DatosClarosTu guía de datos personales en Chile
Comparativas

Ley 19.628 vs Ley 21.719: todo lo que cambió

Mayo 2026

Aviso editorial: Este artículo tiene fines informativos y educativos. No reemplaza una asesoría legal específica, porque en materia de datos personales cada caso depende del tipo de datos, finalidad del tratamiento, riesgo, tecnología utilizada y rol de la empresa u organismo.

Introducción: Chile cambió las reglas del juego

Durante años, la Ley N° 19.628 fue la norma principal sobre protección de la vida privada y datos personales en Chile. Cumplió un rol importante en su época, pero nació en 1999, cuando muchas empresas todavía archivaban más papeles que datos, el comercio electrónico estaba en pañales y hablar de inteligencia artificial, geolocalización, biometría o perfilamiento sonaba más a película futurista que a problema jurídico cotidiano.

Eso cambió.

La Ley N° 21.719, publicada en el Diario Oficial el 13 de diciembre de 2024, moderniza profundamente el sistema chileno de protección de datos personales. No se trata simplemente de una "actualización de términos" ni de cambiar el nombre de la ley. Es un cambio de modelo: pasamos de una regulación más bien reactiva, con herramientas limitadas de fiscalización, a un sistema con principios, obligaciones, derechos reforzados, multas importantes y una autoridad especializada: la Agencia de Protección de Datos Personales.

La entrada en vigencia general de esta reforma será el 1 de diciembre de 2026. Eso significa que Chile está en una etapa de transición. Y como ocurre con toda transición legal importante, el mejor momento para prepararse no es cuando llegue la primera fiscalización, sino ahora.

Este artículo explica, en lenguaje claro pero con base legal, qué cambió entre la Ley 19.628 y la Ley 21.719, por qué importa y qué deberían comenzar a revisar empresas, profesionales, startups, colegios, clínicas, inmobiliarias, e-commerce, agencias de marketing, software factories, fundaciones, comunidades y organismos públicos.


1. De "protección de la vida privada" a "protección de datos personales"

Uno de los primeros cambios simbólicos, pero también jurídicos, es el nombre y el enfoque de la ley.

La Ley 19.628 se conocía como Ley sobre Protección de la Vida Privada. La Ley 21.719 orienta el sistema hacia la protección de los datos personales como derecho autónomo, conectado con el artículo 19 N° 4 de la Constitución.

Esto importa porque la protección de datos no se agota en "que no se metan en mi vida privada". Va más allá: incluye saber qué datos tienen sobre mí, para qué los usan, de dónde los obtuvieron, con quién los comparten, cuánto tiempo los guardan y cómo puedo exigir que se corrijan, eliminen, bloqueen o porten.

La frase clave del nuevo sistema es esta: no basta con decir "cumplo"; hay que poder probarlo.

2. La Ley 19.628: qué regulaba y por qué quedó corta

La Ley 19.628 ya regulaba conceptos relevantes: dato personal, dato sensible, titular, responsable, tratamiento, eliminación, modificación y bloqueo. También contenía reglas importantes:

  • ·El tratamiento requería autorización legal o consentimiento del titular.
  • ·Los datos debían usarse para los fines para los cuales fueron recolectados.
  • ·Los datos erróneos o caducos debían modificarse, bloquearse o eliminarse.
  • ·Los datos sensibles tenían un estándar más restrictivo.
  • ·Las personas podían pedir información, modificación, cancelación o bloqueo de sus datos.
  • ·Existía responsabilidad por daño patrimonial y moral en caso de tratamiento indebido.

El problema no era que la ley no dijera nada. El problema era que el mundo cambió demasiado rápido. La ley quedó débil frente a tratamientos masivos, inteligencia artificial, marketing automatizado, plataformas digitales, bases de datos cruzadas, scoring, biometría y transferencias internacionales.

Además, Chile carecía de una autoridad especializada con facultades robustas para fiscalizar y sancionar.

3. La Ley 21.719: qué es y cuándo entra en vigencia

La Ley 21.719 regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.

Fue publicada el 13 de diciembre de 2024 y su vigencia general comienza el 1 de diciembre de 2026. Este plazo transitorio busca dar tiempo para que los responsables de datos se adapten, se dicten reglamentos y se instale la nueva institucionalidad.

