Ley 21.719 en empresas mid-market: por qué el checklist de PYME se queda corto

Si tu empresa tiene más de 50 empleados, partners internacionales y un CRM que mueve datos a EE.UU. o Europa, los checklists genéricos de Ley 21.719 que circulan en LinkedIn te van a dejar corto. Y caro.

La Ley 21.719 de Protección de Datos Personales entra en vigencia plena el 1 de diciembre de 2026. Las multas administrativas pasan de cero (régimen actual Ley 19.628) a hasta 20.000 UTM por infracción gravísima (~$1.411 millones CLP en valor UTM de mayo 2026), triplicables por reincidencia. Pero el riesgo financiero directo no es lo más caro para una empresa mid-market. Lo más caro es lo que cuesta llegar al 2 de diciembre de 2026 sin un sistema, cuando tus clientes corporativos empiezan a auditarte.

Este artículo es para el CFO, el Gerente Legal, el COO o el Gerente de Operaciones de una empresa con 50 a 500 empleados, CRM tipo HubSpot Enterprise o Salesforce, algún partner internacional, y la sensación incipiente de que el plan de cumplimiento actual no alcanza. Si estás en el rango PYME (menos de 50 empleados, un solo país, sin partners corporativos) la guía relevante es la versión PYME de este artículo.

El sistema anidado: una imagen explica más que diez checklists

Antes de hablar de obligaciones, conviene entender dónde encaja la Ley 21.719 chilena en el mapa global. No es una norma aislada. Es la capa más reciente de un sistema regulatorio que ya tiene 7 años de jurisprudencia europea y mapeo formal con estándares internacionales:

El mensaje práctico del diagrama: si tu empresa implementa la Ley 21.719 con rigor (no solo redactando una política de privacidad y firmando consentimientos), llega de forma natural a un estándar que muchos clientes corporativos exigen vía contrato. Una empresa europea, un retailer multinacional o un banco chileno con compliance GDPR-grade te van a pedir DPA (Data Processing Agreement), evidencia técnica de seguridad y mapeo de transferencias internacionales. Cumplir la 21.719 te alinea con casi todo eso al mismo tiempo.

El mapeo formal ISO 27701 → GDPR está documentado en el estándar oficial ISO/IEC 27701:2025 (Anexo D). Como la 21.719 hereda la estructura del GDPR, el mapeo es transitivo. Implementarla bien deja documentado el 70-80% de lo que ISO 27701 audita.

Régimen transitorio: por qué a la mid-market no la protege

La Ley 21.719 contempla un período de gracia para MIPYMEs: entre el 1 de diciembre de 2026 y el 1 de diciembre de 2027, las sanciones contra micro, pequeñas y medianas empresas son solo amonestaciones, no multas. Es un colchón importante para empresas con menos de 50 trabajadores y ventas anuales por debajo del umbral MIPYME.

Una empresa mid-market típica (50-500 empleados, ventas sobre las 100.000 UF) no califica como MIPYME. El régimen transitorio no te aplica. Desde el primer día de vigencia — 2 de diciembre de 2026 — las multas administrativas están operativas en tu contra:

• Infracción leve: hasta 5.000 UTM (~$352M CLP)
• Infracción grave: hasta 10.000 UTM (~$706M CLP)
• Infracción gravísima: hasta 20.000 UTM (~$1.411M CLP)
• Reincidencia gravísima: hasta 60.000 UTM (~$4.235M CLP)
• Adicional: hasta el 4% de los ingresos anuales nacionales

La Agencia de Protección de Datos Personales (APDP) entra en operaciones el 1 de diciembre de 2026 junto con la ley. Algunos miembros de la Comisión Asesora ministerial recomendaron en su informe final de enero 2026 anticipar la instalación a junio 2026 porque consideraban que el calendario era inviable. Independiente de la fecha exacta de instalación, las primeras fiscalizaciones probablemente prioricen empresas grandes y mid-market con datos sensibles — no PYMEs en régimen de gracia.

