El 13 de diciembre de 2024 se publicó en el Diario Oficial la Ley 21.719, que reforma íntegramente la antigua Ley 19.628 y crea por primera vez en Chile una Agencia de Protección de Datos Personales con facultades reales para fiscalizar, interpretar y sancionar. Entra en vigencia el 1 de diciembre de 2026.

Para una pyme chilena —retail, clínica, hotel, gimnasio, estudio jurídico, agencia, software, restaurante, agro— esto no es un trámite legal de “lo veo el próximo año”: es un cambio operativo que toca cómo guardas datos de clientes, cómo cobras, cómo haces marketing, cómo respondes WhatsApp y cómo contratas a tus proveedores tecnológicos. Las multas pueden llegar a 20.000 UTM (unos $1.480 millones de pesos) por infracción gravísima, más hasta 4% de tus ingresos anuales en Chile si la Agencia detecta reincidencia.

Resumen ejecutivo: la Ley 21.719 entra en vigencia el 1 de diciembre de 2026 y aplica a todas las empresas chilenas que traten datos personales (prácticamente todas). Crea la Agencia de Protección de Datos como autoridad fiscalizadora independiente, establece 7 obligaciones operativas clave (registro de tratamiento, consentimiento, DPO, EIPD, notificación de brechas, derechos ARCO ampliados, contratos con encargados), y multas hasta 20.000 UTM. Excepción transitoria para pymes: durante los primeros 12 meses (dic 2026 – dic 2027) la Agencia puede reemplazar multas por amonestación escrita en empresas de menor tamaño. Aprovecha esa ventana para ordenar la casa.

A quién aplica (probablemente a ti)

La ley aplica a toda persona o empresa que trate datos personales en Chile, sin importar tamaño, sector ni si tiene oficina física. Si recolectas alguno de estos datos, estás dentro:

Nombre, RUT, dirección, teléfono, email de clientes o proveedores.
Datos de pago, facturas, transferencias.
Historial de compra, reservas, reclamos.
Mensajes de WhatsApp, formularios web, conversaciones con agentes IA.
Imágenes (CCTV, fotos de eventos), audios (atención telefónica), videos.
Geolocalización (apps, deliveries, flotas).
Datos laborales (contratos, evaluaciones, fichas).
Datos de pacientes, alumnos, huéspedes, socios.

Es decir: prácticamente toda pyme. Da lo mismo si vendes empanadas en Talca, si arriendas cabañas en Pucón, si tienes una consultora en Las Condes o un taller mecánico en Rancagua: la ley aplica.

Qué cambia respecto a la Ley 19.628 (que llevaba 25 años)

Ámbito	Ley 19.628 (vigente hasta nov 2026)	Ley 21.719 (desde 1 dic 2026)
Autoridad fiscalizadora	No existía. Reclamos solo vía tribunal civil.	Agencia de Protección de Datos Personales con facultades sancionatorias
Multas	Casi inexistentes en la práctica	Hasta 20.000 UTM + 4% ingresos por reincidencia
Consentimiento	Tácito frecuente	Expreso, informado y revocable
Datos sensibles	Definidos pero poco protegidos	Régimen reforzado + EIPD obligatoria
Brechas de seguridad	Sin obligación de informar	Notificación obligatoria a la Agencia en plazos cortos
DPO	No existía	Delegado de Protección de Datos obligatorio en ciertos casos
Transferencia internacional	Casi sin reglas	Requiere mecanismos formales (cláusulas, BCR, decisión adecuación)
Derechos del titular	ARCO básicos	ARCO + portabilidad + oposición a decisiones automatizadas + bloqueo

En la práctica: Chile pasó de tener una de las leyes más débiles de la OCDE a un marco comparable con el GDPR europeo.

Las 7 obligaciones que debes preparar antes del 1 de diciembre de 2026

1. Registro de actividades de tratamiento

Debes documentar qué datos personales recolectas, para qué, con qué base legal, dónde los guardas, quién accede, por cuánto tiempo y a quién se los pasas. Es un Excel o documento estructurado que debe estar disponible si la Agencia te pide auditoría.

Plantilla mínima por cada actividad: nombre de la actividad (ej: “Atención WhatsApp clientes”), finalidad, datos tratados, base legal (consentimiento, contrato, interés legítimo, obligación legal), categorías de titulares, encargados (proveedores), plazos de conservación, medidas de seguridad.

2. Consentimiento expreso, informado y revocable

Ya no sirven los checkbox pre-marcados ni el “al usar este sitio aceptas…” enterrado en el pie de página. El consentimiento debe ser:

Expreso: acción afirmativa clara (un clic, una firma, un “sí, acepto” explícito por WhatsApp).
Informado: el titular sabe qué dato entrega, para qué y a quién.
Específico: separado por finalidad (no es lo mismo aceptar el envío de la cotización que aceptar marketing).
Revocable: el cliente puede retirar el consentimiento en cualquier momento, y debe ser tan fácil retirarlo como darlo.