En simple:

  • ·La ley ya existe.
  • ·Su aplicación general está en etapa de preparación.
  • ·Las empresas y organismos deberían usar este período para ordenar la casa.

Quien espere hasta diciembre de 2026 para revisar bases de datos, consentimientos, proveedores y políticas internas probablemente va a descubrir que el cumplimiento no se compra en formato "plantilla express".

4. Ámbito de aplicación: a quién afecta la nueva ley

La Ley 21.719 alcanza a personas naturales y jurídicas, públicas y privadas, que realicen tratamiento de datos personales. Esto incluye:

  • ·Empresas con bases de clientes
  • ·E-commerce
  • ·Clínicas, centros médicos y profesionales de salud
  • ·Colegios, universidades y jardines infantiles
  • ·Aplicaciones móviles y plataformas SaaS
  • ·Corredoras de propiedades
  • ·Administraciones de edificios
  • ·Agencias de marketing y empresas de cobranza
  • ·Empleadores que administran datos de trabajadores
  • ·Fundaciones, corporaciones y asociaciones
  • ·Organismos públicos
  • ·Proveedores tecnológicos que procesan datos por cuenta de terceros

También hay un elemento muy relevante: la ley considera casos en que el responsable no está establecido en Chile, pero dirige operaciones hacia titulares que se encuentran en el país. Si tratas datos de personas en Chile, no conviene asumir que "como mi servidor está afuera, no me aplica nada".

5. Nuevos principios: el corazón del nuevo sistema

La Ley 21.719 refuerza los principios que deben guiar todo tratamiento de datos personales. Estos principios son criterios exigibles y servirán para interpretar obligaciones, fiscalizaciones y sanciones.

a) Licitud y lealtad

Los datos deben tratarse de manera lícita y leal. El responsable debe acreditar la licitud del tratamiento.

b) Finalidad

Los datos deben recolectarse para fines específicos, explícitos y lícitos. No corresponde recolectar información "por si acaso algún día sirve".

c) Proporcionalidad

Solo deben tratarse los datos necesarios, adecuados y pertinentes para la finalidad declarada.

d) Calidad

Los datos deben ser exactos, completos, actuales y pertinentes.

e) Responsabilidad

Quien trata datos responde por cumplir la ley. Este principio se conecta con la idea de accountability: documentar, acreditar y demostrar cumplimiento.

f) Seguridad

El responsable debe aplicar medidas apropiadas para evitar acceso no autorizado, pérdida, filtración, destrucción o tratamiento ilícito.

g) Transparencia e información

El titular debe poder entender qué ocurre con sus datos. Un documento de privacidad que nadie entiende no es transparencia; es camuflaje con membrete.

h) Confidencialidad

Quienes acceden a datos personales deben guardar secreto, incluso después de terminar su relación con el responsable.

Ejemplo: si una tienda pide el correo para enviar la boleta, no debería usarlo automáticamente para marketing sin una base válida.

6. Consentimiento: más claro, más exigente y no siempre suficiente

La Ley 21.719 mantiene el consentimiento como regla relevante, pero lo regula con mayor precisión.

El consentimiento debe ser libre, informado, específico, previo e inequívoco, expresado mediante declaración verbal, escrita, medio electrónico equivalente o acto afirmativo claro. Además, el titular puede revocarlo en cualquier momento, por medios expeditos, fidedignos y gratuitos.

Un punto importante: la ley presume que el consentimiento no fue libre cuando se exige en el marco de un contrato o servicio sin que la recolección sea necesaria para ese contrato. No todo "acepto términos y condiciones" sirve para cualquier cosa.

Pero la nueva ley no vive solo del consentimiento. También reconoce otras fuentes de licitud:

  • ·Cumplimiento de una obligación legal
  • ·Ejecución de un contrato o medidas precontractuales
  • ·Interés legítimo del responsable o de un tercero
  • ·Formulación, ejercicio o defensa de derechos ante tribunales
  • ·Tratamiento de datos relativos a obligaciones económicas, financieras o bancarias

El análisis ya no puede reducirse a "pidamos consentimiento para todo". Habrá que identificar caso a caso la base jurídica correcta.

