Leyes de Privacidad de Datos de Chile: la Reforma de la Ley 21.719, la Nueva Agencia y la Entrada en Vigencia en Diciembre de 2026

Chile regula los datos personales mediante la Ley 21.719, una reforma integral sancionada en agosto de 2024 que reemplaza a la antigua Ley 19.628. La nueva ley crea una autoridad de control específica, derechos alineados con el GDPR y sanciones de hasta 20.000 UTM, con plena vigencia a partir del 1 de diciembre de 2026.
Respuesta Rápida: La Transición de la Protección de Datos en Chile
Chile atraviesa la mitad de un cambio fundamental en la forma en que se regulan los datos personales. Durante casi 25 años, el país operó bajo la Ley 19.628 (1999), la primera ley integral de protección de datos de América Latina. Esa ley no contaba con una autoridad de protección de datos, ni con un marco para las transferencias internacionales, y sus mecanismos de aplicación eran mínimos, lo que dejaba a las personas mayormente dependientes de la litigación privada para hacer valer sus derechos.
La Ley 21.719, sancionada en agosto de 2024 y publicada en el Diario Oficial el 13 de diciembre de 2024, cambia todo esto. La nueva ley reemplaza y moderniza el marco anterior, inspirándose fuertemente en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Crea una nueva autoridad de control independiente, amplía los derechos de los titulares de datos, introduce múltiples bases legales para el tratamiento, establece reglas para las transferencias transfronterizas e impone sanciones significativas.
La plena vigencia comienza el 1 de diciembre de 2026. Las organizaciones que traten datos personales de residentes chilenos, ya sea que estén ubicadas dentro o fuera de Chile, deberían estar preparándose activamente desde ahora.
Ley 19.628: El Fundamento (1999)
La ley original de protección de datos de Chile, la Ley 19.628 sobre Protección de la Vida Privada, entró en vigencia en agosto de 1999. En su momento, fue una norma pionera en América Latina y contribuyó a instalar el concepto de protección de datos personales en toda la región.
Sin embargo, con el tiempo las limitaciones de la ley se volvieron imposibles de ignorar. La brecha más evidente era la ausencia de una autoridad de control. No existía un organismo gubernamental dedicado con facultades para investigar denuncias, emitir lineamientos o imponer multas. La aplicación de la ley dependía casi por completo de que las personas iniciaran acciones civiles ante los tribunales, una vía costosa y poco práctica para la mayoría de los titulares de datos.
Otras deficiencias incluían un conjunto reducido de bases legales para el tratamiento (el consentimiento predominaba, con alternativas limitadas), la ausencia de disposiciones sobre transferencias internacionales de datos, la falta de un derecho a la portabilidad, y sanciones tan bajas que resultaban económicamente irrelevantes. Los esfuerzos legislativos para modernizar la ley comenzaron ya en 2017, pero el proceso se extendió durante ocho años hasta que el Congreso finalmente aprobó la reforma en agosto de 2024.
Derecho Fundamental Constitucional: El Artículo 19 N.° 4
La protección de datos en Chile goza de un estatus constitucional explícito. El artículo 19 N.° 4 de la Constitución Política de la República de Chile garantiza el derecho al respeto y protección de la vida privada y a la honra de la persona y su familia.
Una reforma constitucional sancionada en 2018 fortaleció este fundamento al agregar una garantía expresa de que el tratamiento y la protección de los datos personales se realizarán en la forma y condiciones que determine la ley. Esta reforma elevó la protección de datos al mismo nivel que los demás derechos fundamentales protegidos por el artículo 19, otorgándole un peso constitucional que limita tanto al Estado como a los actores privados.
Este fundamento constitucional es más que simbólico. Significa que los cuestionamientos a las prácticas de tratamiento de datos pueden plantearse ante los tribunales constitucionales, y que cualquier medida legislativa o regulatoria que restrinja los derechos de protección de datos debe satisfacer un estándar de justificación reforzado.

Ley 21.719: La Reforma en Detalle
Sanción y Cronograma
El Congreso de Chile aprobó la Ley 21.719 el 26 de agosto de 2024, poniendo fin a ocho años de debate legislativo. El Presidente promulgó la ley, que fue publicada en el Diario Oficial el 13 de diciembre de 2024.
