Loading...
Email: [email protected]ENEN
Enclave Guard

Ley 21.719: La Nueva Ley de Datos de Chile Entra en Vigor en Diciembre 2026

4 de mayo, 2026 | Por Carlos T | Cumplimiento, Protección de Datos, Ciberseguridad

Después de más de 25 años con una ley desfasada, Chile actualiza su marco de protección de datos personales y se alinea con estándares internacionales como el GDPR. La Ley 21.719 entra en vigor el 1 de diciembre de 2026 y trae sanciones reales, una autoridad fiscalizadora con dientes y obligaciones técnicas que afectan a prácticamente toda empresa que opere en territorio chileno.

1. Chile se moderniza: de una ley de 1999 a estándar GDPR

Durante más de 25 años, la protección de datos personales en Chile se rigió por la Ley 19.628, promulgada en 1999. En aquel entonces, el mundo digital apenas estaba naciendo: no existían redes sociales masivas, los teléfonos inteligentes eran ciencia ficción y el comercio electrónico recién daba sus primeros pasos. Esa ley, aunque pionera en Latinoamérica, quedó profundamente desfasada. No contemplaba notificación de brechas, no exigía consentimiento explícito y, sobre todo, no tenía un organismo fiscalizador con facultades reales.

Todo eso cambia con la Ley 21.719, publicada en el Diario Oficial en diciembre de 2024 y cuya entrada en vigor plena está prevista para el 1 de diciembre de 2026. Se trata de una reforma integral que alinea a Chile con los estándares del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, posicionándolo como referente regional en la materia.

El ecosistema institucional también se transformó. La Agencia Nacional de Ciberseguridad (ANCI) inició sus actividades el 1 de enero de 2025 (con las normas sobre operadores de importancia vital, notificación de incidentes y régimen sancionatorio entrando en vigor el 1 de marzo de 2025), y la nueva Agencia de Protección de Datos Personales (APDP) tendrá facultades sancionatorias reales a partir del 1 de diciembre de 2026. Chile pasa de un modelo declarativo a uno con capacidad de fiscalización y castigo.

Dato clave: Chile reformó su Constitución en 2018 para consagrar explícitamente la protección de datos personales como derecho fundamental, sumándose a un grupo selecto de países latinoamericanos que reconocen este derecho a nivel constitucional. La Ley 21.719 le da dientes operativos a esa garantía.

2. ¿Qué cambia para tu empresa?

La nueva ley introduce cambios profundos en la forma en que las organizaciones deben recopilar, almacenar, procesar y eliminar datos personales. Estas son las diferencias más relevantes entre la antigua Ley 19.628 y la nueva Ley 21.719:

  • Consentimiento: antes era implícito o genérico; ahora debe ser explícito, específico, informado y revocable.
  • Notificación de brechas: antes no se exigía; ahora es obligatoria a la autoridad y a los afectados en plazos definidos.
  • Derecho al olvido: antes no estaba regulado; ahora el titular puede ejercer el derecho de supresión.
  • Portabilidad de datos: antes no existía; ahora el titular puede solicitar sus datos en formato estructurado.
  • Delegado de Protección de Datos (DPO): antes no era requerido; ahora es obligatorio para empresas que traten datos sensibles o a gran escala.
  • Transferencias internacionales: antes sin restricciones claras; ahora solo a países con nivel adecuado o bajo garantías contractuales.
  • Fiscalizador: antes no existía una autoridad dedicada; ahora la Agencia de Protección de Datos tiene poder sancionatorio real.
  • Sanciones: antes multas bajas casi nunca aplicadas; ahora hasta 20.000 UTM (~USD 1,55 millones) o 2%-4% de los ingresos anuales en Chile.

En la práctica, esto significa revisar cada formulario, cada base de datos, cada integración con terceros y cada flujo donde se recopilan datos. Ya no basta con tener una página de «política de privacidad» genérica que nadie lee.

3. ¿Quién debe cumplir?

La respuesta corta: prácticamente toda empresa que opere en Chile o procese datos de personas en territorio chileno. No importa si eres una startup de tres personas o una multinacional con oficinas en Santiago.

La ley aplica a:

  • Empresas chilenas de cualquier tamaño que recopilen datos personales de clientes, empleados o proveedores.
  • Empresas extranjeras que ofrezcan bienes o servicios a personas en Chile, o que monitoreen su comportamiento.
  • Organismos públicos, con obligaciones adicionales de transparencia.