El problema oculto: tu CRM ya está transfiriendo datos a EE.UU. o Europa

Una empresa mid-market chilena típica usa al menos uno de estos: HubSpot, Salesforce, Mailchimp, Intercom, Zendesk, Slack, Notion, Asana, Google Workspace o Microsoft 365. Todos procesan datos personales en infraestructura fuera de Chile.HubSpot, por ejemplo, opera en data centers AWS US East por defecto, con opción a la EU si el cliente lo solicita expresamente.

Esto convierte cada CRM y herramienta SaaS en un encargado del tratamientosujeto al Art. 15 bis de la Ley 21.719 y al Art. 28 de GDPR. El responsable (tu empresa) sigue siendo solidariamente responsable de lo que el encargado haga con esos datos. Tres consecuencias prácticas:

1. Necesitas un DPA firmado con cada encargado. HubSpot, Salesforce, AWS y Microsoft ofrecen DPA estándar descargable desde su consola de administración. Pero firmarlos es responsabilidad tuya. Y firmarlos no es solo aceptar términos: implica mapear qué datos específicos cubre, cómo revisar auditorías, y cómo terminar el contrato sin perder acceso a tus propios datos.

2. La transferencia internacional necesita una base legal válida. Para enviar datos a EE.UU., el camino limpio en Europa es Data Privacy Framework (vigente desde julio 2023). HubSpot está certificado bajo DPF. En Chile, la Subsecretaría de Economía aprobó las Cláusulas Contractuales Modelo en diciembre de 2025 para transferencia internacional. Sin una de estas bases (DPF, CCM, consentimiento expreso), la transferencia es ilegal.

3. La responsabilidad sobre configuración y credenciales es tuya, no del proveedor. Cuando HubSpot fue comprometido en junio 2024 vía credential stuffing (atacantes probando passwords filtrados en login de portales de menos de 30 clientes), los datos expuestos fueron de los clientes de HubSpot. La responsabilidad legal cayó sobre esos clientes (los responsables), no sobre HubSpot (el encargado). En Chile bajo Ley 21.719 será igual.

El mid-market típico tiene esto sin resolver: DPAs firmados solo parcialmente, transferencias internacionales sin base documentada, MFA no obligatorio en accesos a CRM. Cualquier auditoría privacy detecta esos tres puntos en la primera media hora.

El RAT de mid-market: no son 5 tratamientos, son 30

El Registro de Actividades de Tratamiento (RAT) es la columna vertebral del cumplimiento. Es donde la empresa documenta cada flujo de datos personales: qué categoría de datos, qué base legal, quién los procesa, plazo de conservación, transferencias internacionales, medidas de seguridad. La diferencia entre PYME y mid-market es brutal:

• PYME típica: 3-7 tratamientos. Clientes, empleados, marketing básico. Un solo responsable, una jurisdicción, dos o tres encargados.
• Mid-market típica: 20-40 tratamientos. Captura comercial, conversión lifecycle, post-venta, servicio al cliente, programas con datos sensibles (salud, finanzas), datos de RR.HH., proveedores, eventos, marketing multi-canal, atención en redes sociales, análíticas, cookies. 10-15 encargados (cada SaaS es uno). Varios países si hay operación regional.

Ese RAT no se arma en una sesión de pizarra. Requiere entrevistar a los dosños de proceso (comercial, marketing, operaciones, RR.HH., legal, TI), revisar las configuraciones reales de las plataformas, y mapear los datos contra base legal y tiempo de conservación. En una empresa mid-market sin RAT previo, el levantamiento toma de 4 a 8 semanas, no 4 a 8 horas.

El error que se ve seguido: pedirle al área legal que “haga el RAT”. Legal puede redactar la política de tratamiento y la clasificación. Pero los flujos reales viven en operaciones y TI. Sin entrar en la consola de HubSpot, en la configuración de Salesforce y en el blob storage de AWS, el RAT queda documental y no operativo. Y el regulador chileno, copiando GDPR, va a auditar que el RAT refleje la realidad.

DPA con encargados internacionales: lo que tus partners ya te están exigiendo

El Art. 28 del GDPR — espejado por el Art. 15 bis de la Ley 21.719 — obliga al responsable a firmar un Data Processing Agreement con cada encargado. El DPA debe incluir: objeto, duración, naturaleza, finalidad, tipo de datos, categorías de afectados, obligaciones del encargado, derechos del responsable, medidas técnicas y organizativas, subprocesadores autorizados, terminación.