La ley no entra en vigencia de inmediato. Prevé un período de transición de 24 meses, contado desde la fecha de publicación, que otorga a las organizaciones tiempo para adaptarse y al gobierno tiempo para constituir la nueva agencia regulatoria. La plena vigencia comienza el 1 de diciembre de 2026.
Durante la transición, la Ley 19.628 vigente continúa siendo la norma operativa. La nueva agencia se encuentra en proceso de constitución, y el Ministerio de Economía ha comenzado a dictar instrumentos de implementación, incluidas las Cláusulas Contractuales Tipo para las transferencias internacionales de datos.
Ámbito de Aplicación y Alcance Territorial
La ley se aplica al tratamiento de datos personales por parte de cualquier persona natural o jurídica, del sector público o privado, ya sea realizado por medios automatizados o no automatizados, siempre que los datos formen parte de un sistema de archivo.
La Ley 21.719 tiene alcance extraterritorial. Se aplica a los responsables y encargados del tratamiento ubicados fuera de Chile cuando ofrecen bienes o servicios a titulares de datos en Chile, o cuando monitorean el comportamiento de personas en territorio chileno. Esta extensión territorial al estilo del GDPR implica que las empresas extranjeras que atienden a clientes chilenos no pueden eludir la ley por el simple hecho de no tener presencia física en el país.
Ciertas actividades de tratamiento quedan excluidas, incluido el uso personal o doméstico, la expresión periodística y artística, y las funciones de seguridad nacional sujetas a marcos legales específicos.
Los Ocho Principios de Protección de Datos
La Ley 21.719 introduce ocho principios explícitos de protección de datos que rigen todas las operaciones de tratamiento:
Licitud y lealtad: los datos deben tratarse sobre una base legal legítima y de manera justa para los titulares.
Limitación de la finalidad: los datos solo pueden recopilarse para fines determinados, explícitos y legítimos, y no pueden tratarse de manera incompatible con esos fines.
Proporcionalidad: solo pueden recopilarse y tratarse los datos que sean adecuados, pertinentes y limitados a lo necesario para la finalidad declarada.
Calidad de los datos: los datos personales deben ser exactos, completos y mantenerse actualizados. Los responsables deben adoptar medidas razonables para garantizar que los datos inexactos sean suprimidos o rectificados.
Seguridad: los responsables deben implementar medidas técnicas y organizativas adecuadas para proteger los datos frente al acceso, alteración, pérdida o destrucción no autorizados, teniendo en cuenta el estado de la técnica, los costos y la naturaleza de los datos.
Transparencia e información: los titulares deben ser informados con claridad sobre la identidad del responsable, las finalidades del tratamiento, los destinatarios de los datos y los derechos que les asisten.
Confidencialidad: las personas que traten los datos deben mantenerlos confidenciales y no pueden utilizarlos para fines no autorizados.
Responsabilidad proactiva: los responsables deben poder demostrar el cumplimiento de la ley y estar en condiciones de documentar y justificar sus prácticas de tratamiento de datos.
Bases Legales para el Tratamiento
Uno de los cambios más trascendentes de la Ley 21.719 es el paso de un modelo centrado en el consentimiento a un marco de bases múltiples, similar al enfoque del GDPR. Las bases legales reconocidas son:
- Consentimiento del titular (libre, específico, informado e inequívoco)
- Ejecución de un contrato o medidas precontractuales a solicitud del titular
- Obligación legal impuesta al responsable
- Obligaciones económicas, financieras, bancarias o comerciales a favor o a cargo del titular
- Interés legítimo del responsable o de terceros, siempre que ese interés no sea desplazado por los derechos del titular
- Procedimientos judiciales o el ejercicio, establecimiento o defensa de reclamos legales
El consentimiento para los datos sensibles requiere un acto afirmativo explícito. Los responsables tienen la carga de probar que se obtuvo un consentimiento válido y deben facilitar la revocación en la misma medida en que se facilita su otorgamiento.
