¿Qué pasa si mi empresa no cumple la Ley de Datos el 1 de diciembre de 2026?

Ese día se hacen exigibles las modificaciones de la Ley 21.719 a la Ley 19.628 y la Agencia de Protección de Datos Personales puede sancionar. La pregunta que vale la pena responder es cuáles de los tratamientos actuales de su empresa calzarían hoy en una categoría de infracción.

La respuesta corta

La Ley 21.719 entra en vigencia el 1 de diciembre de 2026. Desde esa fecha, la Agencia de Protección de Datos Personales puede aplicar multas de hasta 5.000 UTM por infracciones leves, 10.000 UTM por graves y 20.000 UTM por gravísimas (artículo 35, Ley 19.628). No hay período de gracia.

La multa no es toda la exposición. Las sanciones quedan consignadas en un registro público (artículo 39), la responsabilidad civil frente a los titulares corre por cuerda separada (artículo 34) y la reincidencia escala los montos. La empresa que se prepara a tiempo también gana algo concreto: la ley la premia con atenuantes expresas (artículo 36).

De dónde sale la fecha

La Ley 21.719 se publicó en el Diario Oficial el 13 de diciembre de 2024. Su artículo primero transitorio fija la entrada en vigencia de las modificaciones a la Ley 19.628 para el día primero del mes vigésimo cuarto posterior a la publicación: el 1 de diciembre de 2026. La misma ley ordenó preparar la fiscalización con anticipación: los reglamentos dentro de los seis meses desde la publicación y el Consejo Directivo de la Agencia designado seis meses antes de la vigencia (artículos segundo y cuarto transitorios).

Las infracciones exigibles desde esa fecha

El artículo 34 de la Ley 19.628 clasifica las infracciones en leves, graves y gravísimas, y los artículos 34 bis a 34 quáter las enumeran. No son escenarios exóticos: varias describen prácticas rutinarias de empresas que nunca adaptaron sus tratamientos.

Leves: hasta 5.000 UTM

Deberes formales

Amonestación escrita o multa. Incluyen incumplir el deber de información y transparencia (artículo 14 ter), carecer de un canal de contacto actualizado y operativo para los titulares y responder tarde o en forma incompleta sus solicitudes de derechos (artículo 34 bis).

Graves: hasta 10.000 UTM

Tratar sin base de licitud

Incluyen tratar datos personales sin consentimiento ni otra base de licitud, o para un fin distinto; ceder datos sin consentimiento cuando este es necesario; e impedir u obstaculizar el ejercicio de los derechos de acceso, rectificación, supresión, oposición o portabilidad (artículo 34 ter).

Gravísimas: hasta 20.000 UTM

Conductas a sabiendas

Incluyen el tratamiento fraudulento; tratar o ceder a sabiendas datos sensibles o de niños, niñas y adolescentes en contravención a la ley; omitir en forma deliberada la comunicación de vulneraciones de seguridad; y las transferencias internacionales ilícitas a sabiendas (artículo 34 quáter).

Los topes no son el techo en todos los casos. Si la empresa no subsana las causales dentro de sesenta días, la multa cursada sube un 50%. La reincidencia permite a la Agencia aplicar hasta el triple del monto y, en empresas que superan el umbral de menor tamaño de la Ley 20.416, hasta el 2% o 4% de los ingresos anuales del giro por reincidencia grave o gravísima (artículo 35). El régimen completo está en sanciones y multas de la Ley 21.719.

El costo que no aparece en la multa

El artículo 39 de la Ley 19.628 crea el Registro Nacional de Sanciones y Cumplimiento: público, de acceso gratuito y electrónico. Una sanción no queda entre la empresa y la Agencia; pasa a ser verificable por clientes, bancos, aseguradoras y contrapartes en un due diligence. Y el artículo 34 explicita que la responsabilidad administrativa corre sin perjuicio de la responsabilidad civil o penal frente a los titulares afectados.

