Ley 21.719 · Vigencia 1 dic 2026 --meses --sem --días Prepárate ahora
Fundamentos 28 de mayo, 2026 8 min de lectura

¿Qué es la Ley 21.719 y a quién aplica?

La Ley 21.719 es la nueva ley chilena de protección de datos personales que reemplaza a la antigua Ley 19.628. Entró en vigencia en diciembre 2024 y se aplica de forma plena desde diciembre 2026. Aquí te explicamos qué es, qué exige y a qué empresas obliga.

El contexto: por qué Chile necesitaba una nueva ley

Hasta diciembre 2024, Chile se regía por la Ley 19.628, una norma del año 1999 redactada cuando internet recién comenzaba a expandirse y antes de que existieran smartphones, redes sociales, IA generativa o computación en la nube. Era una ley con derechos limitados, sin autoridad fiscalizadora dedicada y con sanciones prácticamente simbólicas.

Durante más de 20 años, Chile fue uno de los pocos países de la OCDE sin un marco moderno de protección de datos. Esto generaba tres problemas concretos:

  • Las personas tenían derechos en el papel pero no podían ejercerlos en la práctica.
  • Las empresas chilenas que querían operar en Europa debían cumplir con el GDPR sin tener un marco local equivalente.
  • Las inversiones extranjeras en sectores intensivos en datos (fintech, salud digital, IA) veían a Chile como un riesgo regulatorio.

La Ley 21.719, publicada el 13 de diciembre de 2024, resuelve estos problemas alineándose con los estándares internacionales modernos (GDPR europeo, LGPD brasileña, ley colombiana).

Qué es exactamente la Ley 21.719

La Ley 21.719 es una norma que regula cómo cualquier organización puede tratar datos personales de personas en Chile. "Tratar" datos significa cualquier operación: recopilar, almacenar, organizar, modificar, consultar, transmitir o eliminar información que identifique a una persona.

Sus tres pilares fundamentales son:

  1. Derechos para los titulares (las personas): acceso, rectificación, cancelación, oposición y portabilidad de sus datos (los famosos derechos ARCOP).
  2. Obligaciones para los responsables (las organizaciones): documentación, seguridad, transparencia, designación de un Delegado de Protección de Datos cuando corresponda.
  3. Una autoridad fiscalizadora: la nueva Agencia de Protección de Datos Personales con facultades para fiscalizar, sancionar y multar.
Estructura de actores de la Ley 21.719 Diagrama que muestra cómo se relacionan el titular de los datos, el responsable de tratamiento, el encargado de tratamiento y la Agencia de Protección de Datos bajo la Ley 21.719 de Chile. TITULAR La persona dueña de los datos RESPONSABLE Decide qué hacer con los datos ENCARGADO Procesa por cuenta del responsable AGENCIA DE PROTECCIÓN Fiscaliza y sanciona entrega datos contrato DPA reporta brechas fiscaliza datos llegan al encargado
Diagrama 1 — Los 4 actores clave de la Ley 21.719 y cómo se relacionan entre sí.

Los actores principales: responsable, encargado, titular

Para entender la ley es clave distinguir tres figuras que la norma define con precisión:

1. El Titular

Es la persona natural a quien pertenecen los datos. Tú, cuando llenas un formulario web. El paciente, cuando va a una clínica. El postulante, cuando envía su CV. El titular es el dueño de los datos y la Ley 21.719 le otorga derechos para controlarlos.

2. El Responsable de Tratamiento

Es la organización que decide qué se hace con los datos: por qué se recopilan, cuánto tiempo se guardan, con qué propósito se usan. Es el principal obligado por la ley. Si tu empresa recopila datos de clientes, empleados o proveedores, es responsable de tratamiento.

3. El Encargado de Tratamiento

Es un tercero que procesa datos por cuenta del responsable: AWS que aloja tu base de datos, HubSpot que gestiona tus correos, una agencia de marketing que segmenta tus campañas. La relación responsable–encargado debe formalizarse con un contrato DPA (Data Processing Agreement).

💡
Ejemplo concreto Una clínica privada en Santiago es responsable de los datos de sus pacientes. El sistema de fichas médicas que usa (proveedor SaaS) es encargado. Los pacientes son titulares. La Agencia de Protección de Datos puede fiscalizar a la clínica si hay un reclamo.

¿A quién aplica la Ley 21.719?

La regla es simple: aplica a toda organización que trate datos personales de personas en Chile. Incluye:

  • Empresas privadas de cualquier tamaño: pymes, grandes, multinacionales.
  • Organismos del Estado: ministerios, municipalidades, servicios públicos.
  • ONGs, fundaciones y corporaciones.
  • Profesionales independientes que mantengan bases de datos de clientes (abogados, médicos, consultores).
  • Empresas extranjeras que ofrezcan bienes o servicios a residentes en Chile, aunque no tengan oficinas en el país.

