El 13 de diciembre de 2024 se publicó en el Diario Oficial la Ley 21.719, que moderniza completamente el marco de protección de datos personales en Chile. Esta ley reemplaza la antigua Ley 19.628 de 1999 y entra en plena vigencia el 1 de diciembre de 2026, dando a las organizaciones menos de dos años para adaptarse.
💡 En resumen: Si su empresa recopila, almacena o usa datos personales de personas en Chile — clientes, empleados, proveedores — la Ley 21.719 le aplica directamente.
¿Por qué se necesitaba esta ley?
La Ley 19.628 tenía más de 25 años y no contemplaba la realidad digital actual. No regulaba el tratamiento de datos en aplicaciones móviles, no establecía derechos claros para los ciudadanos ni sanciones efectivas para las empresas infractoras.
La Ley 21.719 moderniza este marco, inspirándose en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea — el estándar internacional más exigente en la materia.
¿A quién aplica?
La ley aplica a cualquier organización que realice tratamiento de datos personales en Chile, independiente de su tamaño:
- Empresas privadas (PYMES, grandes empresas, startups)
- Organismos públicos
- Organizaciones sin fines de lucro
- Empresas extranjeras que traten datos de personas en Chile
⚠️ Importante: No existe excepción por tamaño de empresa. Una PYME con 10 empleados que maneja datos de clientes tiene las mismas obligaciones que una corporación.
Los 5 derechos ARCOP
La ley establece 5 derechos fundamentales para los titulares de datos, que toda organización debe estar en condiciones de garantizar:
| Derecho | Artículo | Descripción | Plazo |
|---|---|---|---|
| Acceso | Art. 5° | Saber qué datos tiene la organización sobre el titular | 15 días hábiles |
| Rectificación | Art. 6° | Corregir datos inexactos o incompletos | 15 días hábiles |
| Cancelación | Art. 7° | Solicitar la eliminación de sus datos | 15 días hábiles |
| Oposición | Art. 8° | Oponerse al tratamiento de sus datos | 15 días hábiles |
| Portabilidad | Art. 9° | Recibir sus datos en formato estructurado y transferible | 15 días hábiles |
Principales obligaciones para las empresas
1. Designar un responsable de datos
Las organizaciones que traten datos a gran escala o datos sensibles deben designar un Delegado de Protección de Datos (DPD) — equivalente al DPO europeo — responsable de supervisar el cumplimiento.
2. Registrar las actividades de tratamiento
Toda organización debe mantener un registro interno que documente qué datos recopila, con qué finalidad, quién los accede y por cuánto tiempo se conservan.
3. Informar a los titulares
Los titulares deben ser informados de manera clara, en lenguaje comprensible, sobre cómo se usan sus datos. Esto se materializa en el aviso de privacidad que debe estar visible en todos los puntos de recopilación de datos.
4. Obtener consentimiento válido
El consentimiento para tratar datos debe ser libre, informado, específico e inequívoco. Las casillas premarcadas o el silencio no constituyen consentimiento válido.
5. Notificar brechas de seguridad
En caso de una filtración o brecha de datos, la organización debe notificar a la Agencia de Protección de Datos Personales (APDP) y, cuando corresponda, a los titulares afectados.
La nueva Agencia de Protección de Datos (APDP)
La ley crea la Agencia de Protección de Datos Personales, organismo autónomo encargado de fiscalizar el cumplimiento, recibir denuncias y aplicar sanciones. Es el equivalente chileno de la CNIL francesa o la AEPD española.
¿Cuándo entra en vigor?
La ley tiene diferentes plazos de entrada en vigor:
- Inmediato (2024): Algunas disposiciones ya están vigentes
- 1 de diciembre de 2026: Vigencia plena de todos los derechos y obligaciones
- Régimen sancionatorio: Activo desde la vigencia plena
🗓️ Quedan menos de 258 días. La adecuación completa toma entre 4 y 6 meses dependiendo del tamaño y complejidad de la organización. El momento de actuar es ahora.
¿Está su empresa preparada?
Realice el diagnóstico D360° gratuito y conozca su nivel de cumplimiento en 5 minutos.
Iniciar diagnóstico gratuito →