Inicio / Protección de Datos /Ley 21.719

Ley 21.719 de Protección de Datos

La Ley 21.719 es la nueva ley chilena de protección de datos personales, publicada el 13 de diciembre de 2024. Reemplaza el régimen de la Ley 19.628 e introduce una arquitectura regulatoria alineada con estándares internacionales como el RGPD, con obligaciones específicas de seguridad, transparencia y responsabilidad demostrable para las organizaciones que tratan datos personales en Chile.

Cambios Principales

Base Legal Obligatoria
Todo tratamiento requiere sustento legal específico
Derechos Exigibles
Titulares pueden ejercer derechos mediante procedimientos formales
Notificación de Brechas
72 horas para notificar incidentes a la autoridad
Régimen Sancionatorio
Multas de hasta 20.000 UTM por infracciones

Principios Fundamentales

Ocho principios vinculantes que requieren implementación mediante controles verificables

Licitud

Requiere base legal válida y documentación que la acredite. El responsable debe demostrar cumplimiento (accountability).

Finalidad

Fines determinados, explícitos y lícitos. El tratamiento posterior se limita a estas finalidades declaradas.

Seguridad

Medidas técnicas y organizacionales apropiadas al riesgo. Notificación de brechas en 72 horas.

Ver los 8 principios completos

Estructura de la Normativa

La ley organiza las obligaciones de cumplimiento en torno a principios rectores, derechos de los titulares, y deberes específicos del responsable del tratamiento.

Principios Fundamentales

La ley establece ocho principios que rigen el tratamiento de datos personales. Estos principios operan como obligaciones verificables que el responsable debe implementar y documentar.

Análisis detallado de cada principio

Derechos del Titular

La ley reconoce derechos específicos exigibles mediante procedimientos formales. El responsable debe responder dentro de plazos establecidos.

Procedimientos de atención de derechos

Obligaciones del Responsable

El responsable debe cumplir obligaciones específicas: información clara, registro de actividades, medidas de seguridad y notificación de brechas.

Detalle de obligaciones

Delegado de Protección de Datos

El Artículo 50 establece la obligación de designar un DPO para ciertos responsables. El DPO supervisa el cumplimiento y actúa como punto de contacto.

Requisitos y funciones del DPO

Derechos de los Titulares

Derechos exigibles mediante procedimientos formales. Plazo de respuesta: 15 días hábiles.

Acceso

Obtener confirmación sobre el tratamiento y acceder a los datos procesados.

Rectificación

Corregir datos inexactos o actualizar información incompleta.

Supresión

Eliminar datos cuando cesa la finalidad o se retira el consentimiento.

Portabilidad

Recibir datos en formato estructurado para transferencia a otro responsable.

Decisiones Automatizadas

Limitar decisiones basadas exclusivamente en procesamiento automatizado.

Procedimientos de atención

Cronología de Implementación

La ley establece un período de implementación gradual. La Agencia de Protección de Datos iniciará sus funciones en diciembre de 2026, momento en que entrará en vigor el régimen de fiscalización y sanciones.

DIC 2024

Promulgación de la Ley

Publicación oficial de la Ley 21.719 en el Diario Oficial el 13 de diciembre de 2024.

2025

Período de Transición

Fase de preparación y desarrollo de reglamentos complementarios por parte de la autoridad.

DIC 2026

Entrada en Vigencia Plena

Vigencia completa de la Ley 21.719 y funcionamiento de la Agencia de Protección de Datos.

Cifras Clave de la Nueva Legislación

Datos relevantes para la implementación de la normativa de protección de datos

24
Meses
Período de implementación hasta diciembre 2026
8
Principios
Principios rectores del tratamiento de datos
7
Derechos
Derechos fortalecidos del titular de datos
2026
Vigencia
Año de entrada en vigencia plena

Obligaciones, plazos y sanciones

El cumplimiento de la Ley 21.719 se estructura en obligaciones materiales del responsable, plazos legales acotados y un régimen sancionatorio escalado según gravedad.

Obligaciones principales

  • Identificar bases legales válidas para cada tratamiento y documentar la trazabilidad (principio de licitud y accountability).
  • Mantener un Registro de Actividades de Tratamiento (RAT) actualizado y disponible para la Agencia.
  • Designar un Delegado de Protección de Datos en los casos del artículo 47, incluyendo organismos públicos y tratamientos masivos o sensibles a gran escala.
  • Implementar medidas técnicas y organizacionales apropiadas al riesgo, conforme al principio de seguridad.
  • Suscribir contratos de encargo (DPA) con encargados del tratamiento que regulen instrucciones, confidencialidad y seguridad.

Plazos clave

  • 15 días hábiles para responder solicitudes de derechos del titular (acceso, rectificación, supresión, oposición, portabilidad).
  • 72 horas para notificar a la Agencia las brechas de seguridad con riesgo para los titulares.
  • 1 de diciembre de 2026: entrada en vigencia plena y operación efectiva del régimen sancionatorio.

Sanciones

  • Infracciones leves: multas de hasta 5.000 UTM.
  • Infracciones graves: multas de hasta 10.000 UTM, incluida la omisión de designar DPO cuando es obligatorio.
  • Infracciones gravísimas: multas de hasta 20.000 UTM, además de medidas correctivas y publicación de la sanción.

Preguntas frecuentes

¿Qué es la Ley 21.719?

Es la nueva ley chilena de protección de datos personales, publicada el 13 de diciembre de 2024. Reemplaza el régimen de la Ley 19.628 e introduce una arquitectura regulatoria alineada con estándares internacionales como el Reglamento General de Protección de Datos.

¿Cuándo entra en vigencia la Ley 21.719?

La Ley contempla un período de vacancia de 24 meses, por lo que su entrada en vigencia plena se produce el 1 de diciembre de 2026. Durante el plazo intermedio las organizaciones deben adecuar procesos y nombrar Delegados de Protección de Datos cuando corresponda.

¿Qué derechos reconoce a los titulares?

Acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento. Los responsables deben atender las solicitudes en plazos legales y mantener registros de evidencia.

¿Qué es el Delegado de Protección de Datos (DPO)?

Es la figura responsable de supervisar el cumplimiento del marco normativo dentro de la organización, asesorar a la dirección y servir de punto de contacto con la Agencia. Su designación es obligatoria para responsables del sector público y para organizaciones que efectúen tratamientos a gran escala.

¿Qué sanciones contempla la ley?

Multas que escalan según gravedad hasta 20.000 UTM por infracciones gravísimas. La Agencia de Protección de Datos Personales es la autoridad fiscalizadora, con potestad para imponer medidas correctivas y sanciones.

¿Qué obligaciones tiene el responsable del tratamiento?

Principios de licitud, finalidad, calidad y seguridad; deber de información al titular; mantención de registros de actividades de tratamiento; análisis de impacto cuando corresponda; notificación de brechas a la Agencia; y nombramiento de DPO en los casos previstos.

Lecturas relacionadas

Estas páginas profundizan en aspectos operativos del cumplimiento de la Ley 21.719 y su articulación con otras normativas chilenas.

Delegado de Protección de Datos (DPO)
Evaluación de Impacto en Protección de Datos
Transferencias Internacionales de Datos
Agencia de Protección de Datos Personales
Ley 21.663 de Ciberseguridad
Ley Fintec 21.521

Fuentes oficiales

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

Agendar ConsultaConocer al Equipo
© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Nuestra Empresa

Suscribirse al Newsletter

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.