Categorías de Datos Sensibles
La ley designa una categoría de protección reforzada para los datos sensibles, que incluye:
- Origen racial o étnico
- Opiniones políticas, afiliación partidaria y sindical
- Creencias religiosas, filosóficas o morales
- Información de salud y datos médicos
- Datos biométricos
- Datos relativos a la vida sexual y la orientación sexual
- Datos genéticos
El tratamiento de datos sensibles requiere, como regla general, el consentimiento explícito. Existen excepciones para los datos que el titular haya hecho públicos voluntariamente, las organizaciones sin fines de lucro que persigan intereses legítimos respecto de sus miembros, los intereses vitales (vida y salud), los procedimientos judiciales, y el tratamiento exigido por ley.
Derechos de los Titulares (Marco ARCO+)
La reforma conserva y amplía de manera significativa los derechos ARCO tradicionales (acceso, rectificación, cancelación/supresión y oposición) y agrega nuevos derechos alineados con el GDPR. Conforme a la Ley 21.719, los titulares de datos cuentan con:
Derecho de acceso: confirmar si se están tratando sus datos personales y obtener una copia, incluida información sobre la fuente de los datos, los destinatarios, la finalidad y el plazo de conservación.
Derecho de rectificación: solicitar la corrección de datos inexactos, desactualizados o incompletos. El responsable debe actuar dentro de un plazo determinado y notificar a los terceros a quienes se hubieran comunicado los datos.
Derecho de supresión: solicitar la eliminación de los datos cuando se haya cumplido la finalidad original, se haya revocado el consentimiento, el tratamiento sea ilícito, o una obligación legal exija su eliminación.
Derecho de oposición: oponerse a operaciones de tratamiento específicas, incluidas las de marketing directo, sin necesidad de justificar la oposición.
Derecho de bloqueo: obtener la suspensión temporal de cualquier operación de tratamiento mientras se resuelve una controversia sobre su exactitud o licitud. Este derecho es propio del marco chileno y no se encuentra en el GDPR.
Derecho a la portabilidad de los datos: recibir los datos personales en un formato electrónico, estructurado, genérico y de uso común que permita su transferencia a otro responsable, cuando el tratamiento se base en el consentimiento o en un contrato.
Derecho a no ser objeto de decisiones automatizadas: oponerse a decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o similarmente significativos.
Los responsables deben responder a las solicitudes de los titulares dentro de los plazos establecidos, y el incumplimiento constituye una infracción sancionable.
Reglas para los Datos de Niños, Niñas y Adolescentes
La Ley 21.719 crea un marco de tres niveles para el tratamiento de datos personales de menores de edad, distinguiendo según la edad:
- Menores de 14 años: se requiere el consentimiento de los padres o tutores para todo tratamiento de datos personales.
- Entre 14 y 15 años: se requiere el consentimiento de los padres o tutores específicamente para el tratamiento de datos sensibles; los datos personales generales pueden tratarse sobre la base de otras bases legales.
- 16 años y más: se aplican las reglas generales de la ley previstas para los adultos.
Este enfoque gradual refleja el reconocimiento de que los adolescentes desarrollan progresivamente su capacidad para tomar decisiones informadas, al tiempo que garantiza una protección reforzada para los titulares de datos más jóvenes.
Evaluaciones de Impacto en la Protección de Datos
Los responsables que realicen actividades de tratamiento que puedan suponer un alto riesgo para los derechos y libertades de los titulares deben efectuar una Evaluación de Impacto en la Protección de Datos (EIPD) antes de iniciar la actividad. Entre los indicadores de alto riesgo se incluyen el tratamiento a gran escala de datos sensibles, el monitoreo sistemático de áreas públicas, el tratamiento mediante nuevas tecnologías y la toma de decisiones automatizada con efectos significativos.
La EIPD debe evaluar la necesidad y proporcionalidad del tratamiento, los riesgos para los titulares y las medidas previstas para abordar esos riesgos. Cuando la EIPD revele riesgos residuales altos que no puedan mitigarse adecuadamente, el responsable debe consultar a la Agencia antes de proceder.
