Ley 21.719 · Vigencia 1 dic 2026 --meses --sem --días Prepárate ahora
Fundamentos 28 de mayo, 2026 9 min de lectura

Sanciones y multas de la Ley 21.719: hasta 20.000 UTM

La Ley 21.719 tiene dientes. Las multas pueden llegar a las 20.000 UTM (aproximadamente USD 1,3 millones) por una sola infracción gravísima — y la nueva Agencia de Protección de Datos puede sancionar a cualquier organización en Chile.

Pirámide de sanciones: leves, graves y gravísimas

La Ley 21.719 establece tres niveles de infracciones en función de la gravedad, cada uno con su propio rango de multas. La UTM (Unidad Tributaria Mensual) es la unidad de medida — su valor se actualiza mensualmente y a la fecha ronda los $66.000 CLP.

Pirámide de gravedad de las sanciones de la Ley 21.719 Diagrama que muestra los tres niveles de infracciones: leves hasta 5.000 UTM, graves hasta 10.000 UTM y gravísimas hasta 20.000 UTM. GRAVÍSIMAS 10.000 - 20.000 UTM ~ USD 660K - 1,3M GRAVES 5.000 - 10.000 UTM ~ USD 330K - 660K LEVES 1 - 5.000 UTM ~ USD 66 - 330K + GRAVE - GRAVE
Diagrama 1 — Pirámide de gravedad de las sanciones de la Ley 21.719.

Infracciones leves (multas hasta 5.000 UTM)

Las infracciones leves son fallas formales o procedimentales que no comprometen directamente los derechos de los titulares pero que evidencian falta de diligencia. Multas hasta 5.000 UTM (~ $330 millones CLP).

Ejemplos típicos:

  • No mantener un Registro de Actividades de Tratamiento (RAT) actualizado.
  • No publicar la política de privacidad de manera accesible.
  • No informar al titular de manera completa al momento de recopilar sus datos.
  • No responder dentro del plazo legal a una solicitud ARCOP simple.
  • Designar un DPO sin reportar su nombre a la Agencia (cuando corresponda).

Infracciones graves (5.000 a 10.000 UTM)

Las infracciones graves implican afectación directa a los derechos del titular o tratamiento sin base legal clara. Multas de 5.000 a 10.000 UTM (~ $330 a $660 millones CLP).

Ejemplos típicos:

  • Tratar datos sin contar con una base legal de las definidas en la ley.
  • Negarse a atender o responder mal una solicitud ARCOP.
  • No notificar al titular una brecha que lo afecte (cuando aplique).
  • No designar un DPO estando obligado a hacerlo.
  • No realizar una Evaluación de Impacto (EIPD) cuando el tratamiento la requiere.
  • Mantener datos personales más allá del plazo necesario sin justificación.

Infracciones gravísimas (hasta 20.000 UTM)

Las infracciones gravísimas son las conductas más graves que la ley castiga con multas de 10.000 a 20.000 UTM (~ $660 millones a $1.300 millones CLP). Estas son las que pueden poner en jaque la viabilidad financiera de una empresa.

Ejemplos típicos:

  • No notificar una brecha a la Agencia dentro del plazo de 72 horas cuando corresponda.
  • Tratar datos sensibles (salud, biométricos, orientación sexual, etc.) sin las garantías reforzadas que exige la ley.
  • Ceder datos personales a terceros sin base legal o sin informar al titular.
  • Transferir datos a países sin nivel adecuado de protección sin las garantías exigidas (CCT, BCR, consentimiento explícito).
  • Obstruir activamente una fiscalización de la Agencia.
  • Tratamiento masivo de datos en violación de los principios de la ley (proporcionalidad, finalidad, calidad).
🚨
Caso emblemático esperable Una brecha que afecte a 1 millón de clientes y no se notifique en 72 horas puede combinar: (1) no notificación a la Agencia (gravísima, hasta 20.000 UTM) + (2) no notificación a los titulares (grave, hasta 10.000 UTM) + (3) falta de medidas de seguridad razonables (gravísima, hasta 20.000 UTM). Suma total: hasta 50.000 UTM = ~ USD 3,3 millones.

