← Volver al inicio

❓ Preguntas Frecuentes

Ley 21.719 de Protección de Datos en Chile

🧩 Lo básico sobre la Ley 21.719

1. ¿Qué es la Ley 21.719 y qué busca proteger?
La Ley 21.719 es la nueva Ley de Protección de Datos Personales en Chile. Su objetivo es proteger los datos de las personas (clientes, trabajadores, proveedores) y obligar a las empresas a usarlos de forma responsable, segura y transparente.
2. ¿Desde cuándo es obligatoria la Ley 21.719?
La ley entra en vigencia el 1 de diciembre de 2026. Desde esa fecha, las empresas pueden ser fiscalizadas y sancionadas.
3. ¿A quiénes aplica esta ley?
Aplica a todas las empresas y organizaciones que traten datos personales en Chile: grandes empresas, PYMEs, fundaciones y también organismos públicos.
4. ¿La Ley 21.719 aplica a las PYMEs?
Sí. No hay excepción por tamaño. Si tu empresa maneja datos de clientes, trabajadores o proveedores, debes cumplir la ley.
5. ¿Aplica si uso sistemas en la nube o proveedores extranjeros?
Sí. Aunque uses Google, AWS, Meta, HubSpot u otros proveedores, tú sigues siendo responsable de los datos.
6. ¿Qué pasa si no hago nada?
Te expones a:
  • Multas de hasta 20.000 UTM
  • Daño reputacional
  • Prohibición de tratar datos
  • Demandas de clientes o trabajadores

🗂️ Datos y tratamientos

7. ¿Qué es un dato personal?
Es cualquier dato que identifique o pueda identificar a una persona: nombre, RUT, email, teléfono, IP, ubicación, etc.
8. ¿Qué es un dato sensible?
Son datos más delicados como salud, biometría, orientación política o religiosa, entre otros. Tienen reglas más estrictas.
9. ¿Qué significa "tratamiento de datos"?
Cualquier uso del dato: recolectar, guardar, usar, enviar, modificar o borrar datos personales.
10. ¿Qué es un mapa de datos y por qué es obligatorio?
Es un inventario completo de todos los datos personales que maneja tu empresa: de dónde vienen, dónde están, para qué se usan y con quién se comparten. Es la base de todo el cumplimiento.
11. ¿Qué es el Registro de Actividades de Tratamiento (RAT)?
Es un documento obligatorio donde se registran formalmente todos los tratamientos de datos de la empresa.
12. ¿Siempre necesito consentimiento?
No. La ley permite otras bases legales como:
  • Ejecución de contrato
  • Obligación legal
  • Interés legítimo
El consentimiento es solo una de las opciones.
13. ¿Puedo seguir usando datos antiguos de mis clientes?
Depende. Debes justificar legalmente por qué los sigues usando y cumplir los principios de finalidad y proporcionalidad.

📄 Políticas y transparencia

14. ¿Es obligatorio tener una política de privacidad?
Sí. Es obligatoria y debe estar publicada y accesible.
15. ¿Qué debe incluir la política de privacidad?
Debe indicar:
  • Qué datos recopilas
  • Para qué los usas
  • Por cuánto tiempo
  • Qué derechos tienen las personas
  • Cómo pueden ejercerlos
16. ¿Qué es un aviso de privacidad?
Es una versión corta e informativa que se muestra en formularios, sitios web o puntos de recolección de datos.
17. ¿Dónde debo publicar estas políticas?
En tu sitio web, plataformas internas, contratos, formularios y en todo punto donde recolectes datos.

👤 Derechos de las personas (ARCO+)

18. ¿Qué derechos tienen los titulares de datos?
Tienen derecho a:
  • Acceder
  • Rectificar
  • Eliminar
  • Oponerse
  • Portar sus datos
  • Bloquearlos
  • No ser objeto de decisiones automatizadas
19. ¿Qué pasa si un cliente me pide borrar sus datos?
Debes analizar la solicitud y responder dentro de plazo. A veces puedes rechazarla, pero debes justificarlo legalmente.
20. ¿En cuánto tiempo debo responder?
Máximo 30 días, con posibilidad de prórroga justificada por otros 30 días.
21. ¿Puedo negarme a una solicitud?
Sí, en algunos casos legales (por ejemplo, obligaciones tributarias), pero debes responder formalmente y justificar.
22. ¿Tengo que llevar registro de estas solicitudes?
Sí. El registro de solicitudes ARCO+ es obligatorio.

🔐 Seguridad y brechas

23. ¿Qué medidas de seguridad exige la ley?
Medidas técnicas y organizativas como:
  • Control de accesos
  • Backups
  • Cifrado
  • Políticas internas
  • Capacitación
24. ¿Qué es una brecha de seguridad?
Es cuando se pierden, roban, filtran o acceden indebidamente a datos personales.
25. ¿Estoy obligado a reportar una brecha?
Sí. En ciertos casos debes notificar a la Agencia y a los afectados.
26. ¿Qué es una Evaluación de Impacto (EIPD)?
Es un análisis formal de riesgos para tratamientos de datos de alto impacto o alto riesgo.

🧑‍💼 Organización interna y DPO

27. ¿Qué es un Delegado de Protección de Datos (DPO)?
Es la persona encargada de supervisar el cumplimiento de la ley dentro de la empresa.
28. ¿Es obligatorio tener DPO?
En Chile es voluntario, pero altamente recomendado para empresas que tratan muchos datos o datos sensibles.
29. ¿Puede ser alguien interno?
Sí. Puede ser interno o externo, siempre que tenga formación adecuada e independencia.
30. ¿Tengo que cambiar mis procesos internos?
Sí. La ley exige integrar la protección de datos en todos los procesos: ventas, marketing, RRHH, TI, proveedores.

🧾 Fiscalización y sanciones

31. ¿Quién fiscaliza el cumplimiento?
La Agencia de Protección de Datos Personales.
32. ¿Qué me pueden pedir en una fiscalización?
Te pueden pedir:
  • Política de privacidad
  • Mapa de datos
  • RAT
  • Registros ARCO+
  • Protocolos de seguridad
  • Contratos con proveedores
33. ¿Cuánto son las multas?
  • Leves: hasta 5.000 UTM
  • Graves: hasta 10.000 UTM
  • Gravísimas: hasta 20.000 UTM
  • En casos graves: hasta 2–4% de los ingresos anuales
34. ¿Cómo me preparo para una auditoría?
Implementando:
  • Diagnóstico
  • Documentación
  • Procesos
  • Capacitación
  • Controles periódicos

¿Tienes más preguntas sobre la Ley 21.719?

Contáctanos