Protección de Datos desde el Diseño y por Defecto
Los responsables deben implementar medidas técnicas y organizativas tanto en el momento de diseñar los sistemas de tratamiento como en el momento del tratamiento efectivo, garantizando que los principios de protección de datos queden incorporados por defecto. Esto significa que, por defecto, solo se traten los datos personales necesarios para cada finalidad específica, minimizando el volumen de datos recopilados, el alcance del tratamiento, el plazo de conservación y el acceso a ellos.
Registro de Actividades de Tratamiento
Los responsables deben mantener un Registro de Actividades de Tratamiento que documente las categorías de datos tratados, las finalidades, las bases legales, los destinatarios, los detalles de las transferencias internacionales y los plazos de conservación. También debe mantenerse un registro interno separado de incidentes de seguridad, que consigne la naturaleza de cada brecha, sus efectos y las categorías de datos afectadas.
La Agencia de Protección de Datos Personales
Estructura e Independencia
La Agencia de Protección de Datos Personales (APDP) se constituye como un organismo de derecho público, autónomo y técnicamente independiente, con personalidad jurídica, patrimonio y presupuesto propios. Su independencia respecto tanto del Poder Ejecutivo como del Poder Legislativo es una decisión de diseño deliberada, que replica la estructura de las autoridades de protección de datos de la Unión Europea.
La agencia está dirigida por un Consejo Directivo integrado por tres consejeros. El Presidente de la República nomina a los candidatos, quienes deben ser ratificados por el Senado antes de asumir el cargo. Los tres nominados (Joselyn Biermann, Roberto Godoy Fuentes y Matías Larraguibel Goycoolea) fueron propuestos por el Ejecutivo para mandatos de 6, 4 y 2 años, respectivamente. Al mes de mayo de 2026, la confirmación del Senado seguía pendiente, con las comisiones correspondientes programadas para votar las nominaciones. Se espera que los nominados asuman el cargo en octubre de 2026, aproximadamente dos meses antes de que la ley entre en plena vigencia.
Facultades de la Agencia
Una vez que esté operativa, la agencia contará con amplias facultades regulatorias, de investigación y de sanción:
- Regulatorias: dictar instrucciones vinculantes, aprobar códigos de conducta y mecanismos de certificación, publicar determinaciones de adecuación a efectos de las transferencias internacionales, y elaborar reglamentos de implementación.
- De investigación: recibir y tramitar denuncias de los titulares de datos, iniciar investigaciones de oficio, realizar auditorías e inspecciones a responsables y encargados del tratamiento, y exigir la presentación de información y documentos.
- De sanción: emitir advertencias, amonestaciones y órdenes de cese; imponer multas administrativas; ordenar la rectificación, supresión o bloqueo de datos; y suspender las actividades de tratamiento de manera temporal o permanente.
- De cooperación internacional: trabajar con autoridades extranjeras de protección de datos, facilitar la tramitación de denuncias transfronterizas y celebrar acuerdos de cooperación.
La agencia también mantiene el Registro Nacional de Sanciones y Cumplimiento, donde las sanciones quedan registradas durante cinco años. Este registro público genera consecuencias reputacionales para los infractores reincidentes, más allá de las sanciones económicas.
Revisión Judicial
Las sanciones impuestas por la agencia están sujetas a revisión judicial ante las Cortes de Apelaciones, lo que ofrece una garantía procesal para las partes afectadas.

Notificación de Brechas de Seguridad
Obligaciones de Notificación
Cuando ocurre un incidente de seguridad que afecta datos personales, la Ley 21.719 impone una obligación de notificación con dos vías.
En primer lugar, el responsable debe notificar a la Agencia de Protección de Datos Personales por el medio más expedito posible y sin dilaciones indebidas cuando el incidente genere un riesgo razonable para los derechos y libertades de los titulares.
En segundo lugar, el responsable debe notificar directamente a los titulares afectados cuando la brecha involucre datos sensibles, datos personales de menores de 14 años, o datos financieros y bancarios, y cuando la brecha suponga un alto riesgo para esas personas.
