Ley 21.719 en Chile: qué cambia para las empresas y qué revisar antes de diciembre de 2026

Chile está entrando en una etapa distinta en materia de datos personales. La Ley 21.719 actualiza la antigua Ley 19.628, cambia su enfoque desde la simple protección de la vida privada hacia un marco más completo de protección y tratamiento de datos personales, y crea una Agencia de Protección de Datos Personales con facultades de fiscalización y sanción.

Para una empresa, el cambio importante no está sólo en tener una política de privacidad publicada. El punto de fondo es poder demostrar que los datos de clientes, prospectos, trabajadores, proveedores y usuarios se tratan con una finalidad clara, una base de licitud válida, medidas de seguridad razonables y canales efectivos para que las personas ejerzan sus derechos.

Cuándo entra en vigencia la Ley 21.719

La ley fue publicada en el Diario Oficial el 13 de diciembre de 2024. Su entrada en vigencia general está contemplada para el primer día del mes vigésimo cuarto posterior a su publicación, es decir, el 1 de diciembre de 2026. Ese plazo no debería leerse como una invitación a esperar, sino como una ventana para ordenar procesos, documentación, sistemas y proveedores.

A quién le aplica

La norma alcanza a personas naturales y jurídicas que realizan tratamiento de datos personales. En la práctica, casi cualquier empresa que tenga clientes, formularios de contacto, bases comerciales, sistemas de facturación, campañas de marketing, CRM, newsletter, analítica web o atención por WhatsApp está dentro del problema.

La ley también contempla reglas de aplicación territorial para responsables o mandatarios establecidos en Chile y para ciertos casos en que, aun estando fuera del país, se ofrecen bienes o servicios a titulares ubicados en Chile o se monitorea su comportamiento.

Qué debe revisar una empresa primero

El primer paso no debería ser comprar una herramienta ni copiar una política legal desde otro sitio. Lo primero es hacer un mapa real de datos: qué datos se recolectan, desde dónde, para qué se usan, quién accede, dónde se almacenan, con qué proveedores se comparten, por cuánto tiempo se conservan y bajo qué base de licitud se tratan.

Ese ejercicio permite identificar brechas concretas: formularios que piden más datos de los necesarios, bases antiguas sin finalidad vigente, proveedores no documentados, hojas de cálculo abiertas a demasiadas personas, flujos de WhatsApp sin trazabilidad o campañas de remarketing que funcionan sin una explicación clara al usuario.

Principios que deberían guiar la adecuación

La ley incorpora principios que conviene traducir a decisiones operativas. Licitud significa que no basta con tener datos: hay que poder justificar por qué se tratan. Finalidad significa que los datos deben recolectarse para objetivos específicos, explícitos y lícitos. Proporcionalidad significa pedir sólo lo necesario. Transparencia exige explicar de manera clara qué se hace con los datos. Seguridad obliga a protegerlos contra accesos no autorizados, filtraciones o pérdidas.

En términos prácticos, una empresa debería dejar de preguntarse «¿tenemos permiso para guardar esto?» y pasar a una pregunta más exigente: «¿podemos explicar y acreditar por qué tenemos este dato, para qué lo usamos, quién lo ve y cuándo lo eliminamos?».

Qué debería estar publicado

La ley exige que el responsable mantenga a disposición del público información sobre su política de tratamiento de datos personales, identificación del responsable, canales de contacto, categorías de datos tratados, finalidades, base de legitimidad, destinatarios, transferencias internacionales, periodo de conservación, medidas de seguridad y derechos del titular.

Por eso, una política de privacidad útil no puede ser genérica. Debe reflejar la operación real de la empresa. Si una compañía usa CRM, plataformas de email marketing, analítica web, formularios de cotización, WhatsApp o herramientas publicitarias, eso tiene que estar considerado en la documentación y en la gestión interna.

Qué derechos tienen las personas

La ley reconoce derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo. Esto obliga a que la empresa tenga un canal claro para recibir solicitudes y un procedimiento interno para responderlas. No es sólo un tema legal: también es operativo. Alguien debe saber dónde buscar los datos, cómo validar al solicitante, cómo responder y cómo dejar evidencia de la gestión.

Qué pasa si no se cumple

La ley clasifica las infracciones en leves, graves y gravísimas. Las multas pueden llegar hasta 5.000 UTM en infracciones leves, 10.000 UTM en graves y 20.000 UTM en gravísimas. Además, la Agencia administrará un Registro Nacional de Sanciones y Cumplimiento, de acceso público. Por lo mismo, el riesgo no es únicamente económico: también es reputacional.

Por dónde empezar sin sobreactuar

Una ruta razonable es: levantar el inventario de datos, revisar formularios y bases comerciales, actualizar la política de privacidad, ordenar cookies y scripts, definir responsables internos, documentar proveedores, crear un procedimiento para derechos de titulares y establecer criterios de retención. No todo debe resolverse en una semana, pero sí conviene empezar por lo que más expone a la empresa: captación de leads, bases de clientes, campañas, CRM y accesos internos.

La adecuación a la Ley 21.719 no debería tratarse como un trámite para evitar multas. Bien hecha, también ayuda a ordenar la operación, mejorar la calidad de las bases y generar más confianza en clientes y usuarios.

Este artículo tiene fines informativos y prácticos, y no reemplaza asesoría legal especializada. Última actualización: junio de 2026.