Por 25 años, Chile tuvo una ley de datos que casi nadie temía. La Ley 19.628 existía, pero sin alguien que la fiscalizara y con sanciones que no asustaban a nadie. La Ley 21.719 cambia esa historia. Entender qué pasó de la Ley 19.628 a la nueva norma te ayuda a ver por qué ahora sí tienes que actuar.
Qué cambió de la Ley 19.628 a la Ley 21.719
La Ley 19.628 sobre protección de la vida privada se publicó en 1999. Fue pionera para su época, pero quedó obsoleta: no creó una autoridad de control, las sanciones eran mínimas y los derechos de las personas eran difíciles de ejercer en la práctica. Durante años, incumplir tuvo pocas consecuencias reales.
La Ley 21.719, publicada el 13 de diciembre de 2024 y vigente plenamente desde el 1 de diciembre de 2026, no reemplaza el nombre de la 19.628 sino que la reforma a fondo y le agrega lo que faltaba: una autoridad con poder, sanciones que duelen y derechos con mecanismos concretos. Se inspira fuertemente en el modelo europeo (GDPR).
Comparación: antes y después
| Aspecto | Ley 19.628 (1999) | Ley 21.719 (vigente 2026) |
|---|---|---|
| Autoridad fiscalizadora | No existía | Agencia de Protección de Datos Personales |
| Sanciones | Simbólicas | Hasta 20.000 UTM + % de ingresos en reincidencia |
| Derechos del titular | Limitados (ARCO básicos) | ARCO+ ampliados: acceso, rectificación, supresión, oposición, portabilidad y bloqueo |
| Notificación de brechas | No obligatoria | Obligatoria a la Agencia y a los afectados |
| Registro de tratamientos (RAT) | No exigido | Obligatorio |
| Delegado de Protección de Datos (DPO) | No contemplado | Exigido en ciertos casos |
| Evaluación de impacto (EIPD) | No contemplada | Obligatoria en tratamientos de alto riesgo |
| Alcance extraterritorial | Débil | Alcanza a empresas extranjeras que tratan datos de personas en Chile |
Por qué el cambio te obliga a actuar ahora
Si tu empresa "cumplía" la Ley 19.628 con una política de privacidad genérica, esa estrategia ya no sirve. Los puntos que más se sienten en el día a día:
- Hay quien fiscaliza. La Agencia puede investigar de oficio y pedir evidencia, no solo reaccionar a denuncias.
- Las multas son disuasivas. Pasaron de simbólicas a montos que llegan al comité ejecutivo.
- Las personas tienen herramientas. Pueden exigir acceso, supresión o portabilidad de sus datos, y tu empresa debe responder dentro de plazo.
- Hay que documentar. El RAT y las bases legales son exigibles y son lo primero que pide un fiscalizador.
¿Y si ya cumplía con GDPR?
Buenas noticias: si tu organización ya se alineó con el reglamento europeo, la brecha es menor. La Ley 21.719 está fuertemente inspirada en GDPR, así que puedes reutilizar políticas, registros de tratamiento y procedimientos, ajustándolos a las particularidades chilenas (como los plazos y la referencia a la UTM).
Conclusión
El paso de la Ley 19.628 a la Ley 21.719 es el salto de una ley sin consecuencias a una con autoridad, multas de hasta 20.000 UTM y derechos exigibles. Lo que antes era opcional ahora es obligatorio y fiscalizable desde diciembre de 2026. Puedes revisar qué te falta para pasar del viejo al nuevo régimen acá.