Cómo opera la fiscalización

La fiscalización está a cargo de la nueva Agencia de Protección de Datos Personales, un órgano técnico autónomo con potestades amplias. El procedimiento tipo es el siguiente:

Procedimiento de fiscalización de la Agencia de Protección de Datos Diagrama de flujo que muestra los cinco pasos del procedimiento de fiscalización: denuncia o fiscalización de oficio, investigación, requerimiento, descargos y sanción. 1. DENUNCIA o fiscalización de oficio 2. INVESTIGACIÓN Análisis técnico y jurídico 3. REQUERIMIENTO Solicita documentación 4. DESCARGOS Empresa responde y aporta evidencia 5. SANCIÓN o archivo del caso Las resoluciones son apelables ante los Tribunales de Justicia
Diagrama 2 — Procedimiento típico de fiscalización de la Agencia.

¿Quién puede gatillar una fiscalización?

  • Cualquier titular que considere vulnerados sus derechos (denuncia ciudadana).
  • La propia Agencia de oficio, basándose en información pública, prensa o auditorías sectoriales.
  • Otros organismos del Estado que detecten incumplimientos al cruzar información.

Reincidencia y agravantes

La Ley 21.719 contempla criterios de graduación que pueden aumentar o atenuar la multa dentro del rango de cada categoría:

Agravantes (suben la multa)Atenuantes (bajan la multa)
Reincidencia en infracciones similares Auto-denuncia espontánea antes de fiscalización
Número de titulares afectados Colaboración con la Agencia durante la investigación
Daño o riesgo causado Adopción rápida de medidas correctivas
Tratamiento de datos sensibles Existencia de un programa de cumplimiento documentado
Tamaño de la organización (mayor exigencia) DPO designado y operativo
💡
Un sistema de gestión bien implementado es la mejor defensa Las organizaciones que demuestran tener un RAT operativo, contratos DPA firmados, EIPDs realizadas y un canal ARCOP funcionando, suelen lograr la atenuación máxima — incluso en infracciones gravísimas. La Agencia distingue entre "no sabíamos" y "lo intentamos hacer bien".

Cómo prepararse para una fiscalización

Hay cuatro elementos que toda Agencia revisará si llega a fiscalizarte:

  1. Tu RAT. ¿Existe? ¿Está actualizado? ¿Cubre todos los tratamientos de la organización?
  2. Tus bases legales. ¿Cada tratamiento del RAT tiene base legal documentada? ¿Hay test de balanceo cuando invocas interés legítimo?
  3. Tus respuestas ARCOP. ¿Tienes evidencia de haber respondido a las solicitudes que recibiste, dentro del plazo?
  4. Tu protocolo de brechas. ¿Tienes documentado el procedimiento? ¿Hay evidencia de las brechas que ocurrieron y cómo se notificaron?

Si los 4 elementos están en orden y documentados, la probabilidad de sanción gravísima cae drásticamente. La Agencia preferirá imponer una sanción menor y exigir medidas correctivas en lugar de aplicar la multa máxima.

Llega preparado a la fiscalización

Confirmer360 deja todos los registros con evidencia inmutable (hash SHA-256) lista para presentar a la Agencia. Es tu seguro de cumplimiento.

Ver demo

Reduce el riesgo regulatorio de tu empresa

Confirmer360 automatiza el cumplimiento de la Ley 21.719 y mantiene la evidencia que necesitas frente a la Agencia.

Solicitar demo gratuita

Sigue aprendiendo

Fundamentos

¿Qué es la Ley 21.719 y a quién aplica?

 Módulos

Protocolo de brecha en 72 horas

 Práctico

Roadmap de implementación en 90 días