Nueva Ley de Protección de Datos Personales en Chile: Lo que tu empresa debe saber antes de 2026
Con la inminente entrada en vigor de la Ley N° 21.719 el 1 de diciembre de 2026, el ecosistema digital y empresarial chileno enfrenta uno de los mayores cambios legislativos en materia de privacidad y protección de datos personales. Esta ley no solo reemplazará a la antigua Ley 19.628, sino que transforma completamente la forma en que las organizaciones deben recolectar, almacenar, tratar y compartir la información personal de ciudadanos en Chile. Siguiendo estándares internacionales como el GDPR europeo, la reforma posiciona a Chile a la vanguardia regional en esta materia.
¿Está tu empresa preparada para este cambio normativo? En este artículo te explicamos los principales aspectos de la nueva normativa, sus implicancias empresariales y cómo puedes prepararte desde ya con el acompañamiento de expertos como EFECTUS.
¿Qué es la Ley N° 21.719 y por qué es tan relevante?
La Ley N° 21.719 sobre Protección y Tratamiento de Datos Personales establece un nuevo marco legal que fortalece la protección dfe la información personal en Chile. Fue diseñada teniendo como base el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, y busca corregir los vacíos de la regulación anterior, estableciendo principios más claros, derechos robustos para los ciudadanos y nuevas obligaciones para las organizaciones públicas y privadas que tratan datos personales [Fuente].
Algunos de los cambios fundamentales de esta ley incluyen:
- La creación de un organismo fiscalizador especializado: la Agencia de Protección de Datos Personales (APDP)
- La tipificación de nuevas categorías de datos sensibles
- El establecimiento de sanciones económicas severas
- La definición y exigencia del cumplimiento de principios esenciales como licitud, transparencia, confidencialidad y minimización de datos
Con su entrada en vigor agendada para diciembre de 2026, las organizaciones deben utilizar este período de transición para prepararse sin prisa, pero sin pausa.
Principios clave en el tratamiento de datos
Uno de los pilares de la nueva ley es la adopción de principios rectores que toda organización debe integrar en su gestión de datos personales. Estos principios no son solo una referencia jurídica, sino también una guía operativa que impacta en procesos, contratos, tecnologías y políticas internas.
Los principales principios establecidos por la ley son [Fuente]:
- Licitud y lealtad: Todo tratamiento de datos debe darse bajo una base legal válida. No basta con recolectar datos; se debe justificar y documentar la licitud de su uso.
- Finalidad: Los datos deben recolectarse con un propósito específico, lícito y previamente definido.
- Transparencia e información: Las empresas están obligadas a informar de manera clara y completa a los titulares sobre cómo se usan sus datos.
- Confidencialidad: Quienes accedan a los datos deben cumplir con deberes de secreto y seguridad.
En EFECTUS ayudamos a las organizaciones chilenas y latinoamericanas a alinear sus procesos con estos principios, a través de auditorías, implementación de políticas, y marcos normativos adecuados. Más detalles en nuestro sitio web: Servicios EFECTUS.
Derechos ARCO ampliados: una nueva era para los titulares de datos
La ley chilena adopta y amplía los llamados “Derechos ARCO” (Acceso, Rectificación, Cancelación y Oposición), incorporando nuevos derechos en línea con las mejores prácticas internacionales:
- Acceso: Los ciudadanos pueden saber exactamente qué datos tiene una organización sobre ellos y cómo los usa.
- Rectificación: Permite corregir datos erróneos o desactualizados.
- Supresión (o derecho al olvido): Cualquier persona puede pedir que sus datos sean eliminados si ya no son necesarios.
- Oposición: Los titulares pueden evitar que sus datos sean tratados en determinadas circunstancias.
- Portabilidad: Solicitar sus datos en formato estructurado para migrarlos a otro proveedor.
- Bloqueo temporal: Suspensión del tratamiento mientras se tramita una solicitud.
- Decisiones automatizadas: Derecho a no ser objeto de decisiones basadas únicamente en algoritmos, como en el caso de perfiles crediticios.
Las empresas están obligadas a habilitar canales y plataformas para gestionar estos requerimientos. En EFECTUS apoyamos el diseño e implementación de estos mecanismos, garantizando no solo el cumplimiento legal, sino también la confianza del usuario.
Categorías de datos protegidos: más allá de lo personal
Una de las novedades más significativas de la Ley 21.719 es la introducción de nuevas categorías especiales de datos que requieren mayores niveles de protección:
- Datos sensibles (salud, biometría, perfil biológico)
- Datos de niños, niñas y adolescentes
- Datos financieros y obligaciones comerciales
- Historial delictivo y antecedentes penales
Este enfoque conlleva que las organizaciones deban clasificar correctamente los tipos de datos que manejan, reforzar sus medidas de seguridad y ajustar sus protocolos internos. El tratamiento indebido de estas categorías tiene consecuencias legales más severas.
