DatosClarosTu guía de datos personales en Chile
Para empresas

Las 8 obligaciones que toda empresa debe cumplir antes de diciembre 2026

Julio 2026

El 1 de diciembre de 2026 la Agencia de Protección de Datos Personales (APDP) comienza a fiscalizar con potestad sancionatoria plena. No es una fecha simbólica: es el día en que una empresa que reciba un requerimiento de información va a tener que mostrar registros, no explicaciones.

La Ley 21.719 traduce ocho obligaciones concretas que cualquier organización que trate datos personales en Chile — sin importar su tamaño — debería tener resueltas antes de esa fecha.

1. Mantener un Registro de Actividades de Tratamiento (RAT)

Es el documento base de todo el sistema. Un inventario actualizado de qué datos personales trata tu empresa, con qué finalidad, bajo qué base de licitud, durante cuánto tiempo se conservan y con quién se comparten.

En la práctica, es lo primero que va a pedir un fiscalizador. Si no existe, no hay forma de demostrar cumplimiento de ninguna de las demás obligaciones.

2. Identificar la base de licitud de cada tratamiento

No todo tratamiento de datos requiere consentimiento. La ley reconoce distintas bases legales — consentimiento, ejecución de un contrato, cumplimiento de una obligación legal, entre otras — y cada tratamiento debería tener una base identificada y documentada, no asumida.

Tratar datos sin ninguna base de licitud válida es, en sí mismo, una infracción.

3. Obtener consentimiento válido cuando corresponda

Cuando el consentimiento es la base elegida, tiene que ser libre, específico, informado e inequívoco. Eso descarta las casillas premarcadas y los consentimientos implícitos. Para datos sensibles, el estándar sube: se exige consentimiento explícito.

Tu empresa también debe poder demostrar que ese consentimiento se obtuvo, y ofrecer un mecanismo igual de simple para revocarlo.

4. Responder solicitudes ARCOP dentro de plazo

Acceso, rectificación, cancelación, oposición, portabilidad y bloqueo temporal: los derechos de los titulares se ampliaron respecto de la antigua Ley 19.628. El plazo general de respuesta es de 30 días desde recibida la solicitud.

Esto exige un canal de recepción definido y un procedimiento interno que deje trazabilidad de cada solicitud, no respuestas ad hoc por correo.

5. Notificar brechas de seguridad sin dilación indebida

Cuando una brecha — acceso no autorizado, pérdida, filtración — implique un riesgo razonable para los derechos de los titulares, la notificación a la APDP debe hacerse por los medios más expeditos posibles y sin dilaciones indebidas. Si los datos comprometidos son sensibles, también hay que avisar directamente a las personas afectadas.

Cumplir ese plazo bajo presión solo es posible si el procedimiento de respuesta a incidentes está documentado y probado antes de que ocurra el problema.

6. Realizar evaluaciones de impacto en tratamientos de alto riesgo

La Evaluación de Impacto en Protección de Datos (EIPD) es un análisis previo y documentado del riesgo que un tratamiento puede generar para los titulares. Se exige en casos como perfilamiento sistemático, tratamiento masivo de datos, vigilancia de espacios públicos o tratamiento de datos sensibles sin consentimiento.

7. Aplicar medidas de seguridad proporcionales al riesgo

La ley exige medidas técnicas y organizativas adecuadas al nivel de riesgo del tratamiento, aplicadas desde el diseño y por defecto. Esto va desde cifrado y control de accesos hasta protocolos de respaldo y gestión de vulnerabilidades. El nivel exigido depende de qué datos se tratan y a qué escala.

8. Garantizar confidencialidad y transparencia

Todo quien acceda a datos personales en el marco de su trabajo está obligado a guardar confidencialidad, incluso después de terminada la relación laboral o contractual. Además, la empresa debe mantener permanentemente disponible información clara sobre cómo trata los datos: qué recolecta, para qué, y cómo se ejercen los derechos.

Lo que realmente va a mirar la Agencia

Ninguna de estas ocho obligaciones se cumple con una política de privacidad publicada en el sitio web. La APDP fiscaliza evidencia operativa: registros con fecha, solicitudes respondidas y documentadas, simulacros ejecutados.

El orden razonable: primero el registro de tratamiento (obligación 1), porque sin él no se puede documentar ninguna de las demás; después las bases de licitud y el consentimiento (2 y 3); luego el protocolo ARCOP y el de brechas (4 y 5); y por último seguridad, EIPD y transparencia (6, 7 y 8) como capas de sostenimiento.

Relacionado: revisa el detalle completo de las obligaciones del responsable de datos, nuestra guía de gestión de solicitudes ARCOP y el régimen de sanciones.

Fuentes principales: Ley 21.719, que modifica la Ley 19.628 sobre Protección de la Vida Privada (Biblioteca del Congreso Nacional — bcn.cl/leychile); Guía práctica de implementación, Secretaría de Gobierno Digital (wikiguias.digital.gob.cl).

¿Necesitas ayuda para ejercer este derecho?

Cuéntanos tu situación y te orientamos sin costo.

Consulta aquí