En la práctica del mid-market hay dos caminos:

Camino 1: DPAs estándar de los proveedores. HubSpot, AWS, Microsoft, Google, Salesforce y la mayoría de los SaaS grandes tienen DPA descargable. La empresa lo firma. Cubre el mínimo legal. Es el camino correcto para encargados estandarizados.

Camino 2: DPAs negociados con partners críticos. Los socios estratégicos — partners académicos internacionales (universidades europeas o estadounidenses), bancos clientes, retailers que te integran a su plataforma — van a exigir un DPA más estricto. Cláusulas de auditoría directa, derechos de inspección, obligaciones de reporte de incidentes más estrictas que la ley, indemnizaciones específicas.

El problema que veo seguido: el equipo legal de una empresa mid-market firma 30 DPAs estándar de SaaS y 5 negociados con partners, pero nadie mapea las cláusulas de los DPAs negociados contra la capacidad técnica real. Si el DPA con tu partner académico europeo dice “reporte de brechas en 24 horas” y tú internamente operas sin un equipo de respuesta a incidentes, la firma es una bomba de tiempo.

Derechos ARCOP operacionalizados: portal funcionando, no un mailto

La Ley 21.719 reconoce los derechos ARCOP: acceso, rectificación, cancelación (supresión), oposición, portabilidad. El titular puede ejercerlos contra cualquier empresa que procese sus datos. El plazo de respuesta: 30 días corridos, prorrogables por 30 más.

Una PYME puede operar con un email datos@empresa.cl y responder manualmente. Una mid-market no. Si tienes 50.000 contactos en HubSpot, 10.000 clientes activos, 200 empleados y 5.000 leads en pipeline, las solicitudes ARCOP van a llegar — especialmente las de cancelación cuando un cliente cierra cuenta o un empleado renuncia.

El sistema operacional mínimo en mid-market:

• Portal o formulario web autenticado para ejercer cada derecho
• Identificación automática del titular (RUT + email + verificación)
• Workflow interno: legal valida solicitud, área dueña ejecuta acción en sistemas (CRM, ERP, marketing, RR.HH.), legal cierra
• Registro auditable de cada solicitud: timestamp, identificador del titular, derecho ejercido, sistemas tocados, resultado
• Plazos automatizados con alerta a los 25 días (antes del límite legal)

Construir ese portal y conectarlo con HubSpot/Salesforce/AWS es trabajo de ingeniería, no de redacción legal. Toma entre 3 y 8 semanas según complejidad. Si el primer ejercicio ARCOP llega sin esta infraestructura armada, la respuesta es manual, lenta y propensa a errores.

Reporte de brechas en 72 horas: el escenario PSNI aplicado a Chile

El Art. 33 del GDPR y la Ley 21.719 establecen plazo máximo de 72 horas para notificar a la autoridad una violación de seguridad que afecte datos personales y entrañe riesgo para los derechos del titular. Tres horas para alerta temprana ante incidentes graves. 15 días para informe completo. Plazo idéntico al GDPR.

El caso de referencia mundial es Police Service of Northern Ireland (PSNI), agosto 2023. Un funcionario subió un Excel con respuesta a una solicitud de información pública. El Excel tenía una pestaña oculta con datos personales de 9.483 oficiales y staff completo de la fuerza policial.Estuvo público 2-3 horas antes de ser detectado. Seis funcionarios revisaron el archivo. Ninguno notó la pestaña oculta.

En octubre 2024, el ICO británico aplicó una multa de £750.000 (sin descuento de sector público hubiera sido £5,6 millones). Más de 4.000 empleados PSNI presentaron demandas civiles. El litigio se estima entre £24M y £37M adicionales. La causa raíz identificada por ICO: “light touch approach” a protección de datos — sin estrategia clara, procedimientos inadecuados para datos sensibles.

PSNI no tenía un APT iraní. Tenía empleados bien intencionados, un Excel mal gestionado y procedimientos ausentes. Es exactamente el tipo de incidente más probable en una empresa mid-market con HubSpot, Excel exportados a diario y emails internos.

