¿Cuándo entra en vigencia la Ley 21.719?

El 1 de diciembre de 2026. Esa fecha marca el fin del período de transición de 24 meses desde su publicación en diciembre de 2024 y el inicio de la fiscalización por parte de la Agencia.

¿La Ley 21.719 aplica a las pymes?

Sí, aplica a empresas de todo tamaño. Las pymes tienen una ventana de 12 meses en la que pueden recibir amonestación en lugar de multa, pero deben cumplir igual.

¿Cuál es la multa máxima de la Ley 21.719?

Hasta 20.000 UTM por infracción gravísima, cerca de $1.430 millones al valor UTM de junio de 2026. En reincidencia, una empresa no-pyme puede enfrentar hasta el 4% de sus ingresos anuales.

¿Qué pasó con la Ley 19.628?

La Ley 21.719 modifica y moderniza la Ley 19.628 de 1999. No la deroga por completo, sino que reforma su contenido y le agrega una autoridad fiscalizadora real y sanciones efectivas.

¿Necesito el consentimiento de mis clientes para usar sus datos?

El consentimiento es una de las bases legales, pero no la única. También puedes tratar datos por contrato, obligación legal o interés legítimo. Cuando uses consentimiento, debe ser libre, específico, informado e inequívoco, y revocable.

Ley 21.719 explicada: guía para empresas (2026)

Si tu empresa guarda nombres, correos, RUT, datos de clientes o de trabajadores, la Ley 21.719 te aplica. No importa si eres una pyme de cinco personas o un holding: el día que la ley entra en plena vigencia, las reglas son las mismas para todos y la Agencia ya puede fiscalizar. El problema es que muchas empresas todavía creen que "tener una política de privacidad" basta, y no es así.

Qué es la Ley 21.719 y por qué cambia el juego

La Ley 21.719 modifica la antigua Ley 19.628, que regulaba la protección de la vida privada en Chile desde 1999. Fue publicada en el Diario Oficial el 13 de diciembre de 2024 y estableció un período de transición de 24 meses, que termina el 1 de diciembre de 2026. Desde esa fecha, todas sus obligaciones, derechos y sanciones se vuelven exigibles.

El cambio de fondo es simple: la Ley 19.628 casi no tenía dientes. No existía una autoridad fiscalizadora propia, las sanciones eran simbólicas y los derechos de las personas eran limitados. La Ley 21.719 corrige eso y alinea a Chile con estándares internacionales como el Reglamento General de Protección de Datos europeo (GDPR). En la práctica, la protección de datos deja de ser un tema solo del área legal y pasa a ser un proyecto que toca toda la operación: sistemas, contratos, procesos y la forma en que pides permiso para usar los datos.

¿A quién obliga exactamente la Ley 21.719?

La respuesta corta es: a casi todos. La ley aplica a cualquier organización pública o privada que trate datos personales de personas que estén en Chile, sin importar su tamaño ni dónde tenga su sede.

Empresas privadas de cualquier rubro: comercio, salud, educación, servicios, tecnología.
Pymes, sin excepción de fondo, aunque tienen una ventana de gracia los primeros 12 meses.
Organismos públicos que traten datos de ciudadanos.
Empresas extranjeras que ofrezcan bienes o servicios a personas en Chile o monitoreen su comportamiento.

Quedan fuera los tratamientos puramente personales o domésticos (por ejemplo, tu agenda de contactos personal).

Las multas: cuánto está realmente en juego

El régimen de sanciones es lo que más preocupa a las gerencias, y con razón. La ley clasifica las infracciones en tres niveles, con multas calculadas en UTM (Unidad Tributaria Mensual).

Tipo de infracción	Multa máxima (UTM)	Equivalente aprox. en CLP*
Leve	5.000 UTM	≈ $357,5 millones
Grave	10.000 UTM	≈ $715 millones
Gravísima	20.000 UTM	≈ $1.430 millones

*Valores referenciales al valor UTM de junio de 2026 ($71.506). El monto exacto depende del valor de la UTM vigente al momento de la sanción.

Además, hay un agravante por reincidencia: para empresas que no califican como de menor tamaño (según la Ley 20.416), una infracción grave o gravísima repetida puede llegar al 2% o 4% de los ingresos anuales por ventas y servicios en Chile, o la multa triplicada, lo que resulte mayor. También existen sanciones accesorias: suspensión del tratamiento, prohibición temporal o definitiva, y publicación en un Registro Nacional de Sanciones por hasta 5 años.

¿Y las pymes? La ventana de gracia

La ley reconoce que las empresas de menor tamaño necesitan tiempo. Durante los primeros 12 meses de vigencia (1 de diciembre de 2026 a 1 de diciembre de 2027, según el artículo sexto transitorio), una pyme que incumpla puede recibir una amonestación por escrito en lugar de una multa. Ojo: es una ventana, no una exención. Cumplir igual es obligatorio, y la amonestación deja constancia de la infracción.

Las obligaciones básicas que tu empresa debe preparar

No tienes que convertirte en abogado, pero sí ordenar la casa. Lo esencial:

Registro de Actividades de Tratamiento (RAT): inventario de qué datos tratas, para qué y con quién los compartes.
Base de licitud: justificar legalmente cada tratamiento (consentimiento, contrato, obligación legal, interés legítimo, entre otras).
Derechos de los titulares (ARCO+): habilitar un canal para que las personas accedan, rectifiquen, supriman, se opongan, porten o bloqueen sus datos.
Notificación de brechas: avisar a la Agencia y a los afectados cuando ocurra una filtración (plazo habitualmente citado: 72 horas — verificar en el reglamento definitivo).
Delegado de Protección de Datos (DPO): obligatorio en ciertos casos, recomendable en muchos otros.

Conclusión

La Ley 21.719 transforma la protección de datos en Chile de un trámite simbólico a una obligación con consecuencias reales de hasta 20.000 UTM. La fecha clave es el 1 de diciembre de 2026, y la mejor estrategia es empezar a ordenar tus tratamientos hoy, no en noviembre. Si quieres saber exactamente en qué punto está tu empresa, puedes hacer una auditoría de cumplimiento de la Ley 21.719 acá.

Ley 21.719 explicada: guía completa para empresas en Chile