Ley 21.719: lo que tu organización
necesita saber
La reforma más importante a la protección de datos personales en Chile. Nueva autoridad fiscalizadora, multas significativas y obligaciones concretas para todas las organizaciones que traten datos personales.
Última actualización: 21 de mayo de 2026 · Contenido preparado por el equipo de Kulvio (Solutoria SpA).
Multas que exigen preparación
La Agencia de Protección de Datos Personales tendrá facultades reales de fiscalización y sanción. Las infracciones se clasifican en tres niveles.
Infracciones Leves
5.000 UTM
~USD 305.000
Amonestación escrita o multa. Incumplimientos formales y de información
Infracciones Graves
10.000 UTM
~USD 610.000
Reincidencia: hasta 3x multa o 2% ingresos anuales*
Infracciones Gravísimas
20.000 UTM
~USD 1.200.000
Reincidencia: hasta 3x multa o 4% ingresos anuales*
Valores aproximados basados en UTM de febrero 2026 ($69.611 CLP). *Los porcentajes de ingresos anuales aplican solo a empresas que no califican como de menor tamaño (Ley 20.416). Las sanciones se inscriben en el Registro Nacional de Sanciones por hasta 5 años.
Cronología de la ley
26 agosto 2024
Aprobación por el Congreso
La Ley 21.719 que modifica la Ley 19.628 sobre Protección de la Vida Privada es aprobada por el Congreso Nacional.
13 diciembre 2024
Publicación en el Diario Oficial
La ley es publicada en el Diario Oficial, iniciando el período de transición de 24 meses.
Junio 2025
Decretos reglamentarios
Plazo para la promulgación de los decretos reglamentarios que detallan la implementación de la ley.
Agosto 2026
Designación de consejeros de la Agencia
Plazo para la designación de los tres consejeros del Consejo Directivo de la Agencia de Protección de Datos Personales.
1 diciembre 2026
Entrada en vigencia
Todas las obligaciones, sanciones y derechos se vuelven exigibles. La Agencia de Protección de Datos Personales comienza a fiscalizar.
¿Qué debe hacer tu organización?
Las principales obligaciones que introduce la Ley 21.719 y cómo Kulvio te ayuda a cumplirlas.
Registro de Actividades de Tratamiento
Toda organización debe mantener un registro actualizado de las actividades de tratamiento de datos personales que realiza (Art. 14 ter).
Módulo RAT de KulvioEvaluación de Impacto (EIPD)
Obligatoria para tratamientos de alto riesgo: perfilamiento sistemático, tratamiento masivo de datos, vigilancia de zonas públicas, datos sensibles sin consentimiento.
Módulo EIPD de KulvioNotificación de brechas
Notificar a la Agencia sin dilación indebida cuando exista riesgo razonable para los derechos de los titulares. Datos sensibles requieren aviso a los afectados (Art. 14 sexies).
Módulo Brechas de KulvioDerechos de los titulares
Responder solicitudes de acceso, rectificación, supresión, oposición, portabilidad y bloqueo temporal en un plazo de 30 días (Arts. 5°-11°).
Módulo ARSOPB de KulvioTransferencias internacionales
Las transferencias de datos al extranjero requieren mecanismos habilitantes: decisiones de adecuación, cláusulas contractuales modelo, BCR o certificaciones (Arts. 27-28).
Módulo Transferencias de KulvioPrincipio de accountability
Las organizaciones deben poder demostrar cumplimiento con evidencia documentada: políticas, registros, evaluaciones y auditoría trazable.
Módulo Auditoría de KulvioTodas las organizaciones
que traten datos personales
La ley aplica a toda persona natural o jurídica, pública o privada, que realice tratamiento de datos personales. Incluye aplicación extraterritorial para organizaciones que traten datos de residentes chilenos.
Sector financiero
Bancos, aseguradoras, AFP, AGF y corredoras de bolsa. Alto volumen de datos sensibles y financieros.
Salud
Isapres, clínicas, laboratorios y prestadores. Datos de salud son datos sensibles por definición legal.
Retail, telecomunicaciones y SaaS
Empresas con bases de clientes masivas, programas de fidelización, marketing directo y plataformas digitales.