Las obligaciones se intensifican para organizaciones que procesan:

  • Datos sensibles: salud, origen étnico, orientación sexual, datos biométricos, afiliación sindical o política.
  • Datos financieros: historial crediticio, deudas, ingresos.
  • Datos de menores de edad: requieren consentimiento del representante legal.
  • Tratamiento a gran escala: perfilamiento automatizado, geolocalización masiva, bases de millones de registros.

Si tu empresa tiene un CRM, envía correos de marketing, usa analítica web con cookies o simplemente gestiona nóminas, esta ley te aplica. No hay excepción por tamaño.

4. Las sanciones son serias

Uno de los problemas crónicos de la Ley 19.628 era su falta de dientes. Las multas eran irrisorias y rara vez se aplicaban. Las empresas no tenían incentivo económico para invertir en cumplimiento. Eso se acabó.

La Ley 21.719 establece un régimen sancionatorio escalonado:

  • Infracciones leves: amonestación escrita o multas de hasta 5.000 UTM (aproximadamente USD 380.000). Incluyen, por ejemplo, incumplimientos del deber de información y transparencia.
  • Infracciones graves: multas de hasta 10.000 UTM (aproximadamente USD 770.000). Tratamiento sin base de legitimación válida, omisión de notificación de brechas u obstrucción a la autoridad.
  • Infracciones gravísimas: multas de hasta 20.000 UTM (aproximadamente USD 1,55 millones). Tratamiento fraudulento, transferencias internacionales ilícitas o vulneración del deber de confidencialidad sobre datos sensibles.

Para empresas que no califican como de menor tamaño (Ley 20.416), las sanciones por infracciones graves y gravísimas pueden alternativamente alcanzar el 2% o 4% de los ingresos anuales por ventas y servicios en Chile en casos de reincidencia. Las sanciones se inscriben además en el Registro Nacional de Sanciones por hasta 5 años, lo que tiene consecuencias comerciales más allá del importe de la multa.

Conversiones a USD calculadas con UTM de febrero 2026 (~CLP 69.611) y tipo de cambio aproximado. Los valores reales varían mes a mes.

Más allá de la multa: El daño reputacional suele ser peor que la sanción económica. Una brecha de datos publicada en medios puede destruir la confianza de años con clientes y socios en cuestión de horas. En la era de las redes sociales, no hay manera de controlar la narrativa una vez que el dato se filtra.

Además, la nueva ley contempla la posibilidad de suspensión temporal del tratamiento de datos como medida cautelar, lo que para muchas empresas digitales equivale a un paro operacional.

5. Tu checklist de preparación: 8 meses para cumplir

Si estás leyendo esto en abril de 2026, tienes exactamente 8 meses para alcanzar el cumplimiento. Es un plazo ajustado pero realista si empiezas ahora. Este es un plan de acción mes a mes:

  • Abril – Mayo: Auditoría de flujos de datos. Identifica qué datos personales recopilas, dónde se almacenan, quién tiene acceso y con qué base legal los procesas. Mapea cada flujo desde la captura hasta la eliminación. Esta es la base de todo lo demás.
  • Mayo – Junio: Actualización de políticas de privacidad. Reescribe tus políticas para que cumplan con los requisitos de información de la nueva ley: finalidad, plazo de conservación, derechos del titular, contacto del DPO. Deben ser claras y en lenguaje accesible.
  • Junio – Julio: Implementación de gestión de consentimiento. Despliega mecanismos para obtener consentimiento explícito: banners de cookies, formularios actualizados, doble opt-in para marketing. Implementa la posibilidad de revocar el consentimiento de manera fácil.
  • Julio – Agosto: Capacitación del personal. Entrena a tu equipo —no solo al área de TI, sino a ventas, marketing, RRHH y atención al cliente— sobre las nuevas obligaciones. Documenta la capacitación como evidencia de cumplimiento.
  • Agosto – Septiembre: Proceso de notificación de brechas. Define un protocolo claro: quién detecta, quién evalúa, quién notifica, en qué plazos. Realiza un simulacro. Si no tienes monitoreo de seguridad 24/7, este es el momento de implementarlo.
  • Septiembre: Designación del DPO. Si tu empresa está obligada a tener un Delegado de Protección de Datos, nómbralo formalmente. Puede ser interno o externo, pero debe tener independencia y acceso directo a la alta dirección.
  • Octubre – Noviembre: Pruebas y auditoría interna. Revisa todo: ¿los formularios capturan consentimiento correctamente? ¿Los plazos de retención se cumplen? ¿El protocolo de brechas funciona? Haz una auditoría completa como si la Agencia te estuviera fiscalizando.
  • Diciembre: Go-live en cumplimiento. A partir del 1 de diciembre, la ley está en vigor. Asegúrate de que toda tu documentación esté actualizada, tus sistemas operativos y tu equipo preparado para responder solicitudes de titulares en los plazos legales.

