Toda empresa, persona natural con giro o cualquier organización que trate datos personales de personas naturales en Chile está sujeta a sus obligaciones. Si tienes una lista de clientes, llevas registros de empleados o recibes datos a través de tu sitio web o punto de venta, estás tratando datos personales y debes cumplir con la ley. El criterio relevante es si hay tratamiento de datos personales, no el tamaño de la empresa.
¿Cuál es la diferencia entre el "responsable" y el "encargado" de datos en la Ley 21.719?
El responsable del tratamiento es quien decide los fines y los medios con que se tratan los datos personales. En la práctica, es tu empresa como empleador, como proveedor de un servicio o como vendedor: tú decides para qué se usan los datos de tus clientes o empleados. El encargado del tratamiento es quien procesa datos personales por cuenta del responsable y siguiendo sus instrucciones, como una empresa de software de RR.HH., un proveedor de cloud o una firma de payroll externo. Si tu empresa contrata a un encargado para que procese datos de tus clientes o trabajadores, debes celebrar un contrato de encargo de tratamiento que establezca sus obligaciones de protección de datos.
¿Qué multas puede aplicar la APDP por incumplimiento de la Ley 21.719?
La Ley 21.719 establece tres categorías de infracciones y multas: infracciones leves (hasta 1.000 UTM), infracciones menos graves (hasta 5.000 UTM) e infracciones graves (hasta 10.000 UTM, equivalente a aproximadamente $650 millones de pesos chilenos al valor UTM 2026). Las infracciones graves incluyen el tratamiento de datos sensibles sin base de licitud, la cesión no autorizada de datos a terceros y el incumplimiento de medidas de seguridad que resulte en una brecha. Además de las multas, la APDP puede ordenar la suspensión del tratamiento de datos, la eliminación de bases de datos y la publicación de la resolución sancionatoria, lo que afecta la reputación de la empresa.
Fuentes y referencias
- Ley N° 21.719 — Nueva Ley de Protección de Datos Personales de Chile (BCN) - Promulgada el 13 de diciembre de 2024. Reemplaza íntegramente a la Ley 19.628. Crea la APDP y establece el nuevo marco de bases de licitud, derechos ARCOP+portabilidad y régimen sancionatorio.
- Agencia de Protección de Datos Personales (APDP) — Sitio oficial - Organismo fiscalizador creado por la Ley 21.719. Tiene hasta 24 meses desde la promulgación (dic-2024) para quedar plenamente operativo. Publicará guías y normativa de desarrollo para empresas.
- Ley N° 19.628 — Ley anterior de protección de datos personales (BCN, referencia histórica) - Ley de 1999 derogada y reemplazada íntegramente por la Ley 21.719. Se menciona como referencia para entender qué cambia con la nueva ley.
- Ministerio de Economía — Información para empresas sobre la nueva ley de datos personales - El Ministerio de Economía coordinó el proceso legislativo de la Ley 21.719 y publica orientaciones para el sector productivo sobre las nuevas obligaciones de protección de datos.





