Ley 21.719 Chile: protección de datos 2026
La Ley Nº 21.719 moderniza la protección de datos personales en Chile y entra en vigencia el 1 de diciembre de 2026. Establece 8 principios rectores del tratamiento de datos, amplía los derechos ARCO de las personas, exige notificar brechas de seguridad en un máximo de 72 horas y crea la Agencia de Protección de Datos (APD) como nuevo organismo regulador. Las empresas que operan en Chile deben comenzar hoy su proceso de adecuación.
¿Qué es la Ley Nº 21.719?
La Ley Nº 21.719 es la nueva ley de protección de datos personales de Chile, que reemplaza la legislación anterior con un marco más moderno y exigente. Entra en vigencia el 1 de diciembre de 2026 y aplica a toda organización —pública o privada— que trate datos personales de personas naturales en Chile, independientemente de dónde esté ubicada su infraestructura tecnológica.
La ley eleva significativamente los estándares de privacidad en el país y los acerca al modelo europeo del GDPR. Establece obligaciones concretas sobre cómo recopilar, almacenar, usar y transferir datos personales, y define un régimen de sanciones que puede representar costos económicos importantes para las empresas que no cumplan.
Los 8 principios de la ley
La Ley Nº 21.719 se articula sobre ocho principios que deben guiar cualquier actividad de tratamiento de datos personales:
- Licitud (Lawfulness): el tratamiento debe tener una base legal válida —consentimiento del titular, relación contractual, obligación legal, interés legítimo u otra causa reconocida por la ley.
- Finalidad (Purpose): los datos solo pueden usarse para la finalidad para la que fueron recopilados. No pueden utilizarse de forma incompatible con ese propósito original.
- Proporcionalidad (Proportionality): solo deben recopilarse los datos estrictamente necesarios para la finalidad declarada. Guardar más datos de los necesarios es una infracción.
- Calidad (Quality): los datos deben ser exactos, actualizados y pertinentes. Las organizaciones deben establecer procesos para corregir datos incorrectos.
- Responsabilidad (Accountability): el responsable del tratamiento debe poder demostrar activamente que cumple con la ley, no basta con declarar que se cumple.
- Seguridad (Security): se deben aplicar medidas técnicas y organizativas adecuadas para proteger los datos contra accesos no autorizados, pérdida o destrucción.
- Transparencia (Transparency): los titulares deben ser informados de forma clara sobre quién trata sus datos, para qué, durante cuánto tiempo y cuáles son sus derechos.
- Confidencialidad (Confidentiality): las personas que acceden a datos personales en el ejercicio de sus funciones están obligadas a guardar reserva sobre ellos.
Estos ocho principios constituyen el estándar mínimo que toda organización en Chile deberá acreditar ante la APD.
Derechos ARCO ampliados
La ley amplía los derechos que tienen las personas sobre sus datos personales. El conjunto de derechos ARCO incluye:
- Acceso: cualquier persona puede solicitar información sobre qué datos tiene la organización sobre ella y cómo los usa.
- Rectificación: si los datos son inexactos o están desactualizados, el titular puede exigir su corrección.
- Cancelación (eliminación): cuando los datos ya no sean necesarios o el consentimiento sea retirado, el titular puede pedir su eliminación.
- Oposición: el titular puede oponerse al tratamiento de sus datos en determinadas circunstancias.
La ley también incorpora el derecho a la portabilidad de datos y el derecho a no ser objeto de decisiones automatizadas que produzcan efectos jurídicos significativos. Las organizaciones deberán contar con procesos internos claros y documentados para gestionar estas solicitudes dentro de los plazos que establezca la APD.
Una cultura de ciberseguridad sólida es indispensable para gestionar estos derechos de forma sostenida, no solo en respuesta a solicitudes puntuales.
Notificación de brechas en 72 horas y multas
Uno de los aspectos más exigentes de la Ley Nº 21.719 es la obligación de notificar brechas de datos a la APD en un máximo de 72 horas desde que la organización tiene conocimiento del incidente. En los casos en que los titulares de datos puedan verse afectados, también deberá comunicárseles a ellos.
El régimen sancionador es significativamente más severo que el anterior. Las infracciones pueden dar lugar a multas de hasta:
- 20.000 UTM (Unidades Tributarias Mensuales) en los casos más graves.
- O bien el 4% de los ingresos anuales de la organización, si este valor resultara superior.
Este régimen de doble umbral —el mayor entre la multa fija y el porcentaje de ingresos— sitúa las sanciones chilenas en un nivel comparable al GDPR europeo. Para una empresa mediana, el impacto puede ser sustancial.
Un programa robusto de gestión de vulnerabilidades reduce directamente el riesgo de brechas y acorta los tiempos de detección, lo que es crítico para cumplir con la ventana de notificación de 72 horas.
Nueva Agencia de Protección de Datos (APD)
La ley crea la Agencia de Protección de Datos (APD) como el nuevo organismo regulador independiente encargado de supervisar el cumplimiento, resolver reclamaciones y aplicar sanciones. La APD reemplaza el rol anterior de otros organismos y concentra la autoridad regulatoria en materia de privacidad de datos en Chile.
La APD tendrá facultades para realizar auditorías, exigir información a las organizaciones, dictar instrucciones y llevar adelante procedimientos sancionadores. Su creación implica que el cumplimiento de la normativa dejará de ser un asunto meramente formal para convertirse en objeto de supervisión activa.
Cómo prepararse antes de diciembre de 2026
El plazo hasta el 1 de diciembre de 2026 puede parecer amplio, pero los proyectos de adecuación en materia de privacidad de datos suelen requerir varios meses de trabajo. Las acciones prioritarias para las organizaciones en Chile incluyen:
- Inventario de datos: mapear qué datos personales se recopilan, dónde se almacenan, con qué finalidad y quién tiene acceso a ellos.
- Revisión de bases legales: verificar que cada actividad de tratamiento tiene una base legal válida bajo la nueva ley.
- Actualización de políticas: revisar y actualizar las políticas de privacidad, términos de uso y acuerdos de procesamiento de datos.
- Procesos ARCO: implementar mecanismos internos para recibir, gestionar y responder solicitudes de derechos ARCO dentro de los plazos exigidos.
- Protocolo de respuesta a brechas: definir el procedimiento para detectar, contener y notificar una brecha de datos dentro de las 72 horas.
- Capacitación: formar a los equipos sobre sus obligaciones bajo la nueva ley y sobre cómo identificar incidentes de privacidad.
El NIST Cybersecurity Framework ofrece una estructura reconocida internacionalmente para organizar los controles de seguridad que respaldan el cumplimiento normativo.
Contar con un programa estructurado de ciberseguridad es la base técnica sobre la que se construye el cumplimiento de la Ley Nº 21.719. La seguridad de los datos no es un requisito aislado: es el resultado de controles técnicos, organizativos y culturales que operan de forma continua.
¿Tu empresa necesita prepararse para la Ley Nº 21.719 antes de diciembre de 2026? En WhiteJaguars ayudamos a organizaciones en Chile a identificar brechas de cumplimiento e implementar los controles de seguridad necesarios. También puedes conocer el marco de ciberseguridad de la Ley Nº 21.663, que impone obligaciones adicionales a entidades reguladas por la CMF.