Ley 21.719: vigencia, transición y el futuro de la protección de datos en Chile
Toda ley tiene un inicio — y la historia de cómo la Ley 21.719 llegó a promulgarse es uno de los recorridos legislativos más extensos de la historia reciente de Chile. Ocho años de debate parlamentario, cuatro gobiernos, y un contexto internacional que fue cambiando progresivamente hasta hacer urgente una reforma que modernizara la Ley 19.628 de 1999.
La Ley 21.719 fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entra plenamente en vigor el 1 de diciembre de 2026 — un plazo de 24 meses que el legislador consideró necesario para que organizaciones públicas y privadas pudieran adaptarse. Este artículo analiza ese recorrido, las disposiciones de transición, la creación de la Agencia de Protección de Datos Personales (APDP) y qué significa este momento para el ecosistema chileno de privacidad.
El recorrido legislativo: 8 años hasta la promulgación
El proyecto de ley que se convirtió en la Ley 21.719 fue ingresado al Senado en 2017, durante el segundo gobierno de Michelle Bachelet. En ese momento, Chile tenía la Ley 19.628 de 1999 — una ley pionera para su época en América Latina, pero que en los años siguientes quedó obsoleta frente al avance del GDPR europeo, el crecimiento de la economía digital y las exigencias de la OCDE, organismo del que Chile forma parte desde 2010.
La OCDE como catalizador
El ingreso de Chile a la OCDE en 2010 vino con compromisos implícitos: actualizar el marco regulatorio de protección de datos para alinearlo con los estándares de los países miembros. Durante casi una década, esa modernización fue postergada. En 2017, con el proyecto finalmente ingresado, comenzó un proceso que duraría hasta agosto de 2024.
Los hitos del debate parlamentario (2017–2024)
| Año | Hito |
|---|---|
| 2017 | Ingreso del proyecto al Senado (gobierno Bachelet) |
| 2018–2021 | Tramitación en el Senado, comisiones técnicas, ajustes de texto |
| 2022–2023 | Segundo trámite en la Cámara de Diputados, con modificaciones sustanciales |
| Agosto de 2024 | Aprobación definitiva por el Congreso Nacional |
| 13 de diciembre de 2024 | Promulgación y publicación en el Diario Oficial |
A lo largo del debate surgieron las mismas tensiones que rodean cualquier ley de datos moderna: ¿qué nivel de protección sin frenar la innovación? ¿Cuánta independencia debe tener la autoridad de control? ¿Cómo equilibrar el interés legítimo con los derechos individuales?
Lo que cambió: de la Ley 19.628 a la Ley 21.719
La Ley 19.628 de 1999 fue una ley fundacional, pero con limitaciones evidentes para el contexto digital actual. La Ley 21.719 introduce transformaciones estructurales en el sistema chileno de protección de datos.
Nuevos derechos de los titulares
La Ley 19.628 reconocía los derechos ARCOP clásicos (acceso, rectificación, cancelación, oposición y portabilidad básica). La Ley 21.719 amplía y refuerza este catálogo:
| Derecho | Ley 19.628 | Ley 21.719 |
|---|---|---|
| Acceso | ✓ básico | ✓ reforzado, con plazos definidos |
| Rectificación | ✓ | ✓ con obligación de notificar a terceros |
| Supresión / Eliminación | ✓ limitado | ✓ ampliado |
| Oposición | ✓ | ✓ con alcance mayor |
| Portabilidad | — | ✓ explícito y exigible |
| Decisiones automatizadas | — | ✓ derecho a explicación y revisión humana |
| No ser objeto de perfilamiento abusivo | — | ✓ con restricciones al perfilamiento |
Bases de licitud del tratamiento
La Ley 19.628 basaba casi todo el tratamiento en el consentimiento. La Ley 21.719 adopta un sistema de bases de licitud más sofisticado, con el consentimiento regulado en el Art. 12 y cinco fuentes adicionales en el Art. 13:
- Consentimiento del titular (Art. 12) — libre, informado, específico, previo e inequívoco
- Datos sobre obligaciones económicas, financieras, bancarias o comerciales (Art. 13, a) — base específica chilena para el tratamiento de datos económico-comerciales
- Cumplimiento de obligación legal (Art. 13, b) — cuando una ley impone al responsable la obligación de tratar los datos
- Ejecución de contrato (Art. 13, c) — tratamiento necesario para la ejecución de un contrato del que el titular es parte, o para medidas precontractuales
- Interés legítimo del responsable o de terceros (Art. 13, d) — siempre que no prevalezcan sobre los derechos del titular, con test de proporcionalidad
- Formulación o ejercicio de una acción judicial o administrativa (Art. 13, e) — defensa de derechos ante tribunales o autoridades
Esta diversificación de bases es uno de los cambios más relevantes para las organizaciones: reduce la dependencia exclusiva del consentimiento y permite fundamentar tratamientos legítimos en otras hipótesis, siempre con documentación y proporcionalidad. Cabe destacar que la Ley 21.719 incluye bases de licitud específicas que no tienen equivalente directo en el GDPR europeo — como la relativa a datos económico-comerciales —, lo que refleja particularidades del contexto chileno.
