Ley 21.719 para pequeñas empresas: qué es obligatorio, qué es proporcional y cómo cumplir con recursos limitados
"La Ley 21.719 es para grandes empresas" — esa percepción es frecuente entre emprendedores chilenos, pero está equivocada. La ley aplica a cualquier persona natural o jurídica que trate datos personales, sin importar el tamaño. Lo que existe es un principio de proporcionalidad incorporado en la dosimetría de sanciones y en los criterios de riesgo — pero no una exención para las PyMEs.
A diferencia de Brasil, que en 2022 dictó una resolución especial simplificada para agentes de pequeño porte, Chile no cuenta aún con una norma análoga. Lo que la Ley 21.719 ofrece es un marco general donde el tamaño y los recursos disponibles son factores que la APDP considera al evaluar infracciones — pero las obligaciones sustantivas aplican a todos.
Esta guía explica qué deben hacer las micro, pequeñas y medianas empresas chilenas para cumplir con la Ley 21.719 antes de su entrada en vigencia el 1 de diciembre de 2026.
¿A quién aplica la Ley 21.719?
La ley aplica a toda organización que, en Chile o desde el exterior tratando datos de personas en Chile, realice cualquier operación con datos personales: recopilación, almacenamiento, uso, comunicación, transferencia o eliminación.
No hay umbral mínimo de tamaño ni de volumen. Una microempresa con 10 clientes y una corporación con millones de usuarios están sujetas a las mismas obligaciones fundamentales.
Clasificación de empresas según Ley 20.416 (Estatuto PyME)
| Tipo | Ventas anuales |
|---|---|
| Microempresa | Hasta UF 2.400 (~CLP 85 millones) |
| Pequeña empresa | UF 2.401 – 25.000 |
| Mediana empresa | UF 25.001 – 100.000 |
| Gran empresa | Más de UF 100.000 |
Esta clasificación no crea regímenes diferenciados en la Ley 21.719, pero sí influye en la dosimetría de sanciones: las multas pueden calcularse como porcentaje de las ventas anuales cuando la empresa supera ciertos umbrales.
La excepción real: el tratamiento de alto riesgo
Aunque no hay un régimen simplificado formal para PyMEs, la Ley 21.719 establece que la Evaluación de Impacto en la Protección de Datos (EIPD) es exigible cuando el tratamiento representa un alto riesgo para los titulares.
Los escenarios de alto riesgo incluyen:
- Decisiones automatizadas que afectan significativamente a personas (crédito, empleo, seguros)
- Tratamiento a gran escala de datos sensibles (salud, biometría, origen étnico, orientación sexual, creencias religiosas o políticas)
- Vigilancia sistemática a gran escala en espacios de acceso público
Ejemplos prácticos:
| Situación | Evaluación |
|---|---|
| Consultorio médico pequeño con ficha clínica de 150 pacientes | Alto riesgo — datos sensibles de salud. Requiere EIPD |
| Startup de reconocimiento facial para control de acceso | Alto riesgo — tecnología emergente + datos biométricos |
| Tienda de barrio con registro de 200 clientes (nombre, teléfono) | Riesgo ordinario — sin datos sensibles ni gran escala |
| App educativa para niños con cualquier nivel de facturación | Alto riesgo — datos de menores |
| Estudio contable con datos de trabajadores de sus clientes | Verificar escala — depende del volumen y tipo de datos |
¿Es obligatorio designar un Delegado de Protección de Datos (DPD)?
La Ley 21.719 establece que la designación de un DPD es obligatoria para:
- Organismos públicos
- Organizaciones privadas cuya actividad principal implique tratamiento a gran escala de datos sensibles o vigilancia sistemática a gran escala de personas
Para la mayoría de las micro y pequeñas empresas, la designación de un DPD formal es voluntaria pero altamente recomendada. Si no hay obligación legal, la ley permite que sea el propio dueño o máxima autoridad quien asuma esas funciones — con la debida autonomía funcional.
Lo que toda organización sí debe tener, con o sin DPD formal:
Un canal de comunicación con los titulares funcional y publicado: una dirección de correo electrónico o formulario en el sitio web donde las personas puedan ejercer sus derechos (acceso, rectificación, supresión, oposición, portabilidad). Sin ese canal, la infracción es autónoma e independiente de cualquier otro incumplimiento.
Lo que la Ley 21.719 NO simplifica para las PyMEs
La ley no exime a ningún responsable del tratamiento de:
Observar los principios del Art. 3°: Licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y confidencialidad aplican sin excepción de tamaño.
Tener una base de licitud para cada tratamiento: Todo tratamiento necesita un fundamento legal: consentimiento, obligación legal, ejecución de contrato, interés legítimo u otro. No hay excepción para PyMEs.
Garantizar los derechos ARCOP: Los derechos de Acceso, Rectificación, Cancelación/Supresión, Oposición y Portabilidad aplican integralmente a todas las organizaciones.
Implementar medidas de seguridad: El deber de seguridad del Art. 14 bis aplica a todos. "Proporcional al riesgo" no significa "cero medidas".
Notificar incidentes relevantes: La obligación de notificar a la APDP en un plazo máximo de 72 horas desde que se toma conocimiento del incidente aplica a todas las organizaciones, sin distinción de tamaño.
Cumplir reglas especiales para datos de menores: El Art. 16 de la Ley 21.719 exige consentimiento del representante legal para tratar datos de menores de 14 años. Aplica a todas las organizaciones, sin importar el tamaño.
