PrivacTechBlog
← Blog

30 de abril de 2026

Ley 21.719: guía completa para empresas chilenas

La Ley 21.719 es la nueva ley de protección de datos personales de Chile, publicada en diciembre de 2024 y vigente desde el 1 de diciembre de 2026. Reemplaza la Ley 19.628 de 1999 y establece obligaciones concretas para cualquier empresa que trate datos personales de personas naturales.

¿A quién aplica?

A toda persona natural o jurídica que realice tratamiento de datos personales, sin importar el tamaño. Si tu empresa registra nombres, RUTs, emails, teléfonos, ubicaciones o cualquier información que identifique a una persona, la ley te aplica.

Esto incluye: tiendas de retail, clínicas, colegios, startups tecnológicas, estudios contables, aplicaciones móviles, e-commerce, empresas de logística y cualquier empleador que mantenga registros de sus trabajadores.

Principales obligaciones

1. Registro de Actividades de Tratamiento (RAT)

Toda empresa debe mantener un inventario de cada actividad de tratamiento de datos: qué datos trata, con qué finalidad, cuánto tiempo los retiene, qué base legal usa y con quién los comparte. Es el primer documento que pedirá la Agencia de Protección de Datos en una fiscalización.

2. Política de Privacidad

Obligatoria para cualquier empresa que recopile datos. Debe informar a los titulares qué datos se tratan, para qué, cuánto tiempo y cuáles son sus derechos. No puede ser un texto genérico descargado de internet — debe reflejar las prácticas reales de tu empresa.

3. Derechos ARCO

Los titulares de datos tienen derecho a Acceder, Rectificar, Cancelar y Oponerse al tratamiento de sus datos. Tu empresa debe tener un procedimiento formal para recibir y responder estas solicitudes dentro de 30 días hábiles. Cada solicitud ignorada es una infracción independiente.

4. Protocolo de Brechas de Seguridad

Si ocurre un incidente de seguridad que afecte datos personales, tienes 72 horas para notificar a la Agencia. Si el incidente es grave, también debes notificar a los titulares afectados. Sin un protocolo documentado, la infracción por respuesta tardía se suma a la brecha misma.

5. Base legal para cada tratamiento

No puedes tratar datos personales simplemente porque lo deseas. Cada actividad de tratamiento necesita una base legal: consentimiento, ejecución de un contrato, obligación legal, interés legítimo u otra causa reconocida por la ley. El consentimiento debe ser libre, específico, informado e inequívoco.

La Agencia de Protección de Datos

La ley crea la Agencia de Protección de Datos Personales, que comenzará a operar en octubre de 2026 — dos meses antes de que la ley entre en vigor. Tendrá facultades para fiscalizar, investigar y aplicar sanciones. Sus primeras acciones probablemente apuntarán a sectores de alto volumen de datos: salud, retail, fintech y tecnología.

Plazos clave

  • Octubre 2026La Agencia comienza a operar. Primeras fiscalizaciones.
  • 1 diciembre 2026Ley entra en vigor. Las sanciones son exigibles desde este día.

¿Por dónde empezar?

El primer paso es entender qué datos trata tu empresa y con qué propósito. A partir de ese inventario se puede evaluar la exposición real y priorizar los documentos y procedimientos que debes tener antes del 1 de diciembre.

PrivacTech automatiza ese proceso: en 30 minutos el agente entrevista a tu empresa, calcula tu score de riesgo en UTM y genera los documentos personalizados que necesitas para cumplir.

Ver texto oficial — Biblioteca del Congreso NacionalEmpezar diagnóstico gratis →

Otros artículos

Multas de la Ley 21.719: cuánto puede costar no cumplirQué es el Registro de Actividades de Tratamiento (RAT)Derechos ARCO: cómo implementarlos en tu empresa