Ley 21.719
Ley sobre Protección de Datos Personales — Resumen ejecutivo para organizaciones.
Publicación: 13 de diciembre de 2024 · Entrada en vigencia: 1 de diciembre de 2026 · Resumen revisado el 21 de mayo de 2026
Antecedentes
La Ley 21.719, publicada el 13 de diciembre de 2024, modifica la Ley 19.628 sobre Protección de la Vida Privada y establece un nuevo marco regulatorio integral para la protección de datos personales en Chile. La ley entra en plena vigencia el 1 de diciembre de 2026, otorgando un período de adecuación de 24 meses.
Chile se convierte así en uno de los primeros países de Latinoamérica en contar con una legislación de protección de datos alineada con estándares internacionales como el RGPD europeo.
Autoridad de control
Se crea la Agencia de Protección de Datos Personales, organismo autónomo con facultades para:
- Fiscalizar el cumplimiento de la ley.
- Aplicar sanciones administrativas.
- Dictar instrucciones generales y normativa complementaria.
- Resolver reclamaciones de los titulares de datos.
- Administrar el Registro Nacional de Sanciones y Cumplimiento.
Principios fundamentales
La ley establece los siguientes principios rectores del tratamiento de datos personales:
- Licitud y lealtad: el tratamiento debe tener una base legal y realizarse de buena fe.
- Finalidad: los datos solo pueden tratarse para fines específicos, explícitos y legítimos.
- Proporcionalidad: los datos tratados deben ser adecuados, pertinentes y limitados a lo necesario.
- Calidad: los datos deben ser exactos, completos y actualizados.
- Responsabilidad: el responsable debe demostrar cumplimiento proactivo (accountability).
- Seguridad: se deben implementar medidas técnicas y organizativas apropiadas.
- Transparencia: los titulares deben ser informados de forma clara sobre el tratamiento.
- Confidencialidad: quienes traten datos deben guardar secreto sobre ellos.
Derechos de los titulares (ARSOPB)
La ley reconoce y fortalece los derechos de los titulares de datos personales. Bajo la Ley 19.628 original se conocían como derechos ARCOP (Acceso, Rectificación, Cancelación, Oposición, Portabilidad). La Ley 21.719 los amplía y precisa como ARSOPB — incorporando expresamente la Supresión (Art. 7°) y el Bloqueo temporal (Art. 8° ter) como derechos diferenciados:
- Acceso: conocer qué datos se tratan, con qué finalidad y a quién se comunican.
- Rectificación: solicitar la corrección de datos inexactos o incompletos.
- Supresión (cancelación): solicitar la eliminación de datos cuando ya no sean necesarios.
- Oposición: oponerse al tratamiento de datos en ciertos supuestos.
- Portabilidad: recibir los datos en un formato estructurado, de uso común y lectura mecánica.
- Bloqueo temporal: solicitar la suspensión temporal del tratamiento mientras se resuelve una solicitud.
El responsable debe responder a estas solicitudes en un plazo máximo de 30 días corridos, prorrogable por una sola vez por otros 30 días corridos.
Bases de licitud
El tratamiento de datos personales solo es lícito cuando se fundamenta en alguna de las siguientes bases:
- Consentimiento del titular (libre, informado, específico e inequívoco).
- Tratamiento de datos relativos a obligaciones económicas, financieras, bancarias o comerciales.
- Ejecución o cumplimiento de una obligación legal.
- Celebración o ejecución de un contrato entre el titular y el responsable.
- Interés legítimo del responsable (con ponderación de derechos del titular).
- Formulación, ejercicio o defensa de un derecho ante tribunales u órganos públicos.
- Tratamiento por organismos públicos en ejercicio de sus funciones.
Obligaciones del responsable
La ley impone las siguientes obligaciones principales a los responsables del tratamiento:
- Registro de actividades de tratamiento (RAT): mantener un registro detallado de todas las actividades de tratamiento.
- Evaluación de impacto (EIPD): realizar evaluaciones de impacto en la protección de datos cuando el tratamiento pueda generar un alto riesgo.
- Notificación de brechas: comunicar a la Agencia y a los titulares afectados las vulneraciones de seguridad que afecten datos personales.
