Contenido
  1. ¿Qué es la Ley 21.719?
  2. Cuándo entra en vigencia
  3. Qué cambia frente a la Ley 19.628
  4. Principios y derechos de las personas
  5. A quién aplica y la nueva Agencia
  6. El factor humano: por qué capacitar
  7. Cómo capacitar a tu equipo
  8. Checklist de preparación

Chile vivió por más de dos décadas con una ley de datos personales que el mundo digital dejó atrás. La Ley 21.719 corrige eso de golpe: introduce un estándar moderno, inspirado en el reglamento europeo (GDPR), y por primera vez crea una autoridad con dientes para fiscalizar y multar. Para las empresas, significa que tratar datos de clientes y trabajadores deja de ser un tema "de TI" y pasa a ser una obligación de toda la organización.

Y como casi todas las filtraciones de datos empiezan por un error humano, la capacitación del equipo se vuelve una pieza central del cumplimiento.

Nota importante

Esta guía es informativa y no constituye asesoría legal. Las fechas, montos y reglamentos de la Ley 21.719 pueden actualizarse: confirma siempre el texto vigente y los reglamentos en la Biblioteca del Congreso Nacional (bcn.cl).

1. ¿Qué es la Ley 21.719?

Es la nueva ley que regula el tratamiento y la protección de los datos personales en Chile. Reemplaza el marco de la antigua Ley 19.628 y eleva el estándar a un nivel comparable con el europeo: consentimiento real, finalidad legítima, seguridad de la información y derechos efectivos para las personas.

2. Cuándo entra en vigencia

La ley contempla un periodo de adecuación tras su publicación, pensado precisamente para que empresas y organismos públicos se preparen. Ese plazo sitúa su plena entrada en vigencia hacia 2026. El mensaje para las empresas es claro: el tiempo de preparación es ahora, no cuando empiecen las fiscalizaciones.

No esperes a la fecha

Adecuar procesos, contratos y sistemas toma meses. La capacitación del equipo, en cambio, puede empezar de inmediato y es lo que más rápido reduce el riesgo de una filtración por error humano.

3. Qué cambia frente a la Ley 19.628

TemaAntes (Ley 19.628)Ahora (Ley 21.719)
Autoridad fiscalizadoraNo existíaAgencia de Protección de Datos
MultasCasi inaplicablesSí, escalonadas por gravedad
ConsentimientoDifusoLibre, informado y específico
Derechos de las personasLimitadosAcceso, rectificación, supresión, oposición, portabilidad
Deber de seguridadGenéricoMedidas técnicas y organizativas exigibles
Notificación de brechasNo reguladaObligatoria ante la Agencia

4. Principios y derechos de las personas

La ley se apoya en principios que tu equipo debe conocer para no infringirlos sin querer: licitud y lealtad, finalidad, proporcionalidad, calidad, transparencia, seguridad y responsabilidad proactiva. Este último es clave: no basta con cumplir, hay que poder demostrar que se cumple.

Además, las personas adquieren derechos concretos sobre sus datos, a menudo resumidos como derechos ARCOP:

  • Acceso: saber qué datos tiene la empresa sobre ellas.
  • Rectificación: corregir datos inexactos.
  • Cancelación o supresión: eliminar datos cuando corresponde.
  • Oposición: negarse a ciertos tratamientos.
  • Portabilidad: llevarse sus datos a otro proveedor.

5. A quién aplica y la nueva Agencia

Aplica a prácticamente toda empresa que trate datos personales, y eso incluye los datos de tus propios trabajadores: contratos, liquidaciones, datos de salud, evaluaciones. No es solo para empresas tecnológicas.

La fiscalización queda en manos de la nueva Agencia de Protección de Datos Personales, que podrá investigar, sancionar y aplicar multas. Para las infracciones más graves, las multas pueden alcanzar montos significativos en UTM, escalando según la gravedad y la reincidencia.

6. El factor humano: por qué capacitar

La mayoría de los incidentes de datos no nacen de un hacker sofisticado, sino de un error cotidiano: un correo enviado a la persona equivocada, una planilla con datos sensibles compartida sin control, un trabajador que cae en un correo de phishing. Ninguna política escrita previene eso si el equipo no la conoce.

El eslabón débil

Puedes invertir en los mejores sistemas, pero si un trabajador comparte una base de datos por WhatsApp, la brecha igual ocurre. La capacitación es el control más barato y de mayor impacto que existe.

Capacita a tu equipo en protección de datos en 5 minutos

Sube tu política de privacidad o tu manual de tratamiento de datos y la IA lo convierte en un curso interactivo, con evaluación y certificado para cada trabajador.

Crear mi curso de datos gratis →

7. Cómo capacitar a tu equipo

Una capacitación de protección de datos útil debe ser concreta y aplicable al día a día. Como mínimo, cubre:

  1. Qué es un dato personal y qué es un dato sensible (salud, datos socioeconómicos, biométricos).
  2. Los principios de la ley en lenguaje simple.
  3. Reglas prácticas: cómo enviar correos con datos, cómo compartir archivos, qué nunca se hace.
  4. Phishing y seguridad básica (conecta con la capacitación en ciberseguridad).
  5. Qué hacer ante una sospecha de brecha y a quién avisar.
  6. Evaluación con puntaje mínimo de aprobación.

8. Checklist de preparación

Lista de verificación para tu empresa
  • Inventariaste qué datos personales tratas y para qué finalidad
  • Tienes una política de privacidad actualizada al estándar de la 21.719
  • Definiste cómo se obtiene y registra el consentimiento
  • Tienes un procedimiento para atender derechos (acceso, rectificación, etc.)
  • Definiste un plan de respuesta ante brechas de seguridad
  • Todo el equipo fue capacitado en tratamiento de datos, con evaluación
  • Guardas evidencia individual de esa capacitación (nombre, RUT, fecha, nota)

La Ley 21.719 no busca castigar a las empresas, sino elevar el cuidado con que se tratan los datos de las personas. Empezar por capacitar al equipo es la forma más rápida, barata y demostrable de avanzar hacia el cumplimiento antes de que la fiscalización comience.