Ley 21.719: quedan 7 meses. La mayoría de las empresas chilenas no está lista.

Diciembre de 2026 no es una fecha lejana. En la práctica, para una empresa que aún no ha iniciado su proceso de adecuación, es una fecha que ya llegó. Un proyecto serio de cumplimiento toma entre 9 y 12 meses. Las organizaciones que empiecen hoy llegarán al límite justo. Las que esperen al segundo semestre, no llegarán.

Qué dice la ley

La Ley Nº 21.719, promulgada en diciembre de 2024, entra en vigor el 1 de diciembre de 2026. Reemplaza la Ley 19.628 de 1999, una norma que reguló la protección de datos personales en Chile durante 27 años y que quedó obsoleta ante la realidad del ecosistema digital actual.

La nueva ley se inspira directamente en el GDPR europeo e introduce cambios estructurales que afectan a toda organización (pública o privada) que trate datos personales de personas naturales en Chile.

Las obligaciones principales incluyen:

• Principios nuevos de licitud, finalidad, proporcionalidad y seguridad en el tratamiento de datos.
• Derechos ARCOP ampliados: Acceso, Rectificación, Cancelación, Oposición y Portabilidad, con plazos de respuesta definidos.
• Designación obligatoria de un Delegado de Protección de Datos (DPO) para organizaciones que traten datos a escala.
• Registro de actividades de tratamiento documentado y actualizado.
• Evaluaciones de Impacto de Privacidad (EIPD) para tratamientos de alto riesgo.
• Notificación de brechas de seguridad dentro de plazos estrictos.
• Contratos de protección de datos con todos los proveedores que accedan a datos personales (DPAs).

Y el elemento que concentra la atención de los equipos legales y directivos: las sanciones.

Multas de hasta 20.000 UTM por infracción grave (equivalente aproximado a USD 1,4 millones al tipo de cambio actual). Más daño reputacional, contractual y operativo.

La ley crea la Agencia de Protección de Datos Personales, organismo con facultades de fiscalización, investigación y sanción. Las multas no son el único riesgo: el incumplimiento puede generar terminación de contratos con clientes enterprise, inhabilitar a la empresa en procesos de licitación pública, y exponer a sus directivos a responsabilidad personal.

Lo que revela el diagnóstico del mercado chileno

PwC Chile realizó una encuesta sobre el nivel de preparación de las empresas frente a la Ley 21.719. Los resultados son elocuentes:

• El 74% de las organizaciones encuestadas no tiene visibilidad completa de sus tratamientos de datos personales.
• El 33% se reconoce como ‘poco preparada’ para cumplir los requisitos de la ley.
• El 39% aún no ha presupuestado el proceso de adecuación.
• La brecha más común es la gestión de proveedores SaaS: la mayoría de las organizaciones no tiene DPAs firmados con los servicios en nube que usan cotidianamente.

Esta última brecha es particularmente relevante. Cada herramienta SaaS que accede a datos de clientes, empleados o proveedores es un eslabón en la cadena de tratamiento que la ley regula. Sin contratos adecuados con esos proveedores, la empresa es responsable de las transferencias internacionales que ocurren cada vez que un dato cruza una frontera hacia un servidor en otro país.

No es solo Chile

El contexto regional importa para las empresas que operan en múltiples países. LATAM tiene un ecosistema regulatorio de datos personales que madura rápidamente:

• Colombia aplica la Ley 1581/2012 con años de jurisprudencia acumulada, una de las regulaciones más maduras de la región.
• Perú tiene la Ley 29733 con reglamento actualizado y autoridad supervisora activa.
• Argentina protege datos personales bajo la Ley 25.326, con un proyecto de modernización avanzado en el Congreso.
• México opera bajo la LFPDPPP para sector privado, con regulaciones sectoriales adicionales en banca y salud.

Para las empresas chilenas con operaciones en estos países, el cumplimiento de la Ley 21.719 no es un proyecto aislado: es la oportunidad de construir una arquitectura de privacidad que funcione en toda la región, no solo en un país.

Los plazos que definen si se llega o no

Un proyecto de adecuación completo (desde diagnóstico hasta implementación técnica verificable) toma entre 9 y 12 meses en organizaciones de tamaño mediano. En empresas grandes con múltiples sistemas, más tiempo. La ventana de tiempo real para iniciar y llegar sin riesgo al 1 de diciembre es hoy.

Las fases del proceso, en orden:

• Diagnóstico de brechas (mes 1-2): mapeo de tratamientos actuales, identificación de datos, flujos, proveedores y brechas frente a los requisitos de la ley.
• Gobernanza y roles (mes 2-3): designación del DPO o responsable, políticas internas actualizadas, firma de DPAs con proveedores SaaS críticos.
• Implementación técnica (mes 3-9): mecanismos de consentimiento verificable, portal de derechos ARCOP, medidas de seguridad técnicas y organizativas, registro de actividades de tratamiento.
• Evaluaciones de impacto (mes 6-9): EIPD para tratamientos de alto riesgo: marketing automatizado, perfilamiento, decisiones automatizadas.
• Procedimiento de brechas (mes 8-10): protocolo documentado y probado de notificación ante incidentes, con plazos y roles definidos.
• Auditoría y cierre (mes 10-12): revisión final de cumplimiento, documentación de evidencia para fiscalizador, entrenamiento del equipo.

Un punto que suele subestimarse: la Agencia no va a fiscalizar políticas publicadas en la web corporativa. Va a fiscalizar evidencia de que los procesos existen y funcionan. La diferencia entre ‘tenemos una política de privacidad’ y ‘podemos demostrar que la aplicamos’ es exactamente la brecha que este proceso debe cerrar.

El regulador busca evidencia, no intenciones. La adecuación debe ser demostrable, no solo declarada.

El compliance que se convierte en ventaja competitiva

Las empresas que llegan al 1 de diciembre con la adecuación completa obtienen algo más que el cumplimiento regulatorio: obtienen una posición diferenciada en el mercado.

En licitaciones del sector financiero, retail masivo, salud y gobierno (los sectores que más datos personales tratan) la capacidad de demostrar cumplimiento con la Ley 21.719 se convertirá en un criterio de adjudicación. Los clientes enterprise en banca y seguros ya están incluyendo cláusulas de cumplimiento de protección de datos en sus contratos con proveedores tecnológicos.

El cumplimiento no es solo un costo de regulación. Es una señal de que la organización gestiona sus sistemas con rigor, y eso, para un CTO o un Chief Risk Officer que evalúa proveedores, tiene un valor que va más allá del contrato en cuestión.

Fuentes: Ley Nº 21.719 (Biblioteca del Congreso Nacional de Chile), PwC Chile (Encuesta de Protección de Datos Personales), Agencia de Protección de Datos Personales (Chile), leyes de protección de datos de Colombia, Perú, Argentina y México.