Para una pyme práctica: actualiza tus formularios web, tus términos de WhatsApp Business, tu política de privacidad, y tu proceso de inscripción en mailings.

3. Delegado de Protección de Datos (DPO)

Es la persona responsable de velar por el cumplimiento dentro de la empresa. Obligatorio cuando:

Tratas datos sensibles de forma masiva (clínicas, isapres, colegios, gimnasios).
Tu actividad principal implica monitoreo sistemático (telecom, retail con tracking, seguros).
Eres organismo público.

Para el resto de pymes es recomendable aunque no obligatorio. Puede ser interno (alguien del equipo con capacitación) o externo (servicio tercerizado, típicamente $200K-600K CLP/mes según tamaño).

4. Evaluación de Impacto en Protección de Datos (EIPD)

También conocida como DPIA (Data Protection Impact Assessment). Es obligatoria antes de iniciar tratamientos de alto riesgo: decisiones automatizadas con impacto en personas, tratamiento masivo de datos sensibles, monitoreo a gran escala (CCTV en lugares públicos), uso de nuevas tecnologías como IA.

Si tu pyme planea implementar un agente IA que tome decisiones (ej: scoring de crédito, evaluación de candidatos a un trabajo, triaje médico), la EIPD es obligatoria antes de lanzarlo. La Agencia publicará listas orientativas durante 2026.

5. Notificación de brechas de seguridad

Si tienes una filtración (hackeo, fuga interna, pérdida de respaldo), debes notificar:

A la Agencia, dentro de plazos cortos (sin demora indebida, típicamente 72 horas).
A los titulares afectados, cuando hay alto riesgo para sus derechos.

Esto implica tener procedimiento documentado: cómo detectas, cómo escalas, quién notifica, qué se comunica. Aunque nunca te pase, debes tenerlo listo. Recomendación: integra esto con tu plan de continuidad y ciberseguridad bajo la Ley 21.663 de Ciberseguridad.

6. Derechos ARCO + portabilidad + oposición a decisiones automatizadas

El titular puede pedir:

Acceso: copia de sus datos.
Rectificación: corregir lo erróneo.
Cancelación / supresión: que borres sus datos.
Oposición: detener el tratamiento (especialmente marketing).
Portabilidad: recibir sus datos en formato estructurado.
Bloqueo temporal de tratamiento.
Oposición a decisiones automatizadas sin intervención humana.

Debes responder dentro de los plazos legales (30 días típico, prorrogables justificadamente). Si no respondes, multas.

Implementación práctica: crea un correo o formulario tipo [email protected] con un proceso documentado para gestionar estas solicitudes.

7. Contratos con encargados de tratamiento (DPA)

Tus proveedores que tratan datos por ti son encargados de tratamiento: Mailchimp, HubSpot, Bsale, Defontana, Google Workspace, AWS, Microsoft 365, OpenAI, Anthropic, WhatsApp Business API, Stripe, MercadoPago. Debes tener firmado con cada uno un Data Processing Agreement (DPA) que regule el tratamiento.

La mayoría de proveedores grandes ya tiene un DPA estándar disponible en sus webs (ver por ejemplo el Anexo de Tratamiento de Datos de OpenAI o el de Anthropic). Tu tarea: localizarlos, firmar, archivar.

Cuáles son las sanciones reales

La Agencia clasifica infracciones en tres niveles:

Nivel	Ejemplos	Multa
Leves	Falta de información al titular, errores formales	Hasta 5.000 UTM (~$370M CLP)
Graves	Tratamiento sin base legal, omitir notificación de brecha	Hasta 10.000 UTM (~$740M CLP)
Gravísimas	Tratamiento ilegal de datos sensibles, vulnerar derechos ARCO sistemáticamente	Hasta 20.000 UTM (~$1.480M CLP)
Reincidencia	Repetir gravísimas	Hasta 4% ingresos anuales en Chile

Excepción transitoria para pymes (art. 6° transitorio): durante los primeros 12 meses (1 dic 2026 – 1 dic 2027), la Agencia podrá reemplazar la multa por una amonestación escrita cuando el infractor sea empresa de menor tamaño. Es una ventana de gracia: úsala para corregir, no para postergar.

Checklist 30-60-90 días para tu pyme

Días 1-30: diagnóstico

Lista las actividades en las que tratas datos personales (atención WhatsApp, ventas, facturación, marketing, RRHH, CCTV).
Identifica si tratas datos sensibles (salud, biometría, geolocalización precisa, NNA, datos financieros sensibles).
Inventaria tus proveedores tecnológicos (CRM, ERP, agentes IA, hosting, pagos).
Define quién será el DPO o responsable interno.

Días 31-60: documentación

Crea el registro de actividades de tratamiento.
Actualiza tu política de privacidad en el sitio web.
Actualiza los textos de consentimiento en formularios, WhatsApp y mailings.
Firma o localiza los DPA con tus proveedores principales.
Documenta el procedimiento de notificación de brechas.
Crea el procedimiento de respuesta a derechos ARCO.