7. Derechos de los titulares: de ARCO a un estándar más robusto

La Ley 21.719 fortalece y ordena el catálogo de derechos. Los titulares tendrán derecho a:

DerechoQué permite
AccesoSaber si se tratan sus datos, acceder a ellos, su origen, finalidad y destinatarios
RectificaciónCorregir datos erróneos, inexactos, incompletos o desactualizados
SupresiónSolicitar la eliminación de datos cuando proceda conforme a la ley
OposiciónSolicitar que no se realice un determinado tratamiento en los casos previstos
PortabilidadObtener una copia en formato electrónico estructurado y transferirla a otro responsable
BloqueoSuspender temporalmente el tratamiento mientras se resuelven otras solicitudes

Estos derechos son personales, intransferibles e irrenunciables. Deben poder ejercerse de manera gratuita y eficiente.

Para las empresas, esto implica tener un procedimiento interno para recibir, evaluar, responder y documentar solicitudes de titulares.

8. Deber de información: la política de privacidad ya no puede ser decorativa

La Ley 21.719 exige que el responsable mantenga a disposición del público información relevante sobre el tratamiento, incluyendo:

  • ·Política de tratamiento de datos personales
  • ·Identificación del responsable y medio de contacto para solicitudes
  • ·Categorías de datos tratados y finalidades
  • ·Base de legitimidad del tratamiento
  • ·Destinatarios y terceros a quienes se comunica información
  • ·Medidas de seguridad y plazo de conservación
  • ·Existencia de decisiones automatizadas o elaboración de perfiles
  • ·Transferencias internacionales y garantías aplicables

Una buena política de privacidad no debería ser un texto genérico copiado de internet. Debe reflejar lo que la organización realmente hace.

9. Protección desde el diseño y por defecto

La nueva ley incorpora el deber de protección de datos desde el diseño y por defecto. La privacidad no se agrega al final del proyecto; debe integrarse desde el inicio.

Ejemplos prácticos:

  • ·Diseñar formularios que pidan solo los datos necesarios
  • ·Configurar sistemas para que la visibilidad de datos sea limitada por defecto
  • ·Definir perfiles de acceso por cargo
  • ·Evaluar riesgos antes de lanzar una app, plataforma o proceso automatizado

Esto impacta especialmente a equipos de tecnología, marketing, recursos humanos, ventas y proveedores externos. La protección de datos deja de ser "tema del abogado" y pasa a ser una práctica transversal.

10. Seguridad y reporte de incidentes

La Ley 21.719 exige medidas de seguridad adecuadas considerando el estado de la técnica, costos de implementación, naturaleza, alcance, contexto y fines del tratamiento.

La ley menciona medidas como: seudonimización, cifrado, confidencialidad, integridad, disponibilidad, resiliencia y procesos regulares de verificación.

Ante vulneraciones de seguridad que generen riesgo para los titulares, el responsable deberá reportar a la Agencia. En ciertos casos, también deberá informar a los titulares afectados (especialmente datos sensibles, datos de menores de catorce años, o datos relativos a obligaciones financieras o bancarias).

Consejo práctico: antes de que ocurra un incidente, toda organización debería tener un protocolo de respuesta. En crisis, improvisar puede salir en UTM.

11. Datos sensibles, biométricos, de menores y geolocalización

La Ley 21.719 refuerza el tratamiento de categorías especiales de datos:

Datos sensibles

Su tratamiento exige un estándar más alto; la regla general es el consentimiento expreso, sin perjuicio de excepciones legales.

Datos de salud y perfil biológico

Reglas especiales para clínicas, laboratorios, empleadores, aseguradoras, centros deportivos y plataformas de salud digital.

Datos biométricos

Incluyen datos obtenidos mediante tratamiento técnico que permiten identificación única (huella digital, iris, rasgos faciales, mano, voz). Exigen información específica sobre sistema utilizado, finalidad y período de uso.

Niños, niñas y adolescentes

El tratamiento debe atender al interés superior y autonomía progresiva. Para niños y niñas (menores de 14 años) se requiere consentimiento de padres o representantes, salvo autorización legal.

Geolocalización

El titular debe ser informado clara y oportunamente sobre qué datos se tratan, para qué finalidad, por cuánto tiempo y si se cederán a terceros. Afectará aplicaciones de delivery, transporte, retail y marketing georreferenciado.