Casos chilenos recientes para dimensionar el panorama local:

• Banco Santander Chile, mayo 2024: exposición de datos personales de ~4 millones de clientes. SERNAC presentó demanda colectiva en febrero 2026 tras procedimiento voluntario sin acuerdo. Esto pasó bajo Ley 19.628 (sin multas administrativas). Bajo Ley 21.719 vigente, se sumarían las multas de la APDP — el riesgo se duplica.
• USM (Universidad Técnica Federico Santa María), octubre 2024: ataque RansomHub, publicación en dark web de listas Excel con nombres, RUT, sede, carrera, correos. 14 GB filtrados según el reporte de prensa. Cobertura nacional sostenida.
• GTD, octubre 2023: ransomware Rorschach. Impacto declarado: $2.497 millones CLP en inversiones requeridas + $763 millones CLP en menores ingresos. ~3.500 organizaciones cliente afectadas.

Para una empresa mid-market chilena, el reporte de brechas en 72 horas necesita un protocolo escrito, ensayado y con roles definidos. Sin eso, llegan las 72 horas y nadie sabe quién contesta primero: legal, TI, comunicación externa, gerencia.

La trampa más cara: “asesoría legal pura” sin implementación

El mercado chileno actual tiene un patrón predecible: estudios jurídicos ofrecen “diagnóstico Ley 21.719”, entregan un PDF con recomendaciones, redactan política de privacidad y consentimientos, y se retiran. La empresa queda con documentación pero sin sistema funcionando.

El problema no es la asesoría legal. Es necesaria. El problema es asumir que ahí termina el cumplimiento. La realidad operacional:

• La política de privacidad dice “el titular puede ejercer ARCOP”. Sin un portal que reciba y procese esas solicitudes, la afirmación es decorativa.
• La política dice “notificamos brechas en 72 horas”. Sin un protocolo escrito, ensayado y con roles asignados, las 72 horas se vencen.
• El RAT dice “datos conservados X meses”. Sin reglas de retención configuradas en HubSpot, AWS y el ERP, los datos se conservan para siempre.
• El DPA con HubSpot exige MFA en todos los accesos. Sin habilitarlo y monitorearlo, la cláusula incumple por omisión.

Cumplir la Ley 21.719 en mid-market es 30% legal y 70% implementación técnica + cambio operacional. Cuando una consultoría no toca la consola del CRM, ni configura retención de datos en el ERP, ni construye el portal ARCOP, ni ensaya el protocolo de brechas, está vendiendo solo el 30% del trabajo. El otro 70% queda en deuda técnica esperando la primera fiscalización o el primer incidente para volverse evidente.

Multas reales: lo que dice la ley y los casos verificables

La Ley 21.719 establece tres niveles de sanción:

Para empresas no MIPYME, adicional al tope en UTM se aplica el 4% de los ingresos anuales nacionales, lo que sea mayor.

El GDPR Enforcement Tracker reporta €7,1 mil millones acumulados en multas GDPR a 2026 (2.245 sanciones desde 2018). La mayor multa individual: €1.200 millones a Meta Ireland. En sector educación las multas son más modestas (~€32.600 promedio), pero Bocconi University (Milán) fue multada con €200.000 por usar software de proctoring sin base legal para datos biométricos de estudiantes. El precedente importa: los partners académicos europeos auditan a sus contrapartes con ese caso en mente.

El costo promedio de una brecha de datos en Latam según el IBM Cost of a Data Breach Report 2025 es de USD 2,51 millones, con un tiempo promedio de identificación + contención de 316 días. Las brechas multi-entorno son las más caras (USD 2,84M).

