¿Qué es la Ley 21.719 de Protección de Datos?
Es la nueva ley que regula cómo las empresas y negocios en Chile pueden recopilar, almacenar, usar y compartir datos personales. Fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entra en vigencia el 1 de diciembre de 2026.
En simple: si guardas el nombre, RUT, correo, teléfono o cualquier dato de tus clientes, proveedores o empleados, esta ley te dice qué puedes y qué no puedes hacer con esa información.
Chile tenía una ley de datos personales desde 1999 (Ley 19.628), pero era débil y casi nadie la cumplía porque no había un organismo que fiscalizara. La Ley 21.719 cambia eso: crea la Agencia de Protección de Datos Personales, con facultades reales de fiscalización y sanción.
¿Cuándo entra en vigencia?
El 1 de diciembre de 2026. Faltan menos de 8 meses.
Eso significa que si tu negocio todavía no ha hecho nada para cumplir, el reloj corre. No es un tema para "ver después". La agencia fiscalizadora ya se está conformando y las primeras fiscalizaciones pueden empezar en los primeros meses de 2027.
¿A quién le aplica?
A todo negocio o empresa que trate datos personales en Chile. No importa el tamaño. Si tienes una planilla de Excel con los nombres y teléfonos de tus clientes, te aplica.
Aplica si:
- Tienes una base de datos de clientes (nombre, RUT, correo, teléfono)
- Envías correos comerciales o mensajes de WhatsApp a tu base
- Usas cámaras de seguridad que graban a personas
- Registras datos de tus empleados más allá de lo estrictamente laboral
- Usas herramientas digitales que recopilan datos de navegación (Google Analytics, Pixel de Facebook)
- Tienes un sistema de fidelización que registra historial de compras
En la práctica: si tienes un negocio con clientes, te aplica.
¿Qué datos están protegidos?
La ley protege los datos personales, que son cualquier información que identifica o puede identificar a una persona:
Datos personales comunes
- Nombre completo
- RUT
- Dirección
- Correo electrónico
- Número de teléfono
- Datos bancarios
- Historial de compras
Datos sensibles (protección reforzada)
- Datos de salud
- Origen étnico o racial
- Opiniones políticas
- Creencias religiosas
- Orientación sexual
- Datos biométricos (huella dactilar, reconocimiento facial)
- Datos genéticos
Los datos sensibles requieren consentimiento explícito del titular y tienen restricciones adicionales de uso. Si tu negocio maneja datos de salud (clínicas, farmacias, seguros), presta especial atención.
¿Cuáles son las obligaciones principales?
1. Base de licitud
Necesitas una razón legal válida para tratar datos personales. Las principales son:
- Consentimiento: el titular te dio permiso explícito
- Ejecución de contrato: necesitas los datos para cumplir un contrato (ej: dirección de envío para una compra)
- Obligación legal: la ley te obliga a tener esos datos (ej: RUT para facturación)
- Interés legítimo: tienes un motivo razonable y proporcionado (ej: marketing directo a clientes existentes, con opción de darse de baja)
Ya no vale el "por si acaso". Si recopilas un dato, debes saber para qué y bajo qué base legal.
2. Informar al titular
Debes decirle a la persona qué datos recopilas, para qué, durante cuánto tiempo, y con quién los compartes. Esto se hace mediante:
- Una política de privacidad clara y accesible en tu sitio web
- Un aviso al momento de recopilar datos (formularios, registro, compra)
- Información clara sobre los derechos del titular
3. Derechos de los titulares (ARCO)
Las personas tienen derecho a:
- Acceso: saber qué datos tienes de ellos
- Rectificación: corregir datos incorrectos
- Cancelación: pedir que elimines sus datos
- Oposición: negarse al tratamiento de sus datos para ciertos fines
Tu negocio debe tener un mecanismo para recibir y responder estas solicitudes en un plazo máximo de 30 días.
