Ley 21.719 vs Ley 19.628: las 10 diferencias clave
La Ley 21.719 reemplaza a la Ley 19.628 de 1999. No es una simple actualización — es un cambio de paradigma. Aquí están las 10 diferencias más importantes que tu empresa debe entender.
Visión general del cambio
La Ley 19.628 fue redactada en 1999, cuando internet recién comenzaba y no existían smartphones, redes sociales, computación en la nube ni IA. Su filosofía era declarativa: las empresas debían informar pero casi nadie las fiscalizaba. La Ley 21.719 invierte ese modelo: pasa de declarativo a operativo, con autoridad fiscalizadora, sanciones reales y derechos ejercibles.
Tabla comparativa de las 10 diferencias
| # | Dimensión | Ley 19.628 | Ley 21.719 |
|---|---|---|---|
| 1 | Autoridad | Tribunales civiles | Agencia de Protección de Datos |
| 2 | Sanciones máximas | ~$5 millones CLP | Hasta 20.000 UTM (~USD 1,3M) |
| 3 | Procedimiento | Juicio civil (años) | Administrativo (meses) |
| 4 | Derechos del titular | ARCO (4 derechos) | ARCOP (5 + portabilidad) |
| 5 | RAT | No obligatorio | Obligatorio (art. 16-17) |
| 6 | EIPD/DPIA | No existía | Obligatoria en alto riesgo |
| 7 | Brechas | Sin obligación de notificar | 72 horas a la Agencia |
| 8 | DPO | No existía | Obligatorio en algunos casos |
| 9 | Transferencias internacionales | Casi sin regulación | Régimen completo (adecuación, CCT, BCR) |
| 10 | Datos sensibles | Regulación general | Protección reforzada con consentimiento explícito |
Lo completamente nuevo en la Ley 21.719
- Portabilidad de datos: recibir tus datos en formato estructurado para llevarlos a otro proveedor (banca, telco)
- Privacidad por diseño: obligación de incorporar privacidad desde el diseño de sistemas
- Delegado de Protección de Datos (DPO): figura formal
- Audit log inmutable: la práctica de SHA-256 y trazabilidad pasa de "buena práctica" a "esperada por la Agencia"
- Consentimiento granular: ya no vale el consentimiento general "para todos los fines"
- Decisiones automatizadas con IA: derecho a no ser sujeto solo de decisiones automatizadas
Plan de transición desde 19.628
Si tu empresa estaba cumpliendo "razonablemente" la Ley 19.628, te queda este checklist para migrar:
- Convertir tu inventario de bases en RAT formal
- Documentar base legal por tratamiento (no solo "consentimiento general")
- Habilitar canal ARCOP con respuesta en 30 días + agregar portabilidad
- Crear protocolo de brechas 72h (no existía obligación antes)
- Hacer EIPDs para tratamientos críticos (biometría, scoring, marketing automatizado)
- Revisar contratos con encargados → firmar DPA formal
- Mapear transferencias internacionales y aplicar CCT/BCR
- Designar DPO (si aplica) o responsable equivalente
💡
El derecho civil sigue aplicando
Tras diciembre 2026, los titulares pueden seguir demandando civilmente. La Agencia se suma como vía administrativa más rápida — no reemplaza al sistema civil.
De Ley 19.628 a Ley 21.719 en 30-60 días
Confirmer360 estructura el sistema completo que la nueva ley exige.
Solicitar demo gratuita