Principios explícitos de protección de datos
La Ley 21.719 codifica principios que en la ley anterior existían solo de forma implícita:
- Licitud y lealtad — el tratamiento debe tener base legal y no engañar al titular
- Finalidad — los datos solo pueden usarse para la finalidad declarada
- Proporcionalidad / minimización — solo los datos necesarios para la finalidad
- Exactitud — los datos deben mantenerse actualizados
- Seguridad — medidas técnicas y organizativas adecuadas al riesgo
- Responsabilidad proactiva — el responsable debe poder demostrar cumplimiento
Sanciones significativas por primera vez
La Ley 19.628 establecía sanciones modestas, raramente aplicadas. La Ley 21.719 introduce un régimen sancionatorio de tres niveles con multas de hasta 20.000 UTM (aproximadamente USD 1,5 millones al valor de la UTM en 2026), categorizado en infracciones leves, graves y gravísimas. En casos de reincidencia para empresas que no son PyME, las multas pueden calcularse como porcentaje del volumen de negocios anual (hasta 2% para infracciones graves y 4% para gravísimas, si el monto resultante supera el tope en UTM). Por primera vez en Chile, el incumplimiento en protección de datos tiene consecuencias económicas que las organizaciones no pueden ignorar.
Notificación obligatoria de brechas de seguridad
La Ley 19.628 no contenía obligaciones de notificación de incidentes. La Ley 21.719 establece la obligación de notificar brechas a la APDP y, en casos de riesgo elevado para los titulares, notificarles directamente — sin demora injustificada.
La Agencia de Protección de Datos Personales (APDP)
La creación de la Agencia de Protección de Datos Personales es, quizás, el cambio más estructural de la Ley 21.719. Chile nunca tuvo una autoridad independiente de protección de datos — un vacío que la ley de 1999 dejó sin resolver durante 25 años.
Naturaleza jurídica y autonomía
La APDP es un organismo autónomo, con personalidad jurídica y patrimonio propio, que no depende del gobierno de turno en sus decisiones técnicas. Esta independencia es un requisito para la credibilidad regulatoria — y un requisito implícito para futuras negociaciones de adecuación con la Unión Europea.
Atribuciones de la APDP
| Atribución | Descripción |
|---|---|
| Investigación y fiscalización | Recibir denuncias, iniciar investigaciones de oficio, realizar auditorías |
| Sanciones | Aplicar multas e instrucciones de rectificación |
| Normativa | Emitir orientaciones, guías y resoluciones interpretativas vinculantes |
| Certificación | Acreditar mecanismos de cumplimiento y códigos de conducta |
| Cooperación internacional | Participar en redes internacionales de autoridades de datos |
| Registro | Mantener registro público de responsables del tratamiento |
Cuándo empieza a operar la APDP
La APDP comenzará a operar de forma gradual antes de la entrada en vigor plena de la ley:
- Octubre de 2026 (plazo original): instalación del Consejo Directivo con los tres consejeros
- Junio de 2026 (recomendado): la Comisión Asesora de Implementación recomendó anticipar la instalación para que la APDP tenga al menos 6 meses de rodaje antes de la vigencia plena
La anticipación de la APDP es importante: sin una autoridad constituida, los últimos meses del plazo de adecuación carecen de la orientación que las organizaciones necesitan para calibrar sus esfuerzos de conformidad.
