Volver al blog
Ley 21.719LicitacionesPYMESProtección de datos

Ley 21.719: la multa no es tu mayor riesgo — quedar fuera de licitaciones sí

Por Daniel Petrasic10 min de lectura

La multa asusta. Quedar fuera de las licitaciones te cierra el negocio.

La Ley 21.719 de protección de datos personales entra en vigencia plena el 1 de diciembre de 2026, y los titulares ya empezaron: multas de hasta 20.000 UTM — del orden de US$1,2 millones — para las infracciones más graves, y hasta un 4% de los ingresos anuales en caso de reincidencia.

El número asusta, pero para una pyme o startup proveedora no es el verdadero peligro. Una multa es un golpe puntual. Quedar fuera de las licitaciones y de los contratos con clientes grandes es un golpe estructural: te saca del mercado en el que vendes. Y eso es exactamente lo que esta ley pone sobre la mesa.

Este artículo es para el dueño o gerente de una pyme que le presta servicios a otras empresas — software, marketing, contabilidad, soporte, consultoría, call center — y que probablemente ya está tratando datos personales de sus clientes sin haberlo pensado en términos legales.

Ya eres “encargado de tratamiento” (aunque no lo sepas)

La ley distingue dos roles. El responsablees quien decide para qué y cómo se usan los datos (tu cliente). El encargado de tratamientoes quien los procesa por cuenta de ese responsable. Si tu empresa accede a la base de datos de un cliente para prestarle el servicio — una agencia que maneja la lista de contactos, un SaaS donde el cliente carga a sus usuarios, un contador con los datos de los trabajadores — pasas a ser encargado.

Eso no es un tecnicismo. Como encargado, tienes obligaciones legales propiasy compartes la responsabilidad ante cualquier filtración o incumplimiento. Miles de pymes que hoy se ven a sí mismas como “proveedores de servicios” van a despertar el 1 de diciembre convertidas en sujetos regulados, con deberes que nunca administraron.

El Registro de Infractores: el castigo que no es plata

Junto con las multas, la ley crea algo nuevo en Chile: un Registro Público de Infractores, administrado por la futura Agencia de Protección de Datos Personales. Las empresas sancionadas quedan expuestas ahí, a la vista de cualquiera.

Ese registro es el que cambia el juego para una pyme. El daño no es solo la multa: es que tus clientes grandes y el Estado van a empezar a exigir cumplimiento formal antes de contratarte. En una licitación o en la due diligencede un cliente corporativo, aparecer como infractor — o simplemente no poder demostrar que cumples — te deja fuera. No por precio: por riesgo. Nadie quiere contratar a un proveedor que puede arrastrarlo a su propia filtración.

Por qué el PDF no te salva

El error más común es creer que cumplir es cambiar un par de cláusulas en el contrato y publicar una política de privacidad en la web. No lo es. La autoridad no va a leer tu política: va a pedir evidencia técnica real de que proteges los datos — control de accesos, registro de incidentes, trazabilidad de quién vio qué y cuándo.

El diagnóstico del ecosistema es incómodo: gran parte de las startups guarda datos sensibles en planillas Excel compartidas, los mueve por WhatsApp y los aloja en servidores improvisados, sin contratos de tratamiento, sin protocolo ante filtraciones, sin registro de actividades. Bajo el nuevo estándar, eso no es “informal”: es quedar fuera de norma.

Lo que de verdad tienes que tener

No es una lista infinita, pero sí es concreta. El piso para una pyme encargada de tratamiento es:

  • Registro de actividades de tratamiento (RAT). El inventario de qué datos tratas, de quién, para qué y con qué base legal. Es lo primero que pide un fiscalizador.
  • Base de licitud y consentimiento. Una razón válida para tratar cada dato, y mecanismos reales para pedir y revocar consentimiento cuando corresponde.
  • Contrato de encargo (DPA) con tus clientes. El acuerdo que fija qué puedes hacer con sus datos y qué pasa ante una brecha. Tus clientes grandes te lo van a exigir; mejor llegar con uno listo.
  • Medidas de seguridad técnicas. Control de accesos por rol, cifrado de lo sensible, doble factor, respaldos y logs. Lo mínimo para que “protejo los datos” sea demostrable, no una frase.
  • Protocolo de brechas. Qué haces, a quién notificas y en qué plazo cuando algo se filtra. Improvisarlo el día del incidente es la forma más cara de aprenderlo.

