La nueva ley de protección de datos y el fin de una larga siesta
El 1 de diciembre de 2026 entra en vigencia la Ley 21.719 y Chile despierta de casi tres décadas de descuido con los datos personales. Una mirada a lo que cambia y a lo que significa.
Hay leyes que se promulgan y leyes que despiertan. La Ley 21.719 pertenece a la segunda categoría. Cuando entre en plena vigencia el 1 de diciembre de 2026, Chile no estará simplemente actualizando una norma. Estará cerrando un capítulo de casi treinta años en que los datos personales circularon por el país con la libertad de quien camina por una casa sin dueño.
1 dic 2026
Entrada en plena vigencia de la Ley 21.719
Una ley que envejeció mirando el techo
La Ley 19.628 nació en 1999, cuando internet era un sonido de módem y el teléfono más inteligente apenas guardaba veinte contactos. Durante décadas fue una ley sin brazos. Declaraba derechos que nadie podía exigir y contemplaba sanciones que a ninguna empresa le quitaron el sueño. El resultado fue un país donde la base de datos se compraba, se vendía y se filtraba con una naturalidad que hoy resulta difícil de explicar.
Quien haya recibido la llamada de una empresa que jamás conoció sabe de qué hablamos. Ese pequeño escalofrío de preguntarse cómo llegó mi número hasta ahí es, en el fondo, la experiencia cotidiana de vivir bajo una ley dormida.
La Ley 21.719, publicada en diciembre de 2024, vino a terminar esa siesta. Le dio al país un plazo de veinticuatro meses para prepararse. Ese plazo se agota a fin de año.
Lo que realmente cambia
Sería un error leer esta reforma como un trámite más del calendario regulatorio. Lo que cambia es la naturaleza misma de la relación entre las organizaciones y la información de las personas.
Primero, nace una autoridad con dientes. La Agencia de Protección de Datos Personales tendrá facultades para fiscalizar, interpretar la norma, ordenar medidas correctivas y sancionar. Ya no se trata de un derecho que el ciudadano debe perseguir solo por tribunales. Existe ahora un órgano del Estado cuyo oficio es vigilar.
Segundo, los derechos dejan de ser decorativos. Acceso, rectificación, cancelación y oposición se consagran con procedimientos reales, y se suman la portabilidad de los datos y la posibilidad de impugnar decisiones tomadas por algoritmos. La persona deja de ser un registro pasivo en una base ajena y recupera algo parecido a la soberanía sobre su propia huella.
Tercero, las sanciones alcanzan cifras que los directorios sí miran. Las multas pueden llegar a 20.000 UTM, y en casos de reincidencia grave, a porcentajes de los ingresos anuales de la empresa. La época en que infringir salía más barato que cumplir quedó atrás.
La época en que infringir salía más barato que cumplir quedó atrás.
Y cuarto, quizás lo más profundo, la ley exige evidencia y no declaraciones. No bastará con tener una política escrita en un cajón. Habrá que demostrar qué datos se tratan, para qué, con qué fundamento legal y bajo qué resguardos. La buena intención deja de ser un argumento.
20.000 UTM
Multa máxima del nuevo régimen
La confianza como nueva moneda
Detrás del lenguaje técnico hay una idea antigua. Los datos personales son fragmentos de una vida. El RUT, la dirección, el historial de compras, la geolocalización de un teléfono. Cada uno parece inofensivo por separado, pero reunidos dibujan a una persona con una nitidez que esa persona muchas veces desconoce.
Tratar esos fragmentos con cuidado no es solamente una obligación legal. Es una forma de respeto. Las empresas que entiendan esto antes que las demás descubrirán que la protección de datos no es un costo sino un activo. En un mercado donde las filtraciones se han vuelto noticia frecuente, poder decirle a un cliente que su información está segura vale tanto como cualquier campaña publicitaria.
Chile, además, se alinea con el estándar europeo que hoy siguen decenas de países. Para las empresas que aspiran a operar fuera de nuestras fronteras, cumplir con la nueva ley será también un pasaporte.
El tiempo que queda
Quedan pocos meses. Para las organizaciones que aún no comienzan, el camino tiene estaciones conocidas. Saber qué datos se tienen y dónde están. Definir quién responde por ellos. Revisar los contratos con proveedores que los tratan. Preparar la respuesta ante una eventual brecha. Capacitar a las personas, porque ninguna política sobrevive al desconocimiento de quienes deben aplicarla.
Las empresas de menor tamaño contarán con un primer año de gracia en que las primeras infracciones se traducirán en amonestaciones y no en multas. Es un alivio, pero conviene leerlo como lo que es. Una prórroga para corregir, no una invitación a esperar.
En Neitcom llevamos más de veinte años trabajando con información sensible para el cumplimiento normativo, y sabemos que las leyes que transforman industrias premian siempre a quienes se preparan temprano. Si su organización ya enfrenta obligaciones de debida diligencia bajo la Ley 19.913, la nueva normativa de datos conversa directamente con sus procesos. Le invitamos a leer sobre la debida diligencia de clientes y a conversar con nosotros sobre cómo llegar a diciembre con la casa en orden.
Etiquetas
Descargue nuestra guía completa de la Ley 21.719
Guía técnica en PDF, de descarga libre y sin registro.
¿Te fue útil este artículo? ¡Compártelo!
Artículos relacionados
Llegar a diciembre, el arte de prepararse para la ley de datos sin perder el alma
Quedan pocos meses para la entrada en vigencia de la Ley 21.719. Una hoja de ruta serena para que su organización llegue a tiempo, desde el inventario de datos hasta la respuesta ante brechas.
Protección de DatosEl oficial de cumplimiento y el delegado de datos, dos guardianes frente al mismo fuego
La Ley 21.719 obliga a las áreas de compliance a mirar sus procesos de debida diligencia con otros ojos. Cómo convive la prevención de lavado de activos con la protección de datos personales.