Ley 21.719 de Protección de Datos
La Ley 21.719 es la nueva ley chilena de protección de datos personales, publicada el 13 de diciembre de 2024. Reemplaza el régimen de la Ley 19.628 e introduce una arquitectura regulatoria alineada con estándares internacionales como el RGPD, con obligaciones específicas de seguridad, transparencia y responsabilidad demostrable para las organizaciones que tratan datos personales en Chile.
Esta página reúne lo esencial de la Ley 21.719 para las empresas: los cambios principales que introduce, los principios que ordenan el tratamiento de datos y la estructura de la norma con sus temas centrales, los derechos de los titulares y la cronología de implementación, y las obligaciones, plazos y sanciones que aplican. Al cierre están las cifras clave, las preguntas frecuentes y las fuentes oficiales.
Cambios Principales
El punto de partida son cuatro cambios que reorganizan el cumplimiento respecto del régimen anterior.
Base Legal Obligatoria
Todo tratamiento requiere sustento legal específico
Derechos Exigibles
Titulares pueden ejercer derechos mediante procedimientos formales
Notificación de Brechas
72 horas para notificar incidentes a la autoridad
Régimen Sancionatorio
Multas de hasta 20.000 UTM por infracciones
Detrás de estos cambios están los principios que la ley convierte en obligaciones verificables.
Principios Fundamentales
Ocho principios vinculantes que requieren implementación mediante controles verificables
Licitud
Requiere base legal válida y documentación que la acredite. El responsable debe demostrar cumplimiento (accountability).
Finalidad
Fines determinados, explícitos y lícitos. El tratamiento posterior se limita a estas finalidades declaradas.
Seguridad
Medidas técnicas y organizacionales apropiadas al riesgo. Notificación de brechas en 72 horas.
Ver los 8 principios completos →
Los principios se concretan en una estructura de temas que la ley desarrolla por separado.
Estructura de la Normativa
La ley organiza las obligaciones de cumplimiento en torno a principios rectores, derechos de los titulares, y deberes específicos del responsable del tratamiento.
Principios Fundamentales
La ley establece ocho principios que rigen el tratamiento de datos personales. Estos principios operan como obligaciones verificables que el responsable debe implementar y documentar.
Derechos del Titular
La ley reconoce derechos específicos exigibles mediante procedimientos formales. El responsable debe responder dentro de plazos establecidos.
Obligaciones del Responsable
El responsable debe cumplir obligaciones específicas: información clara, registro de actividades, medidas de seguridad y notificación de brechas.
Delegado de Protección de Datos
El Artículo 50 establece la obligación de designar un DPO para ciertos responsables. El DPO supervisa el cumplimiento y actúa como punto de contacto.
Entre esos temas, los derechos de los titulares se detallan a continuación.
Derechos de los Titulares
Derechos exigibles mediante procedimientos formales. Plazo de respuesta: 15 días hábiles.
Acceso
Obtener confirmación sobre el tratamiento y acceder a los datos procesados.
Rectificación
Corregir datos inexactos o actualizar información incompleta.
Supresión
Eliminar datos cuando cesa la finalidad o se retira el consentimiento.
Portabilidad
Recibir datos en formato estructurado para transferencia a otro responsable.
Decisiones Automatizadas
Limitar decisiones basadas exclusivamente en procesamiento automatizado.
Ver implicancias de la inteligencia artificial en la empresa →
Todo lo anterior se enmarca en un calendario de aplicación con hitos definidos.
Cronología de Implementación
La ley establece un período de implementación gradual. La Agencia de Protección de Datos iniciará sus funciones en diciembre de 2026, momento en que entrará en vigor el régimen de fiscalización y sanciones.
- DIC 2024Promulgación de la Ley
Publicación oficial de la Ley 21.719 en el Diario Oficial el 13 de diciembre de 2024.
- 2025Período de Transición
Fase de preparación y desarrollo de reglamentos complementarios por parte de la autoridad.
- DIC 2026Entrada en Vigencia Plena
Vigencia completa de la Ley 21.719 y funcionamiento de la Agencia de Protección de Datos.
Sobre esa cronología se ordenan las obligaciones concretas, sus plazos y las sanciones asociadas.
Obligaciones, plazos y sanciones
El cumplimiento de la Ley 21.719 se estructura en obligaciones materiales del responsable, plazos legales acotados y un régimen sancionatorio escalado según gravedad.
Obligaciones principales
- Identificar bases legales válidas para cada tratamiento y documentar la trazabilidad (principio de licitud y accountability).
- Mantener un Registro de Actividades de Tratamiento (RAT) actualizado y disponible para la Agencia.
- Designar un Delegado de Protección de Datos en los casos del artículo 47, incluyendo organismos públicos y tratamientos masivos o sensibles a gran escala.