Solo quedan fuera dos casos muy acotados: el tratamiento doméstico (tu agenda personal) y los datos anonimizados de forma irreversible.

⚠️
Mito frecuente: "Mi pyme es muy chica, no me aplica" Falso. La Ley 21.719 no tiene un umbral de tamaño. Si tu pyme tiene un formulario de contacto en su web, una base de clientes en Excel o una nómina de empleados, ya está tratando datos personales y debe cumplir. Lo que cambia es el nivel de exigencia: una pyme no necesita designar un DPO formal, pero sí debe llevar un RAT.

Las 8 obligaciones operativas principales

La Ley 21.719 impone muchas obligaciones, pero estas 8 son las operativas más críticas que toda organización debe cubrir:

  1. Llevar un Registro de Actividades de Tratamiento (RAT). Inventario de qué datos tratas y por qué (ver guía).
  2. Establecer una base legal para cada tratamiento (consentimiento, contrato, obligación legal, interés legítimo, etc.).
  3. Gestionar los derechos ARCOP de los titulares en un plazo máximo de 30 días.
  4. Notificar brechas a la Agencia de Protección de Datos en máximo 72 horas (ver guía).
  5. Hacer Evaluaciones de Impacto (EIPD/DPIA) para tratamientos de alto riesgo.
  6. Firmar contratos DPA con cada encargado de tratamiento.
  7. Designar un Delegado de Protección de Datos (DPO) cuando aplique.
  8. Implementar medidas de seguridad técnicas y organizativas razonables.

¿No sabes por dónde empezar?

Confirmer360 cubre las 8 obligaciones operativas en una sola plataforma con IA. Demo gratuita personalizada para tu empresa.

Ver Confirmer360 en acción

Vigencia: fechas críticas que debes saber

La ley contempla un período de gracia para que las organizaciones se adapten:

Cronograma de vigencia de la Ley 21.719 Línea de tiempo que muestra las tres fechas clave: publicación en diciembre 2024, período de gracia de 24 meses y vigencia plena con facultades sancionatorias desde diciembre 2026. Dic 2024 Publicación oficial 2025 — 2026 Período de gracia 24 meses para adecuarse Dic 2026 Vigencia plena Sanciones activas
Diagrama 2 — Cronograma de vigencia de la Ley 21.719.

Esto significa que las empresas tienen hasta diciembre de 2026 para preparar sus procesos, sistemas y documentación. A partir de esa fecha, la Agencia de Protección de Datos podrá iniciar fiscalizaciones y aplicar las multas de hasta 20.000 UTM.

🚨
No esperes a diciembre 2026 Implementar un RAT real, capacitar al equipo, levantar consentimientos y firmar DPA toma entre 3 y 9 meses según el tamaño de la organización. Empezar tarde significa llegar incumpliendo el día 1 de la fiscalización.

Preguntas frecuentes

¿La Ley 21.719 aplica si mi empresa solo tiene datos B2B?

Sí. Los datos de contacto profesional (nombre, cargo, correo corporativo) son datos personales. La ley aplica aunque tu cliente sea una empresa: detrás siempre hay personas naturales identificables.

¿Necesito el consentimiento del titular para todo?

No. El consentimiento es solo una de las 6 bases legales. Muchos tratamientos legítimos se sostienen en otras bases: ejecución de un contrato (clientes), obligación legal (facturación, RRHH), interés legítimo (seguridad informática), etc.

¿La Ley 21.719 obliga a todas las empresas a designar un DPO?

No. Solo aplica obligatoriamente a organismos públicos y a empresas cuya actividad principal sea el tratamiento masivo de datos sensibles o el monitoreo sistemático a gran escala. Sin embargo, designar un responsable de protección de datos (aunque sea informal) es una buena práctica para cualquier empresa de tamaño medio.

¿Es lo mismo que el GDPR europeo?

Es muy similar en estructura y principios. Si tu empresa ya cumple GDPR, tienes el 80% del camino hecho. Las principales diferencias están en los plazos (el ARCOP chileno son 30 días, no 1 mes), el sistema de sanciones (UTM en lugar de % de facturación) y la figura del Portal del Titular autenticado por RUT (innovación chilena).

Confirmer360 te ayuda a cumplir la Ley 21.719

Software con IA para gestionar el RAT, los derechos ARCOP, las brechas, las EIPD y todo lo demás. Disponible para empresas en Chile, Colombia, México y Perú.

Solicitar demo gratuita

Sigue aprendiendo

Fundamentos

Sanciones y multas de la Ley 21.719 (hasta 20.000 UTM)

 Módulos

Cómo armar tu RAT paso a paso

 Práctico

Roadmap de implementación en 90 días