Puedes ver dónde estás parado hoy con el diagnóstico gratuito de Ley 21.719 que tenemos publicado, y la versión paso a paso para pymes en esta guía.

La otra cara: cumplir temprano es cómo ganas las cuentas grandes

Hasta aquí suena a amenaza. Pero hay una lectura que la mayoría de tus competidores no está viendo: el cumplimiento es una ventaja comercial, no solo un costo.

Cuando los clientes grandes y el Estado empiecen a exigir cumplimiento como requisito de entrada, la pyme que llega con su RAT, su DPA y su seguridad demostrable pasa el filtro que deja fuera a los demás. Te conviertes en el proveedor con el que es seguro trabajar — y eso, en una licitación pareja, vale más que un descuento. El que se prepara este año no solo evita el riesgo: se queda con los contratos que los desordenados no van a poder tomar.

Plazos y el respiro para los más chicos

La fecha clave es el 1 de diciembre de 2026. Hay un matiz que conviene conocer: durante los primeros 12 meses (hasta el 1 de diciembre de 2027), las empresas de menor tamaño según la Ley 20.416 pueden recibir una amonestación escrita en vez de multapor una primera infracción. Es un respiro, no un permiso: el Registro de Infractores y la exigencia comercial de tus clientes no esperan ese año de gracia.

Sobre el costo: las estimaciones de mercado hablan de entre US$5.000 y US$15.000 para que una startup mediana deje su tratamiento de datos en regla. Es dinero, pero los analistas coinciden en que el riesgo no está en ese gasto, sino en la inacción — en la cuenta que no ganas y en el cliente que se va.

Por qué nos importa

La mayoría de las pymes no va a fallar por mala fe, sino porque cumplir esta ley vive justo en la frontera entre lo legal y lo técnico — y casi nadie tiene las dos cosas. El abogado redacta la política; el problema es que el control de accesos, los logs y el protocolo de brechas se construyen en el sistema, no en un documento.

En Thinkbox hacemos las dos mitades bajo un mismo equipo: el diagnóstico regulatorio y la implementación técnica que de verdad cambia cómo se manejan los datos. No vendemos un informe que te deja igual; dejamos el RAT, los consentimientos, los contratos de encargo y la seguridad funcionando. Si quieres saber por dónde partir, el diagnóstico es gratis, y el resto lo ves en nuestro servicio de Ley 21.719.

RECIRCULACIÓN

Sigue leyendo

24 may 2026 · 15 min

Ley 21.719 en empresas mid-market: por qué el checklist de PYME se queda corto

Las empresas con 50-500 empleados, CRM Enterprise y partners internacionales necesitan un cumplimiento de Ley 21.719 distinto al de la PYME. Esta guía explica por qué — con el sistema anidado de normas (GDPR, ISO 27701, SOC 2) y casos reales.

6 abr 2026 · 8 min

Ley 21.719: qué debe hacer tu PYME antes de diciembre 2026

La nueva ley de protección de datos personales entra en vigencia en diciembre 2026. Qué obligaciones tienes, cuáles son las multas, y cómo preparar tu empresa paso a paso.

18 jun 2026 · 11 min

FEA vs FES en Chile: cuándo la ley exige firma electrónica avanzada (y qué pasa si te equivocas)

Usar firma electrónica simple donde la ley exige avanzada puede invalidar un contrato, una resolución o un trámite con el Estado. Cuándo corresponde cada una según la Ley 19.799 y la 21.180, dónde se cuela el error y cómo evitarlo.

¿Tienes un proyecto que encaja con estos temas?

Escríbenos