12. Cesión de datos, encargados y proveedores: el contrato importa

La Ley 21.719 distingue entre responsable (quien decide fines y medios del tratamiento) y encargado o tercero mandatario (quien trata datos por cuenta del responsable).

La ley exige que el tratamiento por encargo esté regulado por contrato con contenido mínimo:

  • ·Objeto del encargo y duración
  • ·Finalidad del tratamiento
  • ·Tipo de datos y categorías de titulares
  • ·Derechos y obligaciones de las partes

El encargado no puede usar los datos para fines propios ni cederlos sin autorización específica.

Los contratos con proveedores de software, marketing, cloud, call center, cobranza, RRHH, contabilidad, soporte y analítica deberán revisarse.

13. Transferencias internacionales de datos

La Ley 21.719 regula expresamente las transferencias internacionales. Podrán realizarse cuando:

  • ·El país receptor tenga niveles adecuados de protección
  • ·Existan cláusulas contractuales, normas corporativas u otros instrumentos con garantías adecuadas
  • ·Se adopten modelos de cumplimiento o mecanismos de certificación
  • ·Existan casos específicos permitidos por la ley (transferencias bancarias, cooperación judicial, cumplimiento de tratados, etc.)

Esto es clave para empresas que usan Google Workspace, Microsoft 365, AWS, CRM extranjeros, plataformas de email marketing, herramientas de IA o proveedores de soporte técnico fuera de Chile.

14. Evaluación de impacto en protección de datos

La Ley 21.719 introduce la evaluación de impacto cuando el tratamiento pueda generar alto riesgo para los derechos de las personas. Será especialmente relevante en casos como:

  • ·Decisiones automatizadas o elaboración de perfiles con efectos significativos
  • ·Tratamiento masivo o a gran escala
  • ·Observación o monitoreo sistemático de zonas de acceso público
  • ·Tratamiento de datos sensibles o especialmente protegidos

Esta herramienta obliga a mirar el tratamiento antes de ejecutarlo: qué se hará, por qué, con qué datos, qué riesgos existen y cómo se mitigarán.

15. Agencia de Protección de Datos Personales: el cambio institucional más importante

Probablemente el cambio más relevante de la Ley 21.719 es la creación de la Agencia de Protección de Datos Personales: corporación autónoma de derecho público, técnica, descentralizada, con personalidad jurídica y patrimonio propio.

Sus funciones incluirán:

  • ·Fiscalizar el cumplimiento de la ley
  • ·Dictar instrucciones y normas generales
  • ·Interpretar administrativamente la normativa
  • ·Resolver reclamos de titulares
  • ·Determinar infracciones y aplicar sanciones
  • ·Certificar y supervisar modelos de prevención
  • ·Administrar el Registro Nacional de Sanciones y Cumplimiento
  • ·Promover buenas prácticas

Chile pasará de un sistema con protección dispersa a uno con una autoridad especializada. Esto cambiará la forma en que las empresas gestionan riesgos de datos personales.

16. Infracciones y multas: ahora hay dientes

La Ley 21.719 clasifica las infracciones en leves, graves y gravísimas:

CategoríaSanción
LeveAmonestación escrita o multa de hasta 5.000 UTM
GraveMulta de hasta 10.000 UTM
GravísimaMulta de hasta 20.000 UTM

En caso de reincidencia, la multa puede llegar hasta tres veces el monto asignado a la infracción. Si no se adoptan medidas correctivas dentro del plazo, puede aplicarse un recargo adicional.

La protección de datos deja de ser un tema reputacional y pasa a ser un riesgo legal, financiero y operativo.

17. Responsabilidad civil e indemnizaciones

La nueva ley mantiene y refuerza la responsabilidad civil. El responsable deberá indemnizar el daño patrimonial y extrapatrimonial que cause a titulares cuando, en sus operaciones de tratamiento, infrinja principios, derechos u obligaciones y cause perjuicio.

La dimensión sancionatoria administrativa no reemplaza la responsabilidad civil. Una empresa podría enfrentar una multa y además reclamaciones indemnizatorias.

La protección de datos no es solo compliance; también es prevención de litigios.