4. Seguridad de los datos
Debes implementar medidas técnicas y organizativas para proteger los datos:
- Acceso restringido (no todo el mundo accede a toda la base)
- Contraseñas robustas y autenticación de dos factores
- Encriptación de datos sensibles
- Respaldos periódicos
- Registro de quién accede a qué datos
5. Notificación de brechas
Si sufres una filtración de datos, debes notificar a la Agencia de Protección de Datos y a los titulares afectados. El plazo es "sin dilación indebida", que en la práctica significa dentro de las 72 horas siguientes a detectar la brecha.
6. Registro de actividades de tratamiento
Debes documentar qué datos tratas, con qué finalidad, quién es el responsable, y durante cuánto tiempo los conservas. Es un registro interno, pero la Agencia puede pedirlo en una fiscalización.
¿Cuáles son las multas y sanciones?
La ley clasifica las infracciones en tres niveles:
| Tipo | Multa | Ejemplo |
|---|---|---|
| Leve | 1 a 100 UTM ($67.000 - $6.700.000) | No tener política de privacidad actualizada |
| Grave | 101 a 5.000 UTM ($6.767.000 - $335.000.000) | Tratar datos sin base de licitud, no responder solicitudes ARCO |
| Gravísima | 5.001 a 10.000 UTM ($335.067.000 - $670.000.000) | Tratar datos sensibles sin consentimiento, obstruir fiscalización |
Además de las multas, la Agencia puede ordenar:
- Suspensión del tratamiento de datos
- Eliminación de bases de datos obtenidas ilegalmente
- Publicación de la sanción (daño reputacional)
Para un negocio que factura $100 millones al año, una multa grave puede representar más del 3% de sus ingresos anuales. No es menor.
Pasos concretos para preparar tu negocio
No necesitas contratar un abogado de $500.000 la hora ni implementar un sistema de millones. Estos son los pasos prácticos:
Paso 1: Haz un inventario de datos (semana 1-2)
Responde estas preguntas:
- ¿Qué datos personales tienes? (nombres, RUT, correos, teléfonos, direcciones)
- ¿Dónde están almacenados? (ERP, planillas Excel, correo, CRM, carpetas compartidas)
- ¿Para qué los usas? (facturación, marketing, despacho, cobranza)
- ¿Quién tiene acceso? (qué personas de tu equipo pueden ver qué datos)
- ¿Los compartes con terceros? (contador, plataforma de email marketing, servicio de despacho)
Escríbelo en un documento simple. No necesita ser un informe formal de 50 páginas.
Paso 2: Define tu base de licitud (semana 2-3)
Para cada tipo de dato que tienes, identifica por qué lo tienes:
- RUT del cliente para facturación: obligación legal (el SII lo exige)
- Correo para enviar promociones: consentimiento (el cliente aceptó recibirlas)
- Dirección para despacho: ejecución de contrato (necesitas la dirección para entregar)
- Historial de compras para ofertas personalizadas: interés legítimo (con opción de darse de baja)
Paso 3: Actualiza tu política de privacidad (semana 3)
Tu sitio web necesita una política de privacidad que explique en lenguaje claro:
- Qué datos recopilas
- Para qué los usas
- Con quién los compartes
- Durante cuánto tiempo los conservas
- Cómo pueden ejercer sus derechos los titulares
- Datos de contacto del responsable
Si no tienes sitio web, incluye esta información en tus contratos o en el documento que entregues al cliente al momento de recopilar sus datos.
Paso 4: Implementa un canal para solicitudes ARCO (semana 4)
Puede ser tan simple como un correo dedicado (datos@tunegocio.cl) donde las personas puedan:
- Pedir saber qué datos tienes de ellos
- Solicitar correcciones
- Pedir eliminación de sus datos
- Oponerse al uso de sus datos para marketing
Define un proceso interno: quién recibe la solicitud, quién la resuelve, y en qué plazo (máximo 30 días).
Paso 5: Revisa la seguridad de tus datos (semana 4-6)
Medidas básicas que todo negocio debería tener:
- Contraseñas únicas y seguras para cada sistema
- Autenticación de dos factores en correo y ERP
- Acceso restringido: cada persona accede solo a los datos que necesita
- Respaldos automáticos de bases de datos
- Antivirus y firewall actualizados
No necesitas un departamento de ciberseguridad. Necesitas las medidas básicas bien implementadas.