A diferencia de la regla de 72 horas del GDPR, la ley no establece un número fijo de horas dentro del cual deba producirse la notificación. Se espera que la agencia emita lineamientos específicos sobre los plazos aceptables durante el período de transición.
Coordinación con la Ley de Ciberseguridad
Las obligaciones de notificación de brechas de la Ley 21.719 operan junto con la Ley Marco de Ciberseguridad de Chile, Ley 21.663, que entró en plena vigencia en enero de 2025. La Ley 21.663 exige a los operadores de servicios esenciales e infraestructura de información crítica reportar incidentes de ciberseguridad significativos a la Agencia Nacional de Ciberseguridad (ANCI) a partir de marzo de 2025. Por lo tanto, las organizaciones de sectores como energía, salud y servicios financieros pueden enfrentar obligaciones paralelas de notificación de brechas, tanto ante la APDP como ante la ANCI.
Transferencias Internacionales de Datos
El Régimen Anterior
Bajo la Ley 19.628, no existían disposiciones que regularan las transferencias transfronterizas de datos personales. Las organizaciones transferían datos a nivel internacional sin un marco legal que abordara la adecuación o las garantías, lo que generaba una incertidumbre significativa.
El Nuevo Marco
La Ley 21.719 introduce un marco escalonado para las transferencias internacionales, inspirado en el modelo del GDPR.
Adecuación: las transferencias están permitidas libremente hacia países u organizaciones internacionales que la agencia determine que ofrecen un nivel adecuado de protección de datos personales. La agencia publicará y mantendrá una lista de jurisdicciones adecuadas.
Garantías adecuadas: en ausencia de una determinación de adecuación, las transferencias pueden realizarse cuando el responsable implemente garantías adecuadas, entre ellas:
- Cláusulas Contractuales Tipo aprobadas o emitidas por la agencia (el Ministerio de Economía emitió las Cláusulas Contractuales Tipo iniciales durante el período de transición)
- Normas corporativas vinculantes para las transferencias dentro de grupos multinacionales
- Mecanismos de certificación o programas de cumplimiento aprobados por la agencia
Excepciones: en circunstancias específicas, las transferencias pueden realizarse sin adecuación ni garantías, incluido el consentimiento explícito del titular, la ejecución o celebración de un contrato, razones importantes de interés público, procedimientos judiciales, y la protección de intereses vitales.

Sanciones Según la Ley 21.719
Clasificación de las Infracciones
La Ley 21.719 establece una clasificación de infracciones en tres niveles, cada uno con sanciones graduadas:
Infracciones leves: multas de hasta 5.000 UTM (aproximadamente USD 397.000). Las infracciones leves incluyen incumplimientos técnicos, como avisos de privacidad incompletos.
Infracciones graves: multas de hasta 10.000 UTM (aproximadamente USD 794.000). Las infracciones graves incluyen el incumplimiento de las solicitudes de derechos de los titulares, medidas de seguridad inadecuadas, y el tratamiento sin una base legal válida.
Infracciones gravísimas: multas de hasta 20.000 UTM (aproximadamente USD 1,5 millones). Las infracciones gravísimas incluyen el tratamiento a gran escala de datos sensibles sin consentimiento, fallas de seguridad graves que deriven en brechas, e incumplimientos reiterados de las órdenes de la agencia.
Sanciones Agravadas para Infractores Reincidentes
Para las organizaciones que no se clasifiquen como pequeñas empresas y que cometan infracciones graves o gravísimas reiteradas dentro de un período de 30 meses, la sanción puede calcularse alternativamente como un porcentaje de la facturación anual:
- Infracciones graves reiteradas: hasta el 2% de los ingresos anuales por ventas y servicios en Chile
- Infracciones gravísimas reiteradas: hasta el 4% de los ingresos anuales por ventas y servicios en Chile
En ambos casos, se aplica el mayor entre el tope en UTM y el porcentaje sobre la facturación. Para las grandes multinacionales, el cálculo basado en la facturación puede producir una multa significativamente más alta que el tope en UTM.
Sanciones Adicionales
Además de las sanciones económicas, la agencia puede emitir advertencias formales y amonestaciones públicas (registradas en el Registro Nacional), ordenar el cese del tratamiento ilícito, exigir la supresión o corrección de los datos tratados ilícitamente, y suspender las actividades de tratamiento por hasta 30 días en casos de infracciones gravísimas reiteradas.
