DatosClarosTu guía de datos personales en Chile
Comparativas

Ley 19.628 vs Ley 21.719: todo lo que cambió en la protección de datos

Julio 2026

Durante más de dos décadas, Chile tuvo una ley de protección de datos que existía más en el papel que en la práctica. La Ley 21.719, publicada el 13 de diciembre de 2024, cambia eso de raíz. Conviene aclarar algo desde el principio: la 21.719 no reemplaza a la 19.628 con una ley nueva e independiente. La reforma modifica y moderniza la propia Ley 19.628. En la práctica se habla de "la nueva ley" o "la Ley 21.719", pero el cuerpo legal sigue siendo la 19.628 con sus modificaciones incorporadas.

1. De no tener autoridad a tener una agencia con poder real

El cambio más importante. La Ley 19.628 no contemplaba una autoridad fiscalizadora especializada: si a alguien le vulneraban sus derechos, su única vía era ir a tribunales por su cuenta. La Ley 21.719 crea la Agencia de Protección de Datos Personales (APDP), una corporación autónoma de derecho público con facultades para fiscalizar, investigar de oficio, interpretar la norma, sancionar y llevar un registro público de sanciones.

2. De sanciones simbólicas a multas que un directorio mira

Bajo la ley antigua, las consecuencias de incumplir eran prácticamente inexistentes en términos disuasivos. La reforma establece un régimen escalonado — infracciones leves, graves y gravísimas — con multas que en el tramo más alto alcanzan las 20.000 UTM (del orden de $1.400 millones de pesos). En reincidencia, la multa puede llegar hasta el 4% de los ingresos anuales o triplicarse, lo que resulte mayor.

3. De cuatro derechos a seis (más protecciones nuevas)

La Ley 21.719 amplía y refuerza los derechos. Hoy se habla de derechos ARCOP más el bloqueo:

  • ·Acceso: saber qué datos tienen sobre ti y obtener copia.
  • ·Rectificación: corregir datos inexactos o desactualizados.
  • ·Cancelación / supresión: eliminar datos cuando ya no corresponde conservarlos.
  • ·Oposición: negarte a ciertos tratamientos, como el marketing.
  • ·Portabilidad: llevarte tus datos a otro proveedor (derecho nuevo).
  • ·Bloqueo: suspender temporalmente el tratamiento mientras se resuelve una controversia.

Se suma, además, el derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que te afecten significativamente.

4. De "declarar" a "demostrar"

La Ley 21.719 introduce el principio de responsabilidad proactiva (accountability): no basta con decir que cumples, hay que poder demostrarlo con evidencia — registros de actividades de tratamiento, bases de licitud documentadas, contratos con proveedores, protocolos de respuesta, logs.

5. Principios explícitos que ordenan todo

La reforma establece principios que estructuran toda la materia: licitud, lealtad y transparencia; finalidad; proporcionalidad (minimización de datos); calidad; responsabilidad; seguridad; y confidencialidad. No son adornos: cada uno se traduce en obligaciones concretas y exigibles.

6. Obligaciones nuevas para las empresas

Aparecen deberes que antes no existían: mantener un registro de actividades de tratamiento, notificar las brechas de seguridad a la autoridad, realizar evaluaciones de impacto en tratamientos de alto riesgo, aplicar seguridad desde el diseño y por defecto, y designar un delegado de protección de datos en el marco de los modelos de prevención de infracciones.

7. Alineación con estándares internacionales

La reforma acerca a Chile a los estándares del GDPR europeo. Esto no es solo simbólico: facilita el flujo de datos con Europa y da a las empresas que ya cumplen con GDPR una base sobre la cual adaptarse.

La línea de tiempo que conviene tener clara

  • ·1999: entra en vigencia la Ley 19.628, pionera pero débil.
  • ·13 de diciembre de 2024: se publica la Ley 21.719 en el Diario Oficial.
  • ·Período 2024–2026: 24 meses de transición ("marcha blanca"). La Agencia inicia su instalación.
  • ·1 de diciembre de 2026: entra en plena vigencia el grueso de la reforma y la Agencia ejerce su potestad sancionatoria.

La distancia entre ambas leyes es la distancia entre declarar y demostrar. La 19.628 pedía intenciones; la 21.719 pide registros, procedimientos y evidencia — y crea una autoridad para verificarlos.

Relacionado: para el cuadro comparativo dimensión por dimensión, revisa nuestra comparativa completa. Y para entender la nueva autoridad, qué es la Agencia y cuándo empieza a funcionar.

Fuentes principales: Ley 21.719, que modifica la Ley 19.628 sobre Protección de la Vida Privada (Biblioteca del Congreso Nacional — bcn.cl/leychile). Fecha de publicación confirmada vía BCN y Diario Oficial.

¿Necesitas ayuda para ejercer este derecho?

Cuéntanos tu situación y te orientamos sin costo.

Consulta aquí