- Delegado de protección de datos (DPO): la ley faculta (no obliga) al responsable a designar un delegado. Es requisito solo si se adopta voluntariamente un modelo de prevención de infracciones (Art. 49).
- Contratos con encargados: formalizar por escrito las relaciones con terceros que traten datos por cuenta del responsable.
- Transferencias internacionales: garantizar niveles adecuados de protección cuando los datos se transfieran fuera de Chile.
- Políticas de privacidad: informar de forma clara y accesible sobre el tratamiento de datos.
Datos sensibles
La ley establece categorías especiales de datos que requieren protección reforzada:
- Origen étnico o racial.
- Afiliación política, sindical o gremial.
- Situación socioeconómica.
- Convicciones ideológicas o filosóficas.
- Creencias religiosas.
- Datos relativos a la salud, al perfil biológico humano y datos biométricos.
- Información relativa a la vida sexual, orientación sexual e identidad de género.
La ley también establece protección reforzada para categorías especiales: datos de niños, niñas y adolescentes (Art. 16 quinquies) y datos relativos a infracciones penales, civiles, administrativas y disciplinarias (Art. 25).
El tratamiento de datos sensibles requiere consentimiento expreso o una base legal específica.
Régimen de sanciones
La Agencia de Protección de Datos Personales puede aplicar las siguientes multas:
Incumplimientos menores como falta de información al titular, no mantener registro de actividades actualizado, o no responder solicitudes dentro del plazo legal.
Tratar datos sin base de licitud, no realizar evaluaciones de impacto cuando corresponda, impedir el ejercicio de derechos de los titulares, o no notificar brechas de seguridad.
Tratar datos sensibles sin consentimiento, transferir datos internacionalmente sin garantías adecuadas, u obstruir la labor de la Agencia. En reincidencia: hasta el 4% de los ingresos anuales.
Transferencias internacionales
La ley regula las transferencias de datos personales fuera de Chile, permitiéndolas cuando:
- El país destinatario cuente con un nivel adecuado de protección (determinado por la Agencia).
- Se otorguen garantías apropiadas (cláusulas contractuales tipo, normas corporativas vinculantes, certificaciones).
- El titular otorgue consentimiento expreso e informado.
- La transferencia sea necesaria para la ejecución de un contrato.
Calendario de implementación
Publicación de la Ley 21.719 en el Diario Oficial.
Constitución de la Agencia de Protección de Datos Personales (plazo estimado).
Publicación de reglamentos e instrucciones generales por parte de la Agencia.
Entrada en vigencia plena de la ley. Inicio de fiscalización y aplicación de sanciones.
¿Quiénes deben cumplir?
La ley aplica a toda persona natural o jurídica, pública o privada, que realice tratamiento de datos personales en Chile o respecto de titulares que se encuentren en territorio chileno. Esto incluye:
- Empresas de todos los tamaños y sectores.
- Instituciones financieras y de seguros.
- Prestadores de salud (clínicas, laboratorios, isapres).
- Empresas de tecnología y SaaS.
- Retail, telecomunicaciones y comercio electrónico.
- Organismos públicos y municipalidades.
- Instituciones educativas.
- Organizaciones que transfieran datos fuera de Chile.
Cómo prepararse con Kulvio
Kulvio es una plataforma diseñada específicamente para facilitar el cumplimiento de la Ley 21.719. Nuestros módulos cubren las principales obligaciones:
- Registro de Actividades de Tratamiento — Inventario completo y automatizado de tratamientos.
- Evaluación de Impacto (EIPD) — Flujo guiado con matrices de riesgo pre-configuradas.
- Gestión de Brechas — Detección, evaluación, notificación y seguimiento de incidentes.
- Gestión de Vendors — Due diligence, contratos y monitoreo de terceros.
- Transferencias Internacionales — Control de flujos transfronterizos y garantías.
- Derechos ARSOPB — Portal de solicitudes con seguimiento de plazos legales.
- Políticas y Avisos — Generador de documentos con versionado y evidencia de publicación.
- Auditoría — Trazabilidad completa de todas las acciones en la plataforma.
Recursos adicionales
Aviso legal
Este documento es un resumen informativo y no constituye asesoría legal. Para una interpretación oficial de la ley, consulta el texto oficial en la Biblioteca del Congreso Nacional o asesórate con un abogado especializado.