¿La Ley 21.719 obliga a las PYMEs? La respuesta clara

Equipo auditorialey21719.clPublicado el 14 de junio de 2026

"Soy una pyme, ¿esto realmente me obliga?" Es una de las dudas más comunes y peligrosas, porque muchas pymes asumen que están exentas y no lo están. Aquí va la respuesta clara, sin rodeos, sobre cómo la Ley 21.719 afecta a las empresas de menor tamaño.

¿La Ley 21.719 obliga a las pymes? Sí

La respuesta directa es sí: la Ley 21.719 obliga a las pymes. La ley aplica a toda organización que trate datos personales de personas en Chile, sin establecer un umbral mínimo de tamaño que exima a las empresas pequeñas. Si tu pyme tiene clientes, proveedores o trabajadores cuyos datos guarda, está dentro del alcance de la ley.

La confusión suele venir de la ventana de gracia: las pymes tienen un trato inicial más benévolo, pero eso no es lo mismo que estar exentas. La obligación existe; lo que cambia es la consecuencia inicial de no cumplir.

La ventana de gracia para pymes

Según el artículo sexto transitorio, durante los primeros 12 meses de vigencia (del 1 de diciembre de 2026 al 1 de diciembre de 2027), una empresa de menor tamaño (según la Ley 20.416) que incumpla puede recibir una amonestación por escrito en lugar de una multa.

AspectoPymeEmpresa grande
¿Debe cumplir?Sí, desde el 1 dic 2026Sí, desde el 1 dic 2026
Primeros 12 mesesPosible amonestación en vez de multaMultas aplican de inmediato
Multa por % de ingresos (reincidencia)No aplicaAplica (2% o 4%)

Qué deben hacer las pymes para cumplir

Cumplir no requiere un departamento legal entero. Para la mayoría de las pymes, lo esencial es:

  • Armar el RAT: un inventario simple de qué datos manejas y para qué.
  • Asignar bases legales: justificar cada tratamiento (consentimiento, contrato, etc.).
  • Habilitar derechos ARCO+: un canal para que las personas ejerzan sus derechos.
  • Revisar proveedores: contratos de encargo con quienes tratan datos por ti.
  • Tener un plan de brechas: saber a quién avisar y cómo si hay un incidente.

La mayoría de las pymes no necesita un DPO obligatorio, pero designar un responsable de privacidad ayuda a ordenar el cumplimiento.

Por qué no conviene esperar a 2027

La ventana de gracia puede dar una falsa sensación de tranquilidad. Tres razones para empezar antes: la amonestación igual deja constancia de la infracción; cumplir toma tiempo y no se arma en una semana; y cada vez más clientes y licitaciones exigen demostrar cumplimiento como requisito comercial.

Conclusión

La Ley 21.719 sí obliga a las pymes: la ventana de gracia suaviza la sanción inicial, pero no elimina la obligación de cumplir desde diciembre de 2026. Empezar temprano evita amonestaciones, multas futuras y la pérdida de oportunidades comerciales. Puedes armar un plan de cumplimiento a la medida de tu pyme acá.

Preguntas frecuentes

¿La Ley 21.719 obliga a las pymes?+

Sí. Aplica a empresas de todo tamaño que traten datos de personas en Chile. No hay un umbral que exima a las pequeñas.

¿Las pymes tienen multas más bajas?+

El tope de multas en UTM es el mismo, pero las pymes tienen una ventana de gracia de 12 meses con amonestación en lugar de multa, y no se les aplica el cálculo por porcentaje de ingresos en reincidencia.

¿Hasta cuándo dura la ventana de gracia para pymes?+

Hasta el 1 de diciembre de 2027, es decir, los primeros 12 meses desde la entrada en vigencia de la ley.

¿Una pyme necesita un DPO?+

Por lo general no, salvo que trate datos sensibles a gran escala. Aun así, designar un responsable de privacidad es recomendable.

¿Qué es lo mínimo que debe hacer una pyme?+

Armar un RAT, asignar bases legales a sus tratamientos, habilitar los derechos ARCO+, revisar contratos con proveedores y tener un plan ante brechas.

¿En qué punto está tu empresa con la Ley 21.719?

Arma tu carpeta de cumplimiento con cumpleahora.cl: los 10 documentos que exige la ley, listos en 3 horas y en 3 cuotas.

Armar mi carpeta de cumplimiento
O hacé el diagnóstico gratuito en 7 minutos

Seguí leyendo