Por qué las PyMEs no deben subestimar la APDP
La Agencia de Protección de Datos Personales (APDP) comenzará a ejercer sus funciones de fiscalización a partir del 1 de diciembre de 2026. A diferencia de lo ocurrido en Brasil, donde la ANPD tardó años en fiscalizar activamente, la APDP chilena tiene atribuciones robustas desde el primer día.
Las sanciones bajo la Ley 21.719 son:
| Infracción | Multa base | Reincidencia (empresas no PyME) |
|---|---|---|
| Leve | Hasta 5.000 UTM (~CLP 350 millones) | Hasta el triple de la multa base |
| Grave | Hasta 10.000 UTM (~CLP 700 millones) | Hasta 2% de ingresos anuales por ventas y servicios |
| Gravísima | Hasta 20.000 UTM (~CLP 1.400 millones) | Hasta 4% de ingresos anuales por ventas y servicios |
Nota importante: Los porcentajes de ingresos anuales se aplican solo en caso de reincidencia y solo para empresas que no sean de menor tamaño (no PyME), cuando el monto resultante sea superior a la multa fija en UTM.
Para las PyMEs, las multas base en UTM son el referente — y aun así representan montos que pueden ser letales para un negocio pequeño. La buena noticia: la cooperación, la buena fe y las medidas correctivas son factores atenuantes expresamente reconocidos en la ley.
Cómo cumplir: prioridades para pequeñas empresas
Prioridad 1 — Tener base de licitud para todo lo que hace
Pregúntese por cada dato que recopila su empresa:
- ¿Por qué recopila ese dato?
- ¿Cuál de los fundamentos del Art. 13 de la Ley 21.719 ampara ese tratamiento?
Para la mayoría de los pequeños negocios, las bases más comunes son:
- Contrato (Art. 13 N°4): Datos necesarios para prestar el servicio o ejecutar el contrato con el cliente
- Obligación legal (Art. 13 N°2): Datos exigidos por ley (SII, DT, Previred, etc.)
- Interés legítimo (Art. 13 N°6): Para comunicaciones con clientes existentes (con cuidado — exige evaluación de balanceo)
- Consentimiento (Art. 13 N°1): Para usos no cubiertos por las hipótesis anteriores
Prioridad 2 — Canal de comunicación funcional con los titulares
Incluso sin DPD formal, la organización necesita un canal donde las personas puedan ejercer sus derechos. Un correo electrónico dedicado (ej: privacidad@suempresa.cl), publicado en el sitio web y monitoreado, ya cumple el requisito.
Prioridad 3 — Registro básico de actividades de tratamiento (RAT)
Un registro simple respondiendo:
- ¿Qué datos recopila? (nombre, RUT, correo, teléfono, etc.)
- ¿Para qué usa cada dato?
- ¿Con quién los comparte? (proveedores de sistema, contabilidad, plataformas de marketing)
- ¿Por cuánto tiempo los guarda?
Una planilla actualizada ya satisface el espíritu del Art. 14 ter para organizaciones pequeñas.
Prioridad 4 — Seguridad básica
Para la mayoría de los pequeños negocios, la seguridad básica significa:
- Contraseñas seguras y distintas para cada servicio
- Autenticación de dos factores (2FA) en servicios con datos de clientes
- No compartir datos de clientes en grupos de WhatsApp
- Respaldo periódico de los datos
- Control de quién accede a qué (un vendedor no necesita ver datos financieros de clientes)
Prioridad 5 — Política de privacidad publicada
Si tiene sitio web, app o cualquier presencia digital que recopile datos de usuarios, necesita una política de privacidad clara y accesible. Para pequeñas empresas puede ser simple — pero debe existir y reflejar la realidad de lo que hace con los datos.
Checklist para pequeñas empresas
Fundamentos:
- ¿Identificó la base de licitud para cada dato que recopila?
- ¿Tiene canal de comunicación funcional para los titulares (correo o formulario publicado)?
- ¿Tiene política de privacidad publicada (si tiene sitio web o app)?
Seguridad:
- ¿Usa contraseñas seguras y 2FA en los sistemas con datos de clientes?
- ¿Controla quién accede a qué información?
- ¿Tiene un proceso básico para el caso de un incidente de seguridad?
Proveedores:
- ¿Sus proveedores con acceso a datos de clientes (plataforma de correo, sistema de gestión, contabilidad) tienen política de privacidad?
- ¿Tiene algún acuerdo de tratamiento de datos (DPA) con los principales?
Operaciones:
- ¿Registró (aunque sea en una planilla simple) qué datos recopila y para qué?
- ¿Sabe cómo responder si un cliente pide acceder, corregir o eliminar sus datos?
Conclusión
La Ley 21.719 no fue hecha para ignorar a las pequeñas empresas — fue hecha para incluirlas en un modelo de protección de datos donde los requisitos son proporcionales al riesgo que generan, no al tamaño del equipo jurídico. Sin una resolución simplificada (todavía) como la que existe en Brasil, el camino para las PyMEs chilenas es aplicar los fundamentos con criterio: saber por qué recopila cada dato, tener un canal para responder a sus clientes y aplicar seguridad básica.
Esos tres elementos ya colocan a la mayoría de las PyMEs en un nivel de cumplimiento que demuestra buena fe — y la buena fe, en la dosimetría de la APDP, cuenta como atenuante.
Confidata tiene un plan para pequeñas y medianas empresas que cubre los fundamentos del cumplimiento con la Ley 21.719: registro simplificado de actividades de tratamiento, canal del titular y gestión básica de incidentes — con el nivel de exigencia adecuado a su tamaño.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.