Ley 21.719: qué debe hacer tu PYME antes de diciembre 2026

La fecha límite: 1 de diciembre de 2026

La Ley 21.719 sobre protección de datos personales fue publicada en diciembre de 2024. Reemplaza la antigua Ley 19.628 (de 1999) y alinea a Chile con estándares internacionales como el RGPD europeo. Su entrada en vigencia plena es el 1 de diciembre de 2026.

Si tienes una PYME en Chile y recopilas datos de clientes — nombres, emails, RUTs, direcciones, historial de compras — esta ley te afecta directamente. No importa si eres una tienda online, un estudio de abogados, una clínica dental o una empresa de software.

¿Qué cambia con la Ley 21.719?

La ley anterior (19.628) existía desde hace 27 años, pero prácticamente no tenía dientes: sin autoridad fiscalizadora, sin multas significativas, sin obligaciones reales para las empresas. La nueva ley cambia esto radicalmente:

1. Agencia de Protección de Datos.Se crea una autoridad autónoma que fiscaliza, sanciona y resuelve reclamos. Antes no existía ningún organismo con esta función.

2. Consentimiento explícito.Ya no basta con un “al usar este sitio aceptas nuestras condiciones”. El consentimiento debe ser libre, específico, informado e inequívoco. Debe poder retirarse tan fácilmente como se otorgó.

3. Derechos ARCO ampliados.Las personas tienen derecho a Acceder, Rectificar, Cancelar y Oponerse al tratamiento de sus datos. Además, la nueva ley agrega el derecho a la portabilidad (exportar tus datos a otro proveedor) y a la oposición a decisiones automatizadas.

4. Multas reales.Las sanciones van desde 1 a 5.000 UTM para infracciones leves (~$65.000 USD a $305.000 USD), hasta 10.000 UTM para graves (~$610.000 USD) y 20.000 UTM para gravísimas (~$1,2 millones USD). Para una PYME, incluso una multa leve puede ser devastadora.

La buena noticia: período de gracia para PYMES

La ley establece un régimen transitorio para pequeñas y medianas empresas: durante el primer año de vigencia (diciembre 2026 a diciembre 2027), las PYMES solo recibirán amonestaciones por escritoen lugar de multas. Esto no significa que puedes ignorar la ley — significa que tienes un año para corregir sin que te sancionen económicamente.

Pero cuidado: las empresas que no sean PYME (por volumen de datos o facturación) no tienen este beneficio. Y después de diciembre 2027, las multas aplican sin distinción.

Los 7 pasos que tu PYME debe dar antes de diciembre 2026

Basados en nuestra experiencia implementando cumplimiento de datos en empresas chilenas, este es el plan de acción que recomendamos:

Paso 1: Inventario de datos.Haz una lista de todos los datos personales que recopilas, dónde los almacenas, quién tiene acceso y para qué los usas. Incluye proveedores externos (hosting, email marketing, CRM, analytics). Este inventario es la base de todo lo demás.

Paso 2: Base legal para cada tratamiento.Para cada tipo de dato, identifica tu base legal: consentimiento del titular, ejecución de contrato, obligación legal, interés legítimo. Si no tienes base legal clara, no puedes tratar ese dato.

Paso 3: Política de privacidad actualizada.Tu política actual probablemente dice “protegemos tus datos” sin decir cómo. La nueva ley exige que informes: qué datos recopilas, para qué, con quién los compartes, cuánto tiempo los conservas, y cómo ejercer derechos ARCO.

Paso 4: Mecanismo de consentimiento.Implementa un sistema para obtener, registrar y gestionar consentimientos. Debe ser granular (el usuario elige qué acepta), revocable (un clic para retirar) y demostrable (puedes probar cuándo y cómo consintió).

Paso 5: Derecho de eliminación.Implementa un mecanismo para que cualquier persona pueda solicitar que borres sus datos. Debe ser técnicamente posible (no basta con “marcar como inactivo”) y completarse en un plazo razonable.

Paso 6: Seguridad de datos.Revisa que tus sistemas tengan cifrado en tránsito (HTTPS) y en reposo, acceso restringido por roles, backups regulares y un plan de respuesta a incidentes. La ley exige medidas “apropiadas” — lo que significa proporcionales al riesgo.

Paso 7: Transferencias internacionales.Si usas servicios como AWS, Google Cloud, Mailchimp o HubSpot, estás transfiriendo datos fuera de Chile. La ley permite esto bajo ciertas condiciones (países con protección adecuada, cláusulas contractuales, consentimiento explícito). Documenta cada transferencia y su base legal.

¿Necesitas un DPO?

La ley exige designar un Delegado de Protección de Datos(DPO) en ciertos casos: organismos públicos, empresas que tratan datos sensibles a gran escala, o empresas cuya actividad principal es el tratamiento masivo de datos.

La mayoría de las PYMES no necesitarán un DPO formal, pero sí necesitan a alguien internamente responsable de que estas obligaciones se cumplan. Puede ser el gerente general, el encargado de TI, o un asesor externo.

Herramientas gratuitas para empezar

No necesitas contratar una consultoría de $10 millones para empezar. Estas herramientas te ayudan a dar los primeros pasos:

• Diagnóstico gratuito: Construimos una herramienta en cumplimiento21719.cl que evalúa tu situación actual en 15 preguntas y genera un informe con recomendaciones específicas para tu empresa.
• Plantilla de inventario de datos: Un spreadsheet simple con columnas para tipo de dato, base legal, ubicación, acceso y retención es suficiente para empezar.
• Generador de política de privacidad: Existen generadores online, pero revísalos con cuidado — la mayoría están basados en RGPD europeo y no consideran las particularidades de la ley chilena.

Conclusión: 8 meses para prepararse

La Ley 21.719 no es opcional y las multas son reales. Pero el período de gracia para PYMES te da una ventana razonable para prepararte sin pánico.

Lo peor que puedes hacer es ignorarla hasta diciembre. Lo mejor: empezar hoy con el inventario de datos y la política de privacidad. Son los pasos que más tiempo toman y los que más impacto tienen.

Si necesitas ayuda con la implementación técnica — mecanismos de consentimiento, eliminación de datos, auditoría de transferencias — es exactamente lo que hacemos.