Días 61-90: operación

Capacita al equipo (recepción, ventas, RRHH, soporte) en el nuevo marco.
Habilita el canal de atención de derechos (correo o formulario).
Si aplica, realiza la EIPD para tus tratamientos de alto riesgo.
Implementa medidas técnicas mínimas: contraseñas fuertes, MFA, cifrado de respaldos, control de acceso.
Programa auditoría interna anual + revisión cada vez que lances nuevo producto o proveedor.

Errores comunes (que vemos cada semana)

1. “Esto es para empresas grandes, no para mí.” Falso. Aplica a cualquier empresa que trate datos personales, sin importar tamaño. La excepción transitoria es de amonestación, no de exclusión.

2. “Tengo política de privacidad en el sitio web, ya estoy ok.” No basta. Necesitas registro de tratamiento, consentimientos actualizados, DPA con proveedores, procedimiento de brechas y procedimiento ARCO.

3. “Mi proveedor de CRM ya cumple, eso me cubre.” El proveedor es encargado: cumple por su parte, pero el responsable sigues siendo tú. Necesitas DPA firmado y verificar qué hace con tus datos.

4. “Lo veo a fines de 2026.” Implementar bien toma 4-6 meses. Si empiezas en octubre 2026 vas tarde, especialmente si tienes que firmar DPAs internacionales, capacitar equipo y hacer EIPD.

5. “Uso ChatGPT/Claude/Gemini sin contrato porque es gratis.” Si pegas datos de clientes en una cuenta personal de ChatGPT, estás compartiendo datos personales con un encargado sin DPA firmado y sin opt-out de entrenamiento. Es una falta. Migra a planes Business/Enterprise o API con DPA.

Preguntas frecuentes

¿La Agencia de Protección de Datos ya está operando?

La ley se publicó en diciembre 2024 pero la Agencia se constituye y entra plenamente en operación con la vigencia el 1 de diciembre de 2026. La etapa previa la está liderando el Ministerio de Hacienda y la Secretaría de Gobierno Digital.

¿Aplica a empresas con sitio web pero sin presencia física en Chile?

Sí, si tratan datos de personas que están en Chile. Sigue la lógica extraterritorial similar al GDPR.

¿Puede mi pyme ser fiscalizada de forma aleatoria?

Sí. La Agencia tiene facultades de fiscalización proactiva. Lo más común será la fiscalización por denuncia (titular que reclama) o por incidente público (filtración mediática).

¿Cómo sé si necesito un DPO?

Si tratas datos sensibles masivos (salud, biometría, NNA, datos financieros), si monitoreas sistemáticamente (CCTV en espacios públicos, geolocalización masiva), o si eres organismo público, es obligatorio. Para el resto es recomendable. Un DPO externo cuesta $200K-600K CLP/mes para una pyme.

¿Mis bases de datos antiguas tienen que cumplir desde el día 1?

Las bases existentes deben adecuarse al nuevo marco. No se borra todo: se documenta, se obtiene consentimiento nuevo donde corresponde, se aplican plazos de conservación, se permite a los titulares ejercer derechos.

¿Qué hago con los datos que recolecté antes de diciembre 2026?

Migra a registro de actividades, revisa la base legal de cada tratamiento, depura datos que ya no son necesarios (principio de minimización) y prepara mecanismos para responder ARCO sobre esa data.

¿Sirve usar un servicio externo de cumplimiento?

Sí. Para pymes hay servicios “DPO as a Service” desde ~$200K CLP/mes que cubren auditoría inicial, documentación, atención de derechos y soporte ante fiscalización. Es más barato que contratar abogado in-house.

¿Hay fondos públicos para implementar esto?

Sí. CORFO Digitalización Pyme y SERCOTEC CRECE pueden cubrir parte del costo de adecuación tecnológica (CRM con módulo de consentimiento, herramientas de seguridad, software DPO). Ver nuestra guía de fondos para proyectos de IA y digitalización 2026.

Fuentes oficiales

Siguiente paso: diagnóstico gratuito de tu cumplimiento

Adecuarse a la Ley 21.719 no es solo trámite legal: es ordenar cómo tu pyme guarda, usa y comparte datos de clientes. Si quieres saber en qué punto partes, en Apps del Sur trabajamos cumplimiento Ley 21.719 + automatización con agentes IA + software a medida para pymes chilenas.

Ver Agente IA de Compliance (SAG, SII, ISP, Ley 21.719) →

Diagnosticar la madurez IA y de datos de mi pyme (gratis · 6 min) →

Conversar con nosotros por WhatsApp →

Apps del Sur · GYS Activa SpA · Software a medida, agentes IA y compliance Ley 21.719 para pymes chilenas en Santiago, Maule, O’Higgins, Ñuble, Biobío, La Araucanía y todo Chile. Este artículo es informativo, no constituye asesoría legal.

Ley 21.719 de Protección de Datos Personales: guía 2026 para pymes chilenas (qué cambia, qué hacer y cómo no caer en multas de hasta 20.000 UTM)