Protección de datos personales

Ley 21.719 de Protección de Datos

La Ley 21.719 es la nueva ley chilena de protección de datos personales, publicada el 13 de diciembre de 2024. Reemplaza el régimen de la Ley 19.628 e introduce una arquitectura regulatoria alineada con estándares internacionales como el RGPD, con obligaciones específicas de seguridad, transparencia y responsabilidad demostrable para las organizaciones que tratan datos personales en Chile.

Esta página reúne lo esencial de la Ley 21.719 para las empresas: los cambios principales que introduce, los principios que ordenan el tratamiento de datos y la estructura de la norma con sus temas centrales, los derechos de los titulares y la cronología de implementación, y las obligaciones, plazos y sanciones que aplican. Al cierre están las cifras clave, las preguntas frecuentes y las fuentes oficiales.

Cambios Principales

El punto de partida son cuatro cambios que reorganizan el cumplimiento respecto del régimen anterior.

Base Legal Obligatoria

Todo tratamiento requiere sustento legal específico

Derechos Exigibles

Titulares pueden ejercer derechos mediante procedimientos formales

Notificación de Brechas

72 horas para notificar incidentes a la autoridad

Régimen Sancionatorio

Multas de hasta 20.000 UTM por infracciones

Detrás de estos cambios están los principios que la ley convierte en obligaciones verificables.

Principios Fundamentales

Ocho principios vinculantes que requieren implementación mediante controles verificables

Licitud

Requiere base legal válida y documentación que la acredite. El responsable debe demostrar cumplimiento (accountability).

Finalidad

Fines determinados, explícitos y lícitos. El tratamiento posterior se limita a estas finalidades declaradas.

Seguridad

Medidas técnicas y organizacionales apropiadas al riesgo. Notificación de brechas en 72 horas.

Ver los 8 principios completos

Los principios se concretan en una estructura de temas que la ley desarrolla por separado.

Estructura de la Normativa

La ley organiza las obligaciones de cumplimiento en torno a principios rectores, derechos de los titulares, y deberes específicos del responsable del tratamiento.

Principios Fundamentales

La ley establece ocho principios que rigen el tratamiento de datos personales. Estos principios operan como obligaciones verificables que el responsable debe implementar y documentar.

Análisis detallado de cada principio

Derechos del Titular

La ley reconoce derechos específicos exigibles mediante procedimientos formales. El responsable debe responder dentro de plazos establecidos.

Procedimientos de atención de derechos

Obligaciones del Responsable

El responsable debe cumplir obligaciones específicas: información clara, registro de actividades, medidas de seguridad y notificación de brechas.

Detalle de obligaciones

Delegado de Protección de Datos

El Artículo 50 establece la obligación de designar un DPO para ciertos responsables. El DPO supervisa el cumplimiento y actúa como punto de contacto.

Requisitos y funciones del DPO

Entre esos temas, los derechos de los titulares se detallan a continuación.

Derechos de los Titulares

Derechos exigibles mediante procedimientos formales. Plazo de respuesta: 15 días hábiles.

Acceso

Obtener confirmación sobre el tratamiento y acceder a los datos procesados.

Rectificación

Corregir datos inexactos o actualizar información incompleta.

Supresión

Eliminar datos cuando cesa la finalidad o se retira el consentimiento.

Portabilidad

Recibir datos en formato estructurado para transferencia a otro responsable.

Decisiones Automatizadas

Limitar decisiones basadas exclusivamente en procesamiento automatizado.

Ver implicancias de la inteligencia artificial en la empresa

Procedimientos de atención

Todo lo anterior se enmarca en un calendario de aplicación con hitos definidos.

Cronología de Implementación

La ley establece un período de implementación gradual. La Agencia de Protección de Datos iniciará sus funciones en diciembre de 2026, momento en que entrará en vigor el régimen de fiscalización y sanciones.

  1. DIC 2024
    Promulgación de la Ley

    Publicación oficial de la Ley 21.719 en el Diario Oficial el 13 de diciembre de 2024.

  2. 2025
    Período de Transición

    Fase de preparación y desarrollo de reglamentos complementarios por parte de la autoridad.

  3. DIC 2026
    Entrada en Vigencia Plena

    Vigencia completa de la Ley 21.719 y funcionamiento de la Agencia de Protección de Datos.

Sobre esa cronología se ordenan las obligaciones concretas, sus plazos y las sanciones asociadas.

Obligaciones, plazos y sanciones

El cumplimiento de la Ley 21.719 se estructura en obligaciones materiales del responsable, plazos legales acotados y un régimen sancionatorio escalado según gravedad.

Obligaciones principales

  • Identificar bases legales válidas para cada tratamiento y documentar la trazabilidad (principio de licitud y accountability).
  • Mantener un Registro de Actividades de Tratamiento (RAT) actualizado y disponible para la Agencia.
  • Designar un Delegado de Protección de Datos en los casos del artículo 47, incluyendo organismos públicos y tratamientos masivos o sensibles a gran escala.
  • Implementar medidas técnicas y organizacionales apropiadas al riesgo, conforme al principio de seguridad.
  • Suscribir contratos de encargo (DPA) con encargados del tratamiento que regulen instrucciones, confidencialidad y seguridad.