18. Modelos de prevención y delegado de protección de datos

La Ley 21.719 contempla modelos de prevención de infracciones o programas de cumplimiento, que pueden incluir:

  • ·Designación de un delegado de protección de datos personales
  • ·Identificación del tipo de información tratada y procesos de riesgo
  • ·Protocolos, reglas y procedimientos internos
  • ·Mecanismos de reporte interno y a la autoridad
  • ·Medidas disciplinarias internas
  • ·Capacitación y controles periódicos

Para efectos prácticos, muchas empresas deberían comenzar con una versión proporcional:

  1. 1Inventario de datos
  2. 2Mapa de tratamientos
  3. 3Política de privacidad
  4. 4Procedimiento de derechos de titulares
  5. 5Revisión de contratos con proveedores
  6. 6Política de seguridad
  7. 7Protocolo de incidentes
  8. 8Capacitación mínima
  9. 9Registro de decisiones
  10. 10Plan de mejora continua

19. Comparativo rápido: Ley 19.628 vs Ley 21.719

TemaLey 19.628Ley 21.719
Enfoque generalProtección de la vida privada, enfoque limitadoProtección integral de datos personales como sistema moderno
Autoridad de controlSin agencia especializada robustaCrea la Agencia de Protección de Datos Personales
Derechos del titularInformación, modificación, cancelación y bloqueoAcceso, rectificación, supresión, oposición, portabilidad y bloqueo
PrincipiosReglas relevantes, menos sistematizadasLicitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia y confidencialidad
ConsentimientoAutorización por escrito como eje principalLibre, informado, específico, previo e inequívoco; admite medios electrónicos; regula revocación
Otras bases de licitudMás limitada y dispersaReconoce contrato, obligación legal, interés legítimo y defensa de derechos
TransparenciaMenos exigencias operativasExige información permanente sobre políticas, finalidades, bases de licitud, destinatarios y decisiones automatizadas
SeguridadDeber de cuidado generalMedidas técnicas y organizativas, seguridad por riesgo, registro y reporte de vulneraciones
Protección desde el diseñoNo desarrolladaLa incorpora expresamente
Datos sensibles y especialesReconocimiento de datos sensiblesReglas más detalladas para salud, biométricos, niños, geolocalización y fines estadísticos
Encargados y proveedoresMandato con reglas generalesContrato de encargo con contenido mínimo y responsabilidad más clara
Transferencias internacionalesRegulación menos desarrolladaReglas específicas sobre países adecuados, garantías, cláusulas y fiscalización
MultasRégimen sancionatorio limitadoHasta 5.000, 10.000 y 20.000 UTM según gravedad, con posibles recargos
Cumplimiento preventivoMenos estructuradoModelos de prevención, delegado, protocolos y Registro Nacional de Sanciones

20. Qué deben hacer las empresas antes del 1 de diciembre de 2026

Checklist práctico:

  1. 1

    Levantar inventario de datos

    Identificar qué datos se tratan, de quiénes, dónde están, quién accede, con qué finalidad y por cuánto tiempo se conservan.

  2. 2

    Identificar bases de licitud

    Determinar si cada tratamiento se basa en consentimiento, contrato, obligación legal, interés legítimo u otra fuente válida.

  3. 3

    Revisar formularios y consentimientos

    Evitar consentimientos genéricos, ambiguos o forzados.

  4. 4

    Actualizar políticas de privacidad

    Hacerlas claras, completas, accesibles y coherentes con la operación real.

  5. 5

    Implementar procedimiento de derechos de titulares

    Definir canal, responsables internos, plazos y respaldo documental.

  6. 6

    Revisar contratos con proveedores

    Especialmente cloud, software, marketing, call center, RRHH, cobranza, contabilidad y analítica.

  7. 7

    Mapear transferencias internacionales

    Determinar qué datos salen de Chile o son accesibles desde el extranjero.

  8. 8

    Revisar medidas de seguridad

    Controles de acceso, cifrado, respaldos, perfiles, trazabilidad, gestión de incidentes y capacitación.

  9. 9

    Preparar protocolo de brechas

    Definir cómo detectar, escalar, evaluar, registrar, reportar y comunicar incidentes.