¿Parece mucho? Lo es. Por eso las empresas que empiezan hoy tienen ventaja competitiva sobre las que esperen hasta octubre para entrar en pánico.

6. Ciberseguridad y protección de datos: dos caras de la misma moneda

Un error común es pensar que cumplir con la ley de datos personales es solo un tema legal: actualizar contratos y políticas. En realidad, la Ley 21.719 exige medidas técnicas y organizativas para proteger los datos. Y ahí es donde la ciberseguridad deja de ser opcional.

La ley requiere, entre otras cosas:

  • Cifrado de datos en reposo y en tránsito, especialmente para datos sensibles.
  • Control de acceso basado en roles: solo el personal autorizado accede a los datos que necesita.
  • Monitoreo continuo para detectar accesos no autorizados, exfiltración de datos o comportamientos anómalos.
  • Respuesta a incidentes documentada y probada, con capacidad de notificar brechas dentro de los plazos legales.
  • Evaluaciones de impacto en protección de datos (EIPD) para tratamientos de alto riesgo.
  • Gestión de proveedores: asegurar que terceros que procesan datos en tu nombre también cumplan con las medidas adecuadas.

Sin una base sólida de ciberseguridad, el cumplimiento normativo es una ficción. Puedes tener la mejor política de privacidad del mundo, pero si un atacante accede a tu base de clientes porque tu servidor no estaba parcheado, la multa llega igual —y la brecha de confianza también.

Un proveedor de servicios de seguridad gestionada (MSSP) proporciona exactamente esa capa técnica: monitoreo 24/7, detección de amenazas, gestión de vulnerabilidades y respuesta a incidentes. Es la infraestructura de seguridad que la ley exige, sin que necesites construirla internamente.

7. Cómo Enclave Guard puede ayudarte

Enclave Guard es un MSSP (Managed Security Service Provider) con presencia en América Latina y Estados Unidos, diseñado para empresas que necesitan seguridad de nivel empresarial sin la complejidad ni el costo de un equipo interno de ciberseguridad.

Esto es lo que aportamos al cumplimiento de la Ley 21.719:

  • Auditoría de seguridad y datos: Mapeamos tus activos, flujos de datos y vulnerabilidades. Identificamos las brechas entre tu postura actual y lo que la ley exige.
  • Monitoreo continuo y detección de amenazas: SOC remoto que vigila tu infraestructura 24/7. Detectamos y respondemos antes de que un incidente se convierta en una notificación obligatoria a la Agencia.
  • Gestión de vulnerabilidades: Escaneo periódico, priorización de parches y seguimiento de remediación. Mantenemos tu superficie de ataque bajo control.
  • Respuesta a incidentes: Protocolo establecido y probado. Si ocurre una brecha, activamos el plan, contenemos el daño y te ayudamos con la notificación regulatoria.
  • Documentación de cumplimiento en español: Políticas, procedimientos y evidencias listas para fiscalización. No te entregamos templates genéricos en inglés: todo está contextualizado para la regulación chilena.
  • Equipo bilingüe con conocimiento local e internacional: Entendemos tanto la Ley 21.719 como el GDPR, CCPA y marcos internacionales. Ideal para empresas con operaciones transfronterizas.
  • Precios pensados para LATAM: Paquetes adaptados a la realidad económica de la región, sin sacrificar la calidad del servicio.

Conclusión

La Ley 21.719 marca un antes y un después en la protección de datos en Chile. Las empresas que se adelanten a su entrada en vigor no solo evitarán sanciones —también construirán una ventaja competitiva sólida basada en la confianza de sus clientes y la madurez operativa de sus procesos.

Este artículo es informativo y no constituye asesoramiento legal. Para una evaluación personalizada de tu situación frente a la Ley 21.719, consulta con un profesional especializado en derecho de protección de datos en Chile.

En Enclave Guard estamos listos para ayudarte

Ponte en contacto con nosotros y descubre cómo podemos optimizar tu infraestructura tecnológica, proteger tus activos digitales y adaptarnos a tu ritmo de crecimiento.

Trabajamos con empresas, gobiernos e instituciones públicas, ofreciendo soluciones de ciberseguridad, automatización e infraestructura IT de última generación, adaptadas a sus necesidades reales.

Contáctanos

Comienza desde hoy a explorar nuestras soluciones y servicios para tu empresa.

Motivo del Contácto