Ir al contenido principal

Ley 21.719: ¿Está tu Empresa Preparada para las Nuevas Reglas de Datos Personales en Chile?

Las multas de hasta 20.000 UTM (o 4% de los ingresos anuales) ya son una realidad. Analizamos lo que todo empresario debe saber.

Durante años, la gestión de datos de clientes en Chile operó bajo una normativa (la Ley 19.628) que, en la práctica, tenía poca fiscalización y sanciones limitadas. Muchos empresarios veían el cumplimiento como un trámite secundario. Esa era ha terminado drásticamente.

La nueva Ley 21.719, publicada a fines de 2024 y que entra en vigencia el 1 de diciembre de 2026, no es una simple actualización: es una refundación total del sistema. Introduce un ente fiscalizador con poder real y multas que pueden poner en jaque la viabilidad de un negocio. En este artículo, desglosaremos los 4 cambios críticos que esta ley impone a su empresa y cómo debe empezar a adaptarse desde hoy.

Nace un Nuevo Fiscalizador: La Agencia de Protección de Datos (APDP)

El cambio más trascendental de la Ley 21.719 es la creación de la Agencia de Protección de Datos Personales (APDP). Antes, no existía una autoridad central dedicada a vigilar el cumplimiento de estas normas.

La APDP es una corporación autónoma, de carácter técnico, similar en su poder a otras entidades fiscalizadoras. Su misión es clara:

  • Fiscalizar activamente a las empresas (públicas y privadas).

  • Interpretar la norma y dictar instrucciones generales.

  • Resolver los reclamos de los ciudadanos.

  • Sancionar los incumplimientos.

En simple: por primera vez, hay un "guardián" dedicado exclusivamente a la privacidad, con las herramientas legales para hacer cumplir la ley.

El Costo de Incumplir: Un Régimen Sancionatorio que Impone Respeto

La nueva ley abandona las sanciones testimoniales y adopta un modelo disuasivo, similar al europeo. Las multas ahora duelen y están diseñadas para incentivar el cumplimiento.

El sistema clasifica las infracciones en leves, graves y gravísimas:

  • Infracciones Leves: Pueden ir desde una amonestación hasta multas de 5.000 UTM.

  • Infracciones Graves: Como tratar datos sin una base legal (ej. sin consentimiento) o vulnerar la seguridad. Las multas llegan hasta 10.000 UTM.

  • Infracciones Gravísimas: Como tratar datos sensibles de forma fraudulenta o tratar datos de niños y adolescentes contraviniendo la ley. Las multas alcanzan las 20.000 UTM.

La Regla Especial para Grandes Empresas

Aquí yace uno de los mayores riesgos. Para las grandes empresas que reincidan en infracciones graves o gravísimas, la ley establece un criterio alternativo: la multa puede llegar hasta el 4% de los ingresos anuales del último ejercicio, si este monto es superior a las UTM.

Este es un cambio estratégico: la multa se vincula directamente a la capacidad económica del infractor, asegurando que el impacto sea significativo.

Más Allá del Consentimiento: Las Nuevas Obligaciones para tu Negocio

La ley 21.719 eleva el estándar de lo que se espera de una empresa. Ya no basta con tener un "check box" en la web. Ahora, la responsabilidad es proactiva y debe demostrarse.

Protección "Desde el Diseño y por Defecto"

Este principio obliga a las empresas a incorporar la privacidad en la creación misma de sus productos o servicios. No se trata de añadir un "parche" de seguridad al final, sino de diseñar el sistema para que, por defecto, solo trate los datos estrictamente necesarios para su fin.

Deber de Reportar Vulneraciones de Seguridad

Se acabó el silencio ante un ciberataque. Si una empresa sufre una vulneración de seguridad (un hackeo, una filtración) que implique un riesgo para los derechos de las personas, tiene la obligación de reportarlo a la Agencia (APDP) sin dilaciones indebidas. Si la vulneración afecta datos sensibles o económicos, también debe notificar a los titulares afectados. Omitir este reporte es, en sí mismo, una infracción grave.

Evaluaciones de Impacto (EIPD)

Antes de iniciar un tratamiento de datos que pueda entrañar un "alto riesgo" (como el tratamiento masivo de datos, el uso de biometría a gran escala o la elaboración de perfiles de comportamiento), la empresa deberá realizar una Evaluación de Impacto en la Protección de Datos. Este es un análisis preventivo de riesgos que debe ser documentado.