Las entidades del sector público están sujetas a los mismos estándares sustantivos, aunque los mecanismos de sanción consideran su naturaleza pública.
Delegados de Protección de Datos
La Ley 21.719 no impone un requisito universal y obligatorio de designar un DPO. La ley crea un marco de programas de cumplimiento que es voluntario para la mayoría de las organizaciones del sector privado, pero aquellas que adopten dicho programa y designen a un DPO calificado pueden acceder a sanciones reducidas en los procedimientos de aplicación de la ley.
Existen excepciones importantes. La designación de un DPO es obligatoria para los organismos del sector público y para las organizaciones cuyas actividades principales impliquen el tratamiento a gran escala de datos personales, o el tratamiento a gran escala de datos sensibles (artículos 47 y 50).
Cuando se designe un DPO, la persona debe poseer conocimientos especializados en derecho y práctica de protección de datos, actuar con independencia y sin conflictos de interés, contar con recursos suficientes y el respaldo de la alta dirección, y servir como principal punto de contacto ante la Agencia y ante los titulares que ejerzan sus derechos.
Las micro, pequeñas y medianas empresas pueden cumplir la función de DPO a través de sus propietarios o de la alta dirección, en lugar de a través de un puesto dedicado.
Período de Transición y Cronograma de Implementación
Fechas Clave
| Evento | Fecha |
|---|---|
| Aprobación de la Ley 21.719 por el Congreso | 26 de agosto de 2024 |
| Publicación en el Diario Oficial | 13 de diciembre de 2024 |
| El Ministerio de Economía emite las Cláusulas Contractuales Tipo | 2025 (período de transición) |
| Nominación de los candidatos al Consejo Directivo ante el Senado | 2025 |
| Votación de confirmación del Senado (Consejo Directivo) | Pendiente al mes de mayo de 2026 |
| Asunción del Consejo Directivo (prevista) | Octubre de 2026 |
| Plena entrada en vigencia | 1 de diciembre de 2026 |
Qué Ocurre Durante la Transición
Durante la ventana de 24 meses, se están desarrollando varios procesos en paralelo.
La agencia se encuentra en proceso de constitución. El gobierno ha propuesto tres candidatos para el Consejo Directivo, y el Senado está avanzando en el proceso de confirmación. La ley exige que el consejo asuma el cargo al menos dos meses antes de la entrada en vigencia de diciembre de 2026.
La Ley 19.628 continúa siendo la ley operativa. Las denuncias y la aplicación de la ley durante el período de transición continúan bajo el marco existente, con sus mecanismos de aplicación limitados.
El Ministerio de Economía y otros organismos gubernamentales están desarrollando instrumentos de implementación. Las Cláusulas Contractuales Tipo para las transferencias internacionales se emitieron durante 2025. Una vez constituida, la agencia dictará instrucciones vinculantes, determinaciones de adecuación, lineamientos sobre las EIPD y otros materiales regulatorios.
Novedades Recientes (2025 a 2026)
Diciembre de 2024: se publica la Ley 21.719 en el Diario Oficial, dando inicio a la cuenta regresiva de 24 meses hacia su plena vigencia.
2025: el Ministerio de Economía emite las Cláusulas Contractuales Tipo para las transferencias internacionales de datos, brindando a las organizaciones una herramienta temprana de cumplimiento para las transferencias transfronterizas.
Enero de 2025: entra en plena vigencia la Ley Marco de Ciberseguridad de Chile, Ley 21.663. A partir de marzo de 2025, los operadores de servicios esenciales deben reportar incidentes de ciberseguridad significativos a la ANCI, creando un régimen de notificación paralelo que se cruza con las obligaciones de notificación de brechas de la Ley 21.719.
Comienzos de 2026: la discusión legislativa del Boletín N.° 18036-05 busca acelerar el proceso de designación del Consejo Directivo de la APDP.