- Implementar medidas técnicas y organizacionales apropiadas al riesgo, conforme al principio de seguridad.
- Suscribir contratos de encargo (DPA) con encargados del tratamiento que regulen instrucciones, confidencialidad y seguridad.
Plazos clave
- 15 días hábiles para responder solicitudes de derechos del titular (acceso, rectificación, supresión, oposición, portabilidad).
- 72 horas para notificar a la Agencia las brechas de seguridad con riesgo para los titulares.
- 1 de diciembre de 2026: entrada en vigencia plena y operación efectiva del régimen sancionatorio.
Sanciones
- Infracciones leves: multas de hasta 5.000 UTM.
- Infracciones graves: multas de hasta 10.000 UTM, incluida la omisión de designar DPO cuando es obligatorio.
- Infracciones gravísimas: multas de hasta 20.000 UTM, además de medidas correctivas y publicación de la sanción.
El alcance de la ley se resume en unas pocas cifras.
Cifras Clave de la Nueva Legislación
Datos relevantes para la implementación de la normativa de protección de datos
Preguntas frecuentes
Las consultas más habituales sobre la ley y su implementación.
¿Qué es la Ley 21.719?
Es la nueva ley chilena de protección de datos personales, publicada el 13 de diciembre de 2024. Reemplaza el régimen de la Ley 19.628 e introduce una arquitectura regulatoria alineada con estándares internacionales como el Reglamento General de Protección de Datos.
¿Cuándo entra en vigencia la Ley 21.719?
La Ley contempla un período de vacancia de 24 meses, por lo que su entrada en vigencia plena se produce el 1 de diciembre de 2026. Durante el plazo intermedio las organizaciones deben adecuar procesos y nombrar Delegados de Protección de Datos cuando corresponda.
¿Qué derechos reconoce a los titulares?
Acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento. Los responsables deben atender las solicitudes en plazos legales y mantener registros de evidencia.
¿Qué es el Delegado de Protección de Datos (DPO)?
Es la figura responsable de supervisar el cumplimiento del marco normativo dentro de la organización, asesorar a la dirección y servir de punto de contacto con la Agencia. Su designación es obligatoria para responsables del sector público y para organizaciones que efectúen tratamientos a gran escala.
¿Qué sanciones contempla la ley?
Multas que escalan según gravedad hasta 20.000 UTM por infracciones gravísimas. La Agencia de Protección de Datos Personales es la autoridad fiscalizadora, con potestad para imponer medidas correctivas y sanciones.
¿Qué obligaciones tiene el responsable del tratamiento?
Principios de licitud, finalidad, calidad y seguridad; deber de información al titular; mantención de registros de actividades de tratamiento; análisis de impacto cuando corresponda; notificación de brechas a la Agencia; y nombramiento de DPO en los casos previstos.
Fuentes oficiales
Servicios relacionados
Explora prácticas complementarias y análisis normativos de nuestro equipo.
Principios del tratamiento
Los principios del artículo 3 que ordenan todo tratamiento de datos personales.
Derechos del titular
Acceso, rectificación, supresión, oposición y portabilidad: cómo se ejercen y responden.
Obligaciones del responsable
Deberes de información, seguridad y reporte de vulneraciones de quien trata datos.
Notificación de brechas
A quién reportar una vulneración de seguridad y en qué plazo (artículo 14 sexies).
Delegado de Protección de Datos
Designación voluntaria (artículo 50), funciones y su rol en el modelo de prevención.
Agencia de Protección de Datos
Facultades normativas, de fiscalización y sanción de la nueva autoridad.
Sanciones y multas
Infracciones leves, graves y gravísimas: multas de hasta 20.000 UTM (artículo 35).
Responsabilidad del directorio
La empresa responde con multas de hasta 20.000 UTM; el directorio, por su deber de cuidado.
Transferencias internacionales
Cuándo procede transferir datos fuera de Chile y con qué resguardos.
Evaluación de impacto
Cuándo exige la ley una evaluación de impacto y cómo se ejecuta.
¿Qué pasa si no cumplo en 2026?
La vigencia del 1 de diciembre de 2026: infracciones exigibles, registro público y atenuantes.
¿Consentimiento o interés legítimo?
Cómo elegir la base de licitud de cada tratamiento (artículos 12 y 13).
IA y datos personales
Usar IA con datos de clientes: base de licitud, transferencias y decisiones automatizadas.
Diagnóstico Ley de Datos
Brechas de su empresa frente a la Ley 21.719: tratamientos, bases de licitud y deberes.
Ley 21.663 de Ciberseguridad
La ley marco: ANCI, servicios esenciales, obligaciones y plazos.
IA & Empresa
Gobernanza de la inteligencia artificial en la empresa: riesgos y marco aplicable.
Conversemos sobre los desafíos legales de su empresa
Agende una conversación inicial con nuestro equipo.