Paso 6: Documenta todo (semana 6-8)
Crea un registro simple con:
- Actividades de tratamiento de datos
- Bases de licitud para cada una
- Medidas de seguridad implementadas
- Procedimiento para solicitudes ARCO
- Procedimiento para notificación de brechas
Este registro es tu respaldo ante una fiscalización. Sin él, es tu palabra contra la de la Agencia.
¿Cómo puede la IA ayudarte a cumplir?
Puede sonar contradictorio: usar IA (que procesa datos) para cumplir con una ley de protección de datos. Pero tiene todo el sentido.
Clasificación automática de datos personales
Si tienes datos personales repartidos en correos, planillas, documentos y sistemas, la IA puede escanear todo y clasificar dónde hay datos personales, de qué tipo, y quién es el titular. Eso automatiza el inventario del Paso 1.
Gestión de solicitudes ARCO
Cuando un titular pide acceso o eliminación de sus datos, la IA puede buscar automáticamente en todos tus sistemas dónde están los datos de esa persona y generar el informe o ejecutar la eliminación. Lo que manualmente tomaría horas, se hace en minutos.
Monitoreo de cumplimiento
La IA puede revisar continuamente que tus procesos cumplan con la política: detectar si alguien exportó datos sin autorización, si hay datos almacenados más allá del plazo definido, o si un nuevo formulario recopila datos sin la información de privacidad correspondiente.
Detección de brechas
Sistemas con IA pueden detectar accesos inusuales a datos personales (un empleado que descarga toda la base de clientes a las 3 AM, por ejemplo) y generar alertas inmediatas.
En TeFaltaEsto implementamos estas funcionalidades como parte de nuestros sprints de implementación de IA. Si vas a automatizar procesos que involucran datos personales, el cumplimiento legal viene incluido en el diseño.
¿Qué pasa si no hago nada?
Tres riesgos concretos:
Multas: de $67.000 a $670 millones CLP dependiendo de la gravedad. Las primeras fiscalizaciones probablemente se enfoquen en empresas que manejan datos masivos, pero las denuncias de clientes pueden activar una fiscalización a cualquier negocio.
Daño reputacional: si un cliente denuncia que no eliminaste sus datos cuando lo pidió, y la Agencia te sanciona, esa sanción puede ser pública. Para un negocio local, eso duele.
Pérdida de clientes: a medida que la gente se entere de sus derechos (y se va a enterar, porque va a haber mucha cobertura mediática), van a preferir negocios que respeten su privacidad. "Nosotros cumplimos con la ley de datos" va a ser un diferenciador.
Preguntas frecuentes
¿Cuándo entra en vigor la Ley de Protección de Datos en Chile?
La Ley 21.719 entra en vigencia el 1 de diciembre de 2026. Faltan menos de 8 meses para estar en cumplimiento.
¿A quién aplica la Ley 21.719?
A toda persona natural o jurídica que trate datos personales en Chile, sin importar el tamaño. Si tienes una base de clientes con nombres, RUT, correos o teléfonos, te aplica.
¿Cuáles son las multas por no cumplir?
Van de 1 a 10.000 UTM. Al valor actual de la UTM ($67.000 aprox.), eso es entre $67.000 y $670 millones CLP. Las infracciones gravísimas alcanzan el tope.
¿Necesito un delegado de protección de datos?
Si tu negocio procesa datos sensibles a gran escala o hace tratamiento masivo de datos personales, sí. Para negocios más chicos, no es obligatorio pero sí recomendable tener un responsable interno.
¿Qué tiene que ver la IA con la Ley de Protección de Datos?
Si usas IA que procesa datos personales, debes cumplir con la ley. Pero también puedes usar IA para facilitar el cumplimiento: clasificación automática de datos, gestión de solicitudes y monitoreo continuo. Más detalles en la guía de IA para negocios.
Vuelve a la guía completa de IA para negocios para ver cómo implementar IA de forma segura y legal.