Cómo cumplir la Ley 21.719
Qué es la Ley 21.719
La Ley 21.719 es la nueva regulación chilena de protección de datos personales. Fue publicada en diciembre de 2024 y entra en vigencia plena el 1 de diciembre de 2026, con un período de transición pensado para que las empresas adapten sus procesos. No nace de cero, moderniza la antigua Ley 19.628 de 1999, que fue una regulación temprana sin una autoridad que la hiciera cumplir, y la pone a la altura del estándar internacional que marcó el Reglamento General de Protección de Datos europeo.
El cambio de fondo es simple de enunciar y exigente de cumplir. La ley anterior se conformaba con declaraciones, la nueva pide demostrar. Donde antes bastaba con afirmar que se protegían los datos, ahora se exigen registros, contratos firmados, procedimientos que funcionen y evidencia concreta de cumplimiento. Para hacerlo cumplir, la ley crea la Agencia de Protección de Datos Personales, un organismo con facultades para fiscalizar, investigar y sancionar, que puede actuar de oficio o a partir de los reclamos de las personas.
La ley se aplica a toda empresa que trate datos personales, sin importar su tamaño ni su rubro. Si tu organización tiene trabajadores, clientes, proveedores o visitantes en su sitio web, ya está dentro de su ámbito. Reconoce además un conjunto ampliado de derechos para las personas sobre sus datos, el acceso, la rectificación, la supresión, la oposición, la portabilidad y el bloqueo, que la empresa debe poder atender dentro de un plazo legal. Y endurece el tratamiento de los datos sensibles, una categoría que incluye la salud, los datos biométricos como la huella o el rostro, el origen étnico, la afiliación sindical o política y las convicciones, y que en el mundo de la empresa aparece en los exámenes ocupacionales, los controles de alcohol y drogas o el control de asistencia.
El incentivo para cumplir es concreto. Las infracciones se gradúan según su gravedad, y las más graves pueden alcanzar multas de hasta 20.000 UTM, una cifra cercana a los 1.400 millones de pesos. Para empresas que reinciden y no son pyme, la sanción puede llegar a un porcentaje de los ingresos anuales. El primer año existe una ventana de gracia para las pymes, que pueden recibir una amonestación en lugar de una multa, lo que confirma que el momento de prepararse es ahora, durante la transición y no después.
Qué debe hacer una empresa para cumplir la nueva ley de protección de datos personales
Cumplir la ley no es un trámite único sino un proceso ordenado. Estos son los pasos que toda empresa debería recorrer, partiendo por lo que sostiene todo lo demás.
Paso 1. Saber qué datos tratas
El punto de partida es conocer qué datos personales maneja la empresa, de quiénes, con qué finalidad, dónde están almacenados y con qué terceros se comparten. Este inventario, que la ley llama Registro de Actividades de Tratamiento, es la columna vertebral de todo el cumplimiento, porque sin saber qué datos se tienen y dónde están es imposible protegerlos, responder a las solicitudes de las personas o demostrar cumplimiento ante la Agencia. Vale la pena incluir aquí los sistemas, las planillas, los servicios en la nube e incluso el papel. Conviene además identificar los datos que fluyen hacia terceros y contratistas, porque en esquemas de subcontratación la información de trabajadores y de la propia empresa suele transmitirse entre mandante y contratistas sin que nadie controle qué se comparte ni con qué resguardo.
Un diagnóstico de exposición ayuda a identificar rápidamente qué datos están en juego y por dónde empezar este inventario, y una plantilla de mapeo de datos, cuando esté disponible, facilitará documentarlos.
Paso 2. Definir la base de cada tratamiento
Una vez que sabes qué datos tratas, cada uno debe apoyarse en una base que lo justifique. El consentimiento es solo una de ellas, y suele ser la más frágil porque la persona puede retirarlo. Existen otras igual de válidas, como la ejecución de un contrato, el cumplimiento de una obligación legal o el interés legítimo. Revisar tratamiento por tratamiento cuál es su base evita apoyarse en consentimientos innecesarios y deja a la empresa en una posición defendible.
Paso 3. Ordenar los consentimientos y la información
Donde el consentimiento sea la vía, debe ser libre, informado, específico y demostrable. Además, la ley impone un deber reforzado de transparencia, lo que obliga a tener una política de tratamiento de datos clara y accesible, que informe las finalidades, las bases, los derechos de las personas y los plazos de conservación. Esto incluye el propio sitio web de la empresa.
Paso 4. Atender los derechos de las personas
La empresa debe tener un canal para recibir las solicitudes de acceso, rectificación, supresión, oposición, portabilidad y bloqueo, y un proceso interno para resolverlas dentro del plazo legal. No basta con tener la voluntad, hay que poder ejecutarlo, lo que supone saber dónde están los datos en todos los sistemas, incluidos los de terceros, para poder mostrarlos, corregirlos o eliminarlos.
Paso 5. Implementar medidas de seguridad proporcionales
La ley exige medidas técnicas y organizativas adecuadas al riesgo, y un deber de confidencialidad de quienes tratan los datos. La implementación técnica suele recaer en el equipo o el proveedor de tecnología, pero la definición de qué exige la ley, qué nivel es proporcional y cómo se documenta es una cuestión jurídica. Conviene también tener un procedimiento de respuesta ante una eventual filtración, porque la ley obliga a notificar las brechas de seguridad a la Agencia, y a las personas cuando los datos comprometidos son sensibles. Cuando la empresa entrega datos a contratistas o proveedores que los tratan en su nombre, conviene regular esa transmisión por contrato, definiendo qué información se comparte, con qué finalidad y bajo qué resguardos, de modo que la responsabilidad no se diluya al pasar la información a un tercero.
Paso 6. Evaluar el Modelo de Prevención de Infracciones
La ley permite adoptar de forma voluntaria un Modelo de Prevención de Infracciones, que certificado ante la Agencia opera como un atenuante frente a una eventual sanción. No es obligatorio, pero para empresas que tratan datos sensibles o a gran escala es una decisión que conviene evaluar con una mirada profesional, porque ordena la gobernanza de los datos y mejora la posición de la empresa frente a la autoridad. Adoptarlo implica designar un Delegado de Protección de Datos.
Paso 7. Formalizar y supervisar los deberes de quienes manejan los datos
El cumplimiento no descansa solo en sistemas y políticas, sino también en las personas que dentro de la empresa tratan la información. Conviene revisar y, donde falte, incorporar las obligaciones de confidencialidad y de tratamiento de datos en los contratos de trabajo y en el reglamento interno, en especial respecto de quienes acceden a datos sensibles o a grandes volúmenes de información. Formalizar estos deberes cumple una doble función, es una medida de seguridad que la ley valora y, a la vez, el respaldo que permite a la empresa adoptar las medidas de control, supervisión y, llegado el caso, las medidas disciplinarias que correspondan ante un mal uso. Aquí la mirada jurídica integra dos planos que suelen verse por separado, la protección de datos y el derecho laboral, y los ordena en un mismo marco.
Recorrer estos pasos toma meses, no semanas, y el orden importa, porque cada paso se apoya en el anterior. Por eso conviene empezar pronto y con una mirada clara de dónde está parada hoy la empresa. Un diagnóstico de exposición permite identificar en pocos minutos qué frentes conviene revisar primero, sin necesidad de una auditoría completa.