Lo que la ley reconoce a quien se prepara

El artículo 36 enumera atenuantes expresas: la reparación unilateral, la colaboración con la Agencia, la ausencia de sanciones previas, la autodenuncia y el cumplimiento diligente de los deberes de supervisión acreditado con certificación. Esa certificación nace del modelo de prevención de infracciones del artículo 49: un programa de cumplimiento voluntario que exige, entre otros elementos, designar un delegado de protección de datos. La Agencia lo certifica e incorpora a las entidades certificadas al registro público (artículo 51).

La lógica es la misma que aplica la Ley 20.393 en materia penal: el programa es voluntario, sus efectos no. La empresa que documenta prevención antes de la infracción litiga desde una posición distinta a la que improvisa después.

Qué debe estar operativo el 1 de diciembre

  • Un inventario de los tratamientos de datos, cada uno con su base de licitud identificada: consentimiento (artículo 12) u otra fuente de licitud (artículo 13). Cómo elegir entre ellas se explica en consentimiento o interés legítimo.
  • Procedimientos y plazos para responder las solicitudes de acceso, rectificación, supresión, oposición y portabilidad de los titulares.
  • El deber de información y transparencia cubierto: política de privacidad disponible y canal de contacto operativo (artículo 14 ter).
  • Medidas de seguridad proporcionales al tratamiento (artículo 14 quinquies) y un protocolo para reportar vulneraciones a la Agencia sin dilaciones indebidas (artículo 14 sexies).
  • Contratos vigentes con los encargados de tratamiento que fijen instrucciones, finalidades y medidas de seguridad.
  • Una decisión documentada sobre designar un delegado de protección de datos y adoptar el modelo de prevención del artículo 49.

¿Dónde está su empresa hoy?

El diagnóstico Ley de Datos contrasta los tratamientos actuales de su empresa contra las obligaciones exigibles desde el 1 de diciembre de 2026 y entrega una lista de brechas priorizada por categoría de infracción.

Solicitar el diagnóstico Ley de Datos

Preguntas frecuentes

¿Cuándo entra en vigencia la Ley 21.719?

El 1 de diciembre de 2026. La ley se publicó en el Diario Oficial el 13 de diciembre de 2024 y su artículo primero transitorio fija la entrada en vigencia de las modificaciones a la Ley 19.628 para el día primero del mes vigésimo cuarto posterior a la publicación.

¿Existe un período de gracia o una prórroga?

No. Las disposiciones transitorias de la Ley 21.719 no contemplan gracia ni marcha blanca. Al contrario, ordenan preparar la fiscalización con anticipación: los reglamentos debían dictarse dentro de los seis meses desde la publicación y el Consejo Directivo de la Agencia se designa seis meses antes de la vigencia (artículos segundo y cuarto transitorios).

¿Cuáles son las multas máximas?

Hasta 5.000 UTM por infracciones leves, hasta 10.000 UTM por graves y hasta 20.000 UTM por gravísimas (artículo 35, Ley 19.628). Si la empresa no subsana las causales dentro de sesenta días, la multa cursada sube un 50%. La reincidencia permite aplicar hasta el triple del monto y, en empresas que no califican como de menor tamaño, hasta el 2% o 4% de los ingresos anuales del giro.

¿La ley aplica también a las pymes?

Sí. El artículo 33 alcanza a todo responsable de datos, sea persona natural o jurídica, de derecho público o privado. La ley reconoce la diferencia de tamaño en la dosificación: la Agencia debe fijar estándares y medidas diferenciadas considerando a las empresas de menor tamaño (artículo 14 septies), y las multas por porcentaje de ingresos solo aplican a empresas mayores.

¿Es obligatorio el modelo de prevención de infracciones?

No, es voluntario (artículo 49). Sus efectos no lo son: el cumplimiento diligente acreditado con la certificación de la Agencia es circunstancia atenuante (artículo 36 N° 5), y las entidades certificadas se incorporan al Registro Nacional de Sanciones y Cumplimiento, un registro público (artículos 39 y 51).

Fuentes oficiales

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.