Plazos clave

  • 15 días hábiles para responder solicitudes de derechos del titular (acceso, rectificación, supresión, oposición, portabilidad).
  • 72 horas para notificar a la Agencia las brechas de seguridad con riesgo para los titulares.
  • 1 de diciembre de 2026: entrada en vigencia plena y operación efectiva del régimen sancionatorio.

Sanciones

  • Infracciones leves: multas de hasta 5.000 UTM.
  • Infracciones graves: multas de hasta 10.000 UTM, incluida la omisión de designar DPO cuando es obligatorio.
  • Infracciones gravísimas: multas de hasta 20.000 UTM, además de medidas correctivas y publicación de la sanción.

El alcance de la ley se resume en unas pocas cifras.

Cifras Clave de la Nueva Legislación

Datos relevantes para la implementación de la normativa de protección de datos

24
Meses
Período de implementación hasta diciembre 2026
8
Principios
Principios rectores del tratamiento de datos
7
Derechos
Derechos fortalecidos del titular de datos
2026
Vigencia
Año de entrada en vigencia plena

Preguntas frecuentes

Las consultas más habituales sobre la ley y su implementación.

¿Qué es la Ley 21.719?

Es la nueva ley chilena de protección de datos personales, publicada el 13 de diciembre de 2024. Reemplaza el régimen de la Ley 19.628 e introduce una arquitectura regulatoria alineada con estándares internacionales como el Reglamento General de Protección de Datos.

¿Cuándo entra en vigencia la Ley 21.719?

La Ley contempla un período de vacancia de 24 meses, por lo que su entrada en vigencia plena se produce el 1 de diciembre de 2026. Durante el plazo intermedio las organizaciones deben adecuar procesos y nombrar Delegados de Protección de Datos cuando corresponda.

¿Qué derechos reconoce a los titulares?

Acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento. Los responsables deben atender las solicitudes en plazos legales y mantener registros de evidencia.

¿Qué es el Delegado de Protección de Datos (DPO)?

Es la figura responsable de supervisar el cumplimiento del marco normativo dentro de la organización, asesorar a la dirección y servir de punto de contacto con la Agencia. Su designación es obligatoria para responsables del sector público y para organizaciones que efectúen tratamientos a gran escala.

¿Qué sanciones contempla la ley?

Multas que escalan según gravedad hasta 20.000 UTM por infracciones gravísimas. La Agencia de Protección de Datos Personales es la autoridad fiscalizadora, con potestad para imponer medidas correctivas y sanciones.

¿Qué obligaciones tiene el responsable del tratamiento?

Principios de licitud, finalidad, calidad y seguridad; deber de información al titular; mantención de registros de actividades de tratamiento; análisis de impacto cuando corresponda; notificación de brechas a la Agencia; y nombramiento de DPO en los casos previstos.

Fuentes oficiales

Explora prácticas complementarias y análisis normativos de nuestro equipo.

Principios del tratamiento

Los principios del artículo 3 que ordenan todo tratamiento de datos personales.

Derechos del titular

Acceso, rectificación, supresión, oposición y portabilidad: cómo se ejercen y responden.

Obligaciones del responsable

Deberes de información, seguridad y reporte de vulneraciones de quien trata datos.

Notificación de brechas

A quién reportar una vulneración de seguridad y en qué plazo (artículo 14 sexies).

Delegado de Protección de Datos

Designación voluntaria (artículo 50), funciones y su rol en el modelo de prevención.

Agencia de Protección de Datos

Facultades normativas, de fiscalización y sanción de la nueva autoridad.

Sanciones y multas

Infracciones leves, graves y gravísimas: multas de hasta 20.000 UTM (artículo 35).

Responsabilidad del directorio

La empresa responde con multas de hasta 20.000 UTM; el directorio, por su deber de cuidado.

Transferencias internacionales

Cuándo procede transferir datos fuera de Chile y con qué resguardos.

Evaluación de impacto

Cuándo exige la ley una evaluación de impacto y cómo se ejecuta.

¿Qué pasa si no cumplo en 2026?

La vigencia del 1 de diciembre de 2026: infracciones exigibles, registro público y atenuantes.

¿Consentimiento o interés legítimo?

Cómo elegir la base de licitud de cada tratamiento (artículos 12 y 13).

IA y datos personales

Usar IA con datos de clientes: base de licitud, transferencias y decisiones automatizadas.

Diagnóstico Ley de Datos

Brechas de su empresa frente a la Ley 21.719: tratamientos, bases de licitud y deberes.

Ley 21.663 de Ciberseguridad

La ley marco: ANCI, servicios esenciales, obligaciones y plazos.

IA & Empresa

Gobernanza de la inteligencia artificial en la empresa: riesgos y marco aplicable.

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.