Mayo de 2026: las comisiones conjuntas de Constitución y de Economía del Senado deliberan sobre la confirmación de los tres candidatos al Consejo Directivo. Un empate en la votación (5 a 5) en las comisiones obligó a convocar una sesión de reanudación el 19 de mayo de 2026 para intentar destrabar el estancamiento. Se espera que los nominados asuman el cargo en octubre de 2026, dos meses antes de que comience la plena vigencia.
Guía de Cumplimiento para las Empresas
Las organizaciones que traten datos personales de residentes chilenos deberían aprovechar los meses restantes antes de diciembre de 2026 para adoptar las siguientes medidas:
Mapeo de datos: identificar todas las categorías de datos personales recopilados y tratados, documentar las finalidades, las bases legales, los plazos de conservación y los flujos de datos, incluidas las transferencias a encargados y terceros.
Registro de tratamiento: establecer y mantener un Registro formal de Actividades de Tratamiento y un registro separado de incidentes, tal como lo exige la ley.
Revisión de las bases legales: auditar los mecanismos de consentimiento existentes e identificar bases legales alternativas cuando el tratamiento se sustente en fundamentos inadecuados. Actualizar los avisos de privacidad para reflejar todas las divulgaciones exigidas.
Procedimientos para los derechos de los titulares: implementar flujos operativos para responder a las solicitudes de acceso, rectificación, supresión, portabilidad, oposición y toma de decisiones automatizada dentro de los plazos exigidos.
Transferencias internacionales: revisar todos los flujos transfronterizos de datos. Cuando no existan determinaciones de adecuación, implementar Cláusulas Contractuales Tipo u otras garantías aprobadas.
Medidas de seguridad: evaluar las medidas técnicas y organizativas de seguridad conforme a los requisitos de la ley. Implementar un procedimiento de detección y notificación de brechas capaz de responder a los incidentes sin dilaciones indebidas.
Proceso de EIPD: identificar las actividades de tratamiento que requieran una EIPD y realizar las evaluaciones antes de diciembre de 2026. Consultar a la agencia cuando no puedan mitigarse los riesgos residuales altos.
Consideración del DPO: determinar si la designación de un DPO es obligatoria (sector público o tratamiento a gran escala de datos sensibles) o estratégicamente conveniente para reducir la exposición a sanciones mediante un programa voluntario de cumplimiento.
Contratos con encargados: revisar y actualizar los contratos con los encargados del tratamiento para incluir cláusulas obligatorias sobre confidencialidad, seguridad, limitación de la finalidad y notificación de incidentes, a fin de cumplir con los plazos regulatorios.
Datos de menores: verificar que cualquier tratamiento de datos de usuarios menores de 16 años cumpla con los requisitos escalonados de consentimiento según la edad previstos en la ley.
Para obtener información sobre cómo regula Chile la grabación de audio y video, consulte Leyes de Grabación en Chile.
Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento legal. Las leyes de protección de datos están sujetas a cambios; consulte a un abogado calificado para obtener asesoramiento específico sobre su situación.
Preguntas frecuentes
¿Cuándo entra en vigencia la nueva ley de protección de datos de Chile?
La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026. El período de transición de 24 meses permite a las organizaciones prepararse y otorga al gobierno tiempo para constituir la Agencia de Protección de Datos Personales.
¿Qué reemplaza a la Ley 19.628?
La Ley 21.719 reemplaza y moderniza la Ley 19.628 (1999). La ley original continúa vigente durante el período de transición; la plena vigencia del nuevo marco comienza el 1 de diciembre de 2026.
¿Chile cuenta con una autoridad de protección de datos?
Sí, conforme a la nueva ley. La Ley 21.719 crea la Agencia de Protección de Datos Personales como una autoridad de control autónoma con facultades de investigación, regulación y sanción. El Consejo Directivo de tres integrantes de la agencia se encontraba en proceso de confirmación por el Senado al mes de mayo de 2026, y se espera que asuma el cargo en octubre de 2026.
¿Cuáles son las sanciones máximas por infringir la ley de protección de datos de Chile?