El Cliente como Dueño de sus Datos: Los Nuevos Derechos

La ley empodera significativamente a los ciudadanos. Además de los derechos clásicos de Acceso, Rectificación, Supresión y Oposición, se consagra explícitamente el derecho a la Portabilidad.

Este último es crucial: un cliente puede exigir que su información personal le sea entregada en un formato electrónico estructurado y de uso común, permitiéndole "llevarse" sus datos a un competidor. Esto obliga a las empresas a tener sistemas capaces de exportar esta información de manera ágil y segura.

Conclusión

La Ley 21.719 no es una simple actualización; es un cambio de paradigma que alinea a Chile con los estándares internacionales más exigentes. La creación de la APDP y el drástico aumento de las multas transforman la gestión de datos personales de un tema meramente técnico a un riesgo estratégico de primer nivel. Ignorar estas reglas o postergar la adaptación ya no es una opción viable.

Llamado a la Acción (CTA)

Si su empresa maneja datos de clientes, proveedores o trabajadores, esta ley es directamente relevante para usted. Una asesoría a tiempo es la mejor inversión para evitar sanciones y construir confianza. No espere a la primera fiscalización.

Contácteme para una evaluación preliminar y asegure que su negocio cumple con la nueva normativa. 

contacto@rojasabogado.com 


Comentarios

Publicar un comentario

Entradas populares de este blog

How to adopt a chilean child or adolescent.

Receipt of applications for the adoption of marriages abroad. Chilean law allows married couples living outside the country to adopt children and / or adolescents in Chile, provided that the National Children's Service of Chile (Sename) as complying with the physical demands, mental, psychological and moral to do so. The National Children's Service of Chile (Sename), is the Central Authority for Adoption in Chile, legally and technically evaluates the documents sent from abroad by the marriage applicant. Check if the documentation is complete, conforms to legal requirements and if appropriate to rule on the physical fitness, mental, psychological and moral exercise adoptive parenting a child in Chile. If the marriage is considered appropriate, they enter to the National List of Persons Interested in Adopting a Chilean Child, Residence Abroad. From this entry in the Register, the couple is able to eventually be considered as an adoptive family for a child who ...
Publicar un comentario
Read more »

Venta de propiedades gravadas con hipoteca, el alzamiento.

Es muy común, al intervenir en negocios inmobiliarios, en que se desea vender una propiedad adquirida con crédito hipotecario, toparse con la circunstancia de que los títulos de propiedad estén aun gravados con esa hipotecas y prohibición de enajenar, debido a que el vendedor nunca realizo el trámite de alzamiento y cancelación, una vez pagado el crédito con que adquirió el inmueble. El trámite de alzamiento, que por lo general viene aparejado de una cancelación de una prohibición, requiere de la redacción de una escritura de alzamiento de hipoteca y cancelación de saldo de precio, que en el caso de que el acreedor hipotecario resulte ser un banco, este puede llegar a demorar cerca de 30 días. Los bancos suelen solicitar un certificado de Hipotecas y Gravámenes, copia de la escritura y un poder notarial, en el caso de no realizar el trámite personalmente. Así mismo el banco revisa en forma interna si existe algún remanente de deuda, con el fin de que sea pagado en esa oportunidad. ...
Read more »

¿Dónde debe estar ubicado el Sistema de Control de Asistencia?

Con fecha 28 de septiembre de 2011, la Directora del Trabajo, por ordinario n°3870/079 ha interpretado  administrativamente, las normas relativas al Control de Asistencia, dando respuestas prácticas al problema de su ubicación.- Como resulta lógico, este sistema fue creado con el fin de dar seguridad por un lado a empleador como trabajador del cumplimiento de la jornada laboral, y por la otra fidelidad de la información obtenida por ese sistema.- "Por ende, el empleador debe ubicar el sistema de registro de control de la asistencia y jornada del personal, en el lugar o sitio específico en que este cumpla sus funciones, conforme con lo sostenido por la jurisprudencia administrativa de este Servicio contenida, entre otros dictámenes, en Ordinarios Nº1907/91, de 24.03.95 y Nº2.309-080, de 20.04.92".- Pero cuál es ese lugar o sitio específico, en que el sistema pueda cumplir sus funciones. La doctrina y jurisprudencia han indicado que dicho objetivo podrá cumplirse ún...
Read more »