Las 5 preguntas que tu próxima reunión de compliance debe responder

Si tienes una reunión de compliance la próxima semana, estas son las cinco preguntas concretas que vale la pena llevar:

• ¿Cuántos tratamientos exactos tenemos hoy documentados, y cuántos creemos que faltan?Si la respuesta es “tenemos política de privacidad actualizada” pero nadie sabe el número, no hay RAT real.
• ¿Tenemos DPA firmado con cada uno de nuestros encargados internacionales (HubSpot, AWS, M365, Salesforce)? La respuesta debería ser una lista enumerada, no un “estamos en eso”.
• ¿Qué pasa hoy si un cliente nos pide acceso o eliminación de sus datos? ¿Quién contesta, cómo, en qué plazo?Si la respuesta involucra un mailto: genérico y un proceso manual, no hay operación ARCOP.
• ¿Qué pasa hoy si descubrimos una brecha de seguridad a las 22:00 hrs un viernes? Si la respuesta no incluye un protocolo escrito con roles asignados, no hay capacidad de respuesta en 72 horas.
• ¿Nuestro CRM está configurado con MFA obligatorio, audit logs activos, y reglas de retención coherentes con lo que dice nuestra política de privacidad? Esta es la diferencia entre cumplimiento documental y cumplimiento real.

Si dos de las cinco respuestas son evasivas, no hay sistema. Hay documentos.

Cómo se ve un proyecto serio en mid-market: timing, roles, inversión

Un proyecto de cumplimiento Ley 21.719 bien dimensionado para una empresa mid-market chilena tiene tres fases:

Fase 1 — Diagnóstico (3-4 semanas). Entrevistas con dueños de proceso, levantamiento del RAT real (no documental), inventario de encargados y transferencias internacionales, gap analysis contra Ley 21.719 + GDPR + ISO 27701, evaluación del stack técnico (CRM, ERP, cloud), reporte ejecutivo con roadmap priorizado y costeado. Equipo: 1 líder legal + 1 ingeniero senior + asesoría especialista IAPP en hitos críticos. Inversión referencial: 100-200 UF.

Fase 2 — Implementación (4-6 meses). RAT completo y firmado, DPAs revisados y firmados con encargados, portal ARCOP funcionando integrado al CRM y ERP, configuración de retención automática en cada sistema, protocolo de brechas ensayado con simulacro, MPI (Modelo de Prevención de Infracciones bajo Decreto 662/2025) documentado, capacitación a equipos clave (comercial, marketing, RR.HH., operaciones). Inversión referencial: 400-800 UF según complejidad.

Fase 3 — Operación continua (mensual). Revisión mensual del RAT (que refleja la realidad cambiante de los flujos), soporte ante solicitudes ARCOP complejas, revisión de cambios contractuales con encargados, monitoreo de novedades regulatorias (Decreto 662, resoluciones de la APDP). Retainer referencial: 30-50 UF/mes. Para empresas que requieren designación formal de DPO ante la Agencia con responsabilidad 24/7, el modelo depende del tamaño.

Ventana óptima para arrancar: junio-septiembre de 2026. Eso te deja la Fase 2 cerrando entre noviembre y enero de 2027, antes que la APDP tenga sus primeras causas emblemáticas. Empezar después de octubre de 2026 significa pagar el premium de urgencia: más caro, ejecutado bajo presión, con menor calidad operacional.

Conclusión: cumplir Ley 21.719 como mid-market es una inversión, no un costo

Tres ideas centrales del artículo, para llevar:

Primero: el sistema regulatorio está anidado. Cumplir bien la Ley 21.719 te deja pre-alineado con GDPR, ISO 27701 y gran parte de lo que tus clientes corporativos exigen vía DPA. El cumplimiento no es solo defensa contra multa — es activo comercial que te habilita para vender a clientes top.

Segundo: el régimen transitorio MIPYME no te cubre. Desde el 2 de diciembre de 2026 las multas administrativas están vigentes contra cualquier empresa fuera del rango MIPYME. Las primeras fiscalizaciones probablemente prioricen mid-market y grandes.

Tercero: cumplir es 30% legal y 70% implementación técnica. Una asesoría que solo redacta documentos te vende el 30% del trabajo. El 70% restante queda como deuda técnica esperando la primera fiscalización para revelarse.

Si necesitas un punto de partida técnico-legal — diagnóstico real, roadmap costeado, implementación bajo un mismo equipo — es exactamente lo que hacemos en nuestro servicio de cumplimiento Ley 21.719. Sin intermediarios entre quien entiende la ley y quien configura HubSpot, AWS o el portal ARCOP.