Las infracciones gravísimas conllevan multas de hasta 20.000 UTM (aproximadamente USD 1,5 millones). En el caso de las grandes empresas que cometan infracciones graves o gravísimas reiteradas, las multas pueden alcanzar el 2% o el 4% de la facturación anual por ventas y servicios en Chile, lo que resulte mayor. La agencia también puede suspender las actividades de tratamiento por hasta 30 días.
¿Se requiere un Delegado de Protección de Datos según la Ley 21.719?
No de manera universal. La designación de un DPO es obligatoria para los organismos del sector público y las organizaciones cuyas actividades principales impliquen el tratamiento a gran escala de datos personales o de datos sensibles. Para las demás organizaciones, designar un DPO dentro de un programa voluntario de cumplimiento puede reducir la exposición a sanciones en los procedimientos de aplicación de la ley.
¿Pueden transferirse datos personales fuera de Chile?
Sí, conforme al nuevo marco. Las transferencias están permitidas hacia países que la Agencia determine que ofrecen protección adecuada, o mediante garantías adecuadas como las Cláusulas Contractuales Tipo (emitidas por el Ministerio de Economía durante el período de transición) o normas corporativas vinculantes. Las transferencias también pueden realizarse bajo excepciones específicas, incluidos el consentimiento explícito y la necesidad contractual.
¿La protección de datos es un derecho constitucional en Chile?
Sí. El artículo 19 N.° 4 de la Constitución de Chile garantiza el derecho al respeto y protección de la vida privada. Una reforma de 2018 agregó una garantía constitucional expresa de que el tratamiento y la protección de los datos personales se realizarán en la forma y condiciones que determine la ley.
¿Qué derechos otorga la Ley 21.719 a los titulares de datos?
La ley otorga los derechos de acceso, rectificación, supresión, oposición, bloqueo (suspensión temporal del tratamiento), portabilidad de los datos, y el derecho a oponerse a la toma de decisiones automatizada y a la elaboración de perfiles. Estos derechos amplían los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición) que existían bajo la Ley 19.628.
¿Cómo se protegen los datos de los menores según la nueva ley?
La ley crea un marco de tres niveles. El tratamiento de datos de menores de 14 años siempre requiere el consentimiento de los padres o tutores. Entre los 14 y los 15 años, se requiere el consentimiento parental para los datos sensibles, pero no para los datos personales generales. A partir de los 16 años, se aplican las reglas generales de la ley previstas para los adultos.
¿Cómo se relaciona la ley de protección de datos de Chile con su ley de ciberseguridad?
La Ley Marco de Ciberseguridad de Chile, Ley 21.663, entró en plena vigencia en enero de 2025 y exige a los operadores de servicios esenciales reportar incidentes de ciberseguridad significativos a la Agencia Nacional de Ciberseguridad (ANCI). Esa obligación de reporte se aplica desde marzo de 2025. Cuando la Ley 21.719 entre en vigencia en diciembre de 2026, los operadores de sectores esenciales podrían enfrentar obligaciones de notificación paralelas ante la APDP (en virtud de la ley de protección de datos) y ante la ANCI (en virtud de la ley de ciberseguridad).
Fuentes y referencias
- Ley 21.719: Biblioteca del Congreso Nacional de Chile(bcn.cl).gov
- FPF: panorama y contexto de la nueva ley de protección de datos de Chile(fpf.org)
- CMS: guía experta de protección de datos y ciberseguridad, Chile(cms.law)
- DLA Piper: leyes de protección de datos del mundo, Chile(dlapiperdataprotection.com)
- Chambers: Protección de Datos y Privacidad 2026, Chile(practiceguides.chambers.com)
- Anguita Osorio: cumplimiento del DPO según la Ley 21.719(anguitaosorio.cl)
- Senado de Chile: pronunciamiento pendiente sobre los consejeros de la Agencia de Protección de Datos(senado.cl).gov
- Allende & Brea: Chile implementa el reporte obligatorio de incidentes de ciberseguridad(allende.com)
- Carey: nueva autoridad de control, Agencia de Protección de Datos de Chile(protecciondedatos.carey.cl)
- Guerrero Olivos: publicación de la nueva ley de protección de datos personales en el Diario Oficial(guerrero.cl)