¿No sabes por dónde empezar? EFECTUS realiza evaluaciones de impacto en privacidad (PIA) y clasificaciones de datos como parte de su programa de adecuación a la Ley 21.719. Conoce más en: efectus.cl.
Agencia de Protección de Datos Personales: el nuevo ente fiscalizador
La ley asigna la supervisión y fiscalización del cumplimiento normativo a un nuevo organismo autónomo: la Agencia de Protección de Datos Personales (APDP) [Fuente].
Esta agencia tendrá atribuciones para:
- Dictar normas técnicas y guías de cumplimiento
- Realizar auditorías regulatorias
- Imponer multas y sanciones
- Recibir y gestionar denuncias de los titulares
- Supervisar transferencias internacionales de datos
La creación de esta entidad asegura que el cumplimiento ya no será una cuestión opcional: será fiscalizado activamente, y con consecuencias económicas significativas para las empresas que no estén listas.
Multas de hasta 20.000 UTM: ¿vale la pena arriesgar?
El régimen sancionatorio de la nueva ley introduce multas de hasta 20.000 UTM, equivalentes a más de US$ 1,39 millones [Fuente]. Estas pueden variar dependiendo de la gravedad de la infracción, la cantidad de afectados, el uso indebido de la información o el incumplimiento ante requerimientos de la autoridad.
Para evitar riesgos reputacionales, judiciales y comerciales, las empresas deben prepararse desde ya. Algunas medidas urgentes que recomendamos incluyen:
- Diagnóstico de brechas respecto de la Ley 21.719
- Diseño e implementación de un modelo de gobernanza de datos
- Capacitación regular del personal sobre políticas de privacidad y tratamiento de datos
- Revisión de contratos con terceros que tengan acceso a datos personales
En EFECTUS desarrollamos programas completos de cumplimiento normativo e implementación de controles basados en estándares internacionales como ISO 27701, ISO 27001 y Data Privacy Impact Assessments (DPIA), muchas veces requeridos para certificaciones y alianzas comerciales. Para más información sobre la intersección entre ciberseguridad y cumplimiento normativo, consulta nuestro artículo sobre ciberseguridad.
Propuestas parlamentarias de modificación: ¿qué cambios podrían venir?
Actualmente se discute en el Congreso una moción parlamentaria (Boletín N° 18.060-07) que busca modificar algunos artículos de la Ley 21.719 para equilibrar la protección de datos con la dinámica empresarial [Fuente].
Algunos cambios propuestos incluyen:
- Eliminar la obligación de designar un representante legal en Chile para responsables extranjeros, permitiendo solo un medio de contacto.
- Autorizar explícitamente transferencias de datos entre empresas de un mismo grupo empresarial.
- Reincorporar las “fuentes de acceso público” como base lícita de tratamiento sin consentimiento.
- Limitar ciertas definiciones de “datos sensibles” para evitar interpretaciones excesivamente amplias.
Estos ajustes buscan brindar más flexibilidad a las empresas sin sacrificar el nivel de protección esperado por los ciudadanos. En cualquier escenario, es crucial seguir adaptando procesos y estructuras al núcleo de la ley vigente.
El cambio más importante: la cultura organizacional
Más allá de la normativa escrita, lo que propone la Ley 21.719 es un cambio cultural profundo: entender que los datos personales son un aspecto clave de los derechos fundamentales y que protegerlos es una responsabilidad compartida entre empresas y Estado [Fuente].
Formar equipos conscientes, capacitar regularmente al personal y fomentar una cultura organizacional de protección de datos será determinante para evitar errores y ganar la confianza de los usuarios.
EFECTUS ofrece programas de concientización, simulaciones prácticas, talleres para DPOs y oficiales de cumplimiento, y acompañamiento continuo en la implementación del ciclo completo de protección de datos. Para más información sobre cómo la inteligencia artificial puede integrarse en este proceso, te invitamos a revisar nuestro artículo relacionado.
Conclusión: ¿Estás listo para diciembre de 2026?
La cuenta regresiva ya empezó. La nueva Ley N° 21.719 transformará la manera en que se concibe, recolecta y protege la información personal en Chile, y exigirá a todas las organizaciones — públicas y privadas — repensar sus prácticas de tratamiento, privacidad y ciberseguridad.
No hacerlo implica enfrentar riesgos regulatorios, reputacionales y comerciales. Pero prepararse con tiempo permite generar ventajas competitivas sostenibles y proyectarse como un actor confiable en la economía digital.
En EFECTUS, acompañamos a organizaciones chilenas y latinoamericanas en todo el proceso de adecuación normativa, gestión de riesgos, evaluaciones de impacto en privacidad y capacitación de equipos multidisciplinarios. Si quieres asegurar el cumplimiento y fortalecer tu resiliencia operativa, te invitamos a contactarnos a través de nuestra página de contacto.
¡Comienza hoy tu camino hacia el cumplimiento completo de la Ley de Protección de Datos Personales!