  10. 10

    Analizar tratamientos de alto riesgo

    Especialmente datos sensibles, biometría, salud, menores, IA, perfilamiento y tratamiento masivo.

  11. 11

    Evaluar delegado o responsable interno

    Designar una persona o equipo encargado de coordinar cumplimiento.

  12. 12

    Capacitar

    La mejor política de privacidad sirve poco si el equipo no entiende qué puede y qué no puede hacer.

21. Preguntas frecuentes sobre la Ley 21.719

¿Cuándo entra en vigencia la Ley 21.719?

La vigencia general comienza el 1 de diciembre de 2026.

¿La Ley 21.719 deroga la Ley 19.628?

No en el sentido simple de "borrarla y partir de cero". La Ley 21.719 reforma profundamente la Ley 19.628, cambiando su estructura, nombre, derechos, obligaciones e institucionalidad.

¿Afecta solo a grandes empresas?

No. Afecta a personas naturales y jurídicas, públicas y privadas, que traten datos personales. Los estándares de cumplimiento pueden considerar factores como tamaño, actividad y volumen de datos.

¿Qué pasa con las pymes?

Las pymes también deben cumplir, pero de manera proporcional. Una pyme no necesariamente necesita la misma arquitectura que un banco, pero sí debe saber qué datos trata, por qué, cómo los protege y cómo responde a los titulares.

¿Qué es la Agencia de Protección de Datos Personales?

La nueva autoridad especializada que fiscalizará, dictará instrucciones, resolverá reclamos, sancionará infracciones y promoverá buenas prácticas en materia de protección de datos.

¿Qué multas contempla la nueva ley?

Las infracciones leves pueden llegar hasta 5.000 UTM, las graves hasta 10.000 UTM y las gravísimas hasta 20.000 UTM, sin perjuicio de recargos y reglas de reincidencia.

¿El consentimiento sirve para todo?

No. Debe ser libre, informado, específico, previo e inequívoco. Además, no siempre es la base correcta; en algunos casos puede corresponder contrato, obligación legal o interés legítimo.

¿Qué es la portabilidad de datos?

El derecho a obtener una copia de los datos personales en formato electrónico estructurado, genérico y de uso común, y eventualmente transferirlos a otro responsable cuando sea técnicamente posible.

¿La política de privacidad del sitio web basta?

No necesariamente. Debe estar respaldada por procesos reales: inventario de datos, bases de licitud, seguridad, contratos, gestión de solicitudes e incidentes.

¿Conviene prepararse antes de diciembre de 2026?

Sí. El período de transición es justamente la oportunidad para implementar cumplimiento de forma ordenada.

22. Conclusión: la protección de datos ya no es un anexo, es estrategia

La Ley 21.719 marca un antes y un después en Chile. La Ley 19.628 instaló una base necesaria, pero el nuevo régimen lleva la protección de datos personales a una etapa más exigente, más institucional y más alineada con estándares internacionales.

Para las personas, significa más derechos y mejores herramientas para controlar su información.

Para las empresas y organismos públicos, significa más obligaciones, más trazabilidad, más responsabilidad y mayores consecuencias en caso de incumplimiento.

La buena noticia es que cumplir no tiene por qué ser caótico. Con método, diagnóstico y planificación, la transición puede transformarse en una ventaja competitiva: más confianza, mejores procesos, menor riesgo y una relación más transparente con clientes, usuarios, trabajadores y ciudadanos.

En tiempos donde los datos son activos valiosos, protegerlos bien no es solo una obligación legal. Es una señal de seriedad.


Fuentes consultadas

  1. 1.Biblioteca del Congreso Nacional de Chile, Ley N° 21.719 bcn.cl
  2. 2.Biblioteca del Congreso Nacional de Chile, Ley N° 19.628 bcn.cl
  3. 3.Secretaría de Gobierno Digital, Guía práctica para facilitar la implementación wikiguias.digital.gob.cl
  4. 4.Senado de Chile, aprobación del informe de Comisión Mixta senado.cl
  5. 5.Carey, alerta legal sobre publicación de la Ley N° 21.719 carey.cl

¿Necesitas ayuda para ejercer este derecho?

Cuéntanos tu situación y te orientamos sin costo.

Consulta aquí