¿Cómo cumplir la Ley 21.719 de Protección de Datos en Chile?

¿Cómo cumplir la Ley 21.719 de Protección de Datos en Chile?

La Ley 21.719 es la nueva ley de protección de datos personales de Chile. Publicada el 13 de diciembre de 2024, entra en vigencia obligatoria el 1 de diciembre de 2026. A partir de esa fecha, cualquier empresa que trate datos personales de personas naturales en Chile — incluyendo empleados, clientes y proveedores — debe poder demostrar que cumple con la ley ante una auditoría, fiscalización o requerimiento del directorio. No basta con tener un documento de política de privacidad. La ley exige evidencia real de que los controles funcionan.

¿A quién aplica la Ley 21.719?

La ley aplica a toda persona natural o jurídica, pública o privada, que trate datos personales de personas naturales en Chile. El tamaño de la empresa no es un factor de exclusión.

• Empresas con empleados (datos de RR.HH.)
• Empresas con clientes registrados (CRM, bases de datos de ventas)
• Plataformas digitales que recopilan datos de usuarios
• Proveedores de servicios que procesan datos en nombre de terceros
• Entidades públicas que traten datos de ciudadanos

Los 5 pasos para cumplir la Ley 21.719

El cumplimiento de la Ley 21.719 no es un proyecto puntual sino un sistema continuo. Implementarlo correctamente toma entre 3 y 9 meses dependiendo del tamaño y complejidad de la organización.

1. Diagnóstico de brechas: identificar qué datos personales trata la empresa, con qué base legal, y qué controles existen actualmente.
2. Inventario de datos: mapear todos los tratamientos de datos personales (empleados, clientes, proveedores, usuarios digitales).
3. Implementación de controles: establecer mecanismos de consentimiento, plazos de retención, derechos de los titulares (acceso, rectificación, supresión).
4. Canal de denuncias y gestión de incidentes: implementar protocolo documentado de respuesta ante vulneraciones de seguridad.
5. Monitoreo continuo y evidencia: mantener trazabilidad de cada acción de tratamiento de datos, auditable en cualquier momento.

¿Qué evidencia exige la Ley 21.719?

Uno de los errores más comunes es creer que basta con redactar políticas de privacidad y publicarlas en el sitio web. La Ley 21.719 va mucho más lejos: exige que la empresa pueda demostrar, ante la Agencia de Protección de Datos Personales, que sus controles funcionan en la operación diaria.

• Registro de actividades de tratamiento (quién, qué datos, para qué, con qué base legal)
• Evidencia de consentimientos otorgados por titulares
• Registros de solicitudes de derechos ARCO (Acceso, Rectificación, Cancelación, Oposición)
• Protocolos de respuesta ante vulneraciones de seguridad, con plazos documentados
• Evaluaciones de impacto para tratamientos de alto riesgo
• Designación formal de DPO cuando corresponda

Error crítico: confundir política con sistema

La mayoría de las empresas en Chile tiene, como mínimo, una política de privacidad. Muchas han hecho talleres de concientización. Pero cuando llega una fiscalización de la Agencia, o cuando el directorio pide un reporte de riesgos, descubren que no pueden demostrar nada. Una política es un documento. Un sistema de compliance es un conjunto de controles, registros y evidencias que funcionan en la operación diaria. RegulaTec implementa el segundo: no documentos, sino sistemas auditables.

¿Cuánto tiempo hay para cumplir?

La Ley 21.719 entra en vigencia el 1 de diciembre de 2026. Para empresas medianas, implementar un sistema básico toma entre 3 y 4 meses. Organizaciones con mayor complejidad (multinacionales, empresas de salud, fintech) pueden requerir hasta 9 meses. Dado el plazo, comenzar hoy no es opcional: es la única estrategia que permite cumplir a tiempo.