La cronología definitiva
| Hito | Fecha |
|---|---|
| Ingreso del proyecto al Senado | 2017 |
| Aprobación por el Congreso Nacional | 26 de agosto de 2024 |
| Publicación en el Diario Oficial | 13 de diciembre de 2024 |
| Instalación recomendada de la APDP | Junio de 2026 |
| Instalación original de la APDP | Octubre de 2026 |
| Entrada en vigor plena de la Ley 21.719 | 1 de diciembre de 2026 |
El plazo de 24 meses: suficiente o insuficiente
El vacatio legis de 24 meses fue objeto de debate. Organizaciones empresariales pedían más tiempo; organizaciones de la sociedad civil consideraban que 24 meses era ya un plazo generoso dado el largo período de debate parlamentario previo.
La experiencia comparada muestra que los 24 meses son un mínimo razonable si el trabajo comienza desde la publicación — pero completamente insuficiente si las organizaciones esperan a los últimos meses para iniciar su adecuación.
El posicionamiento internacional de Chile
La Ley 21.719 no es solo un proyecto de política pública interna — es también una apuesta de posicionamiento internacional de Chile en el ecosistema global de protección de datos.
El objetivo de adecuación con la Unión Europea
Uno de los propósitos explícitos del gobierno chileno es obtener una decisión de adecuación de la Comisión Europea bajo el GDPR. Esa decisión convertiría a Chile en uno de los pocos países de América Latina reconocidos como ofreciendo un nivel de protección equivalente al europeo — facilitando transferencias internacionales de datos sin necesidad de mecanismos adicionales como cláusulas contractuales estándar.
El proceso de adecuación es largo. La Comisión Europea evalúa no solo el texto de la ley, sino la aplicación práctica: independencia real de la autoridad de control, jurisprudencia, recursos disponibles para fiscalización. La estimación más realista es que una decisión de adecuación no llegará antes de finales de la década.
Alineación con el GDPR europeo y la LGPD brasileña
La Ley 21.719 está deliberadamente alineada con el GDPR europeo y guarda similitudes con la LGPD brasileña. Esta convergencia facilita la operación de empresas multinacionales en Chile y fortalece la posición del país en foros internacionales como la Global Privacy Assembly y la Red Iberoamericana de Protección de Datos.
Chile y la OCDE
La membresía de Chile en la OCDE desde 2010 actuó como presión sostenida para modernizar el marco de protección de datos. Las Directrices de la OCDE sobre Privacidad y Flujos Transfronterizos de Datos fueron el referente técnico implícito en gran parte del debate parlamentario chileno.
Balance: lo que la Ley 21.719 significa para Chile
Lo que avanza
Marco institucional independiente: La creación de la APDP llena el principal vacío de la Ley 19.628. Chile pasa de una regulación sin autoridad de control a un modelo institucional moderno.
Cultura de privacidad en formación: El proceso legislativo generó, por primera vez, un debate público sostenido sobre protección de datos en Chile. Términos como "base de licitud", "delegado de protección de datos" y "evaluación de impacto" comienzan a aparecer en el vocabulario corporativo.
Sector privado en movimiento: Grandes empresas y grupos económicos han iniciado programas de adecuación. El sector financiero y tecnológico lidera, pero el comercio, salud y educación también avanzan.
Los desafíos que persisten
Brecha de madurez entre sectores: Grandes empresas versus PyMEs; sector tecnológico versus sector público tradicional. La desigualdad de madurez en adecuación es un riesgo: los datos de los titulares chilenos circulan por toda la cadena, incluyendo eslabones más débiles.
Reglamentos pendientes: La Ley 21.719 delega en reglamentos la regulación de varios temas específicos. Sin ellos, persisten zonas de incertidumbre que afectan la planificación de la adecuación.
Datos de niños, niñas y adolescentes: El tratamiento de datos de menores exige reglas más estrictas. La regulación complementaria de este tema es urgente dado el volumen de datos de menores que circulan en plataformas educativas y de entretenimiento digital.
Capacidad inicial de la APDP: Una autoridad nueva, con recursos limitados en sus primeros años, deberá equilibrar el acompañamiento a las organizaciones con la efectividad sancionatoria. Ese equilibrio definirá la reputación de la APDP en sus primeros años de operación.
Lo que viene: regulaciones y tendencias
Reglamentos de desarrollo
La Ley 21.719 mandató la emisión de reglamentos sobre materias específicas. Entre los más esperados:
- Reglamento de la APDP (estructura interna, procedimientos de fiscalización)
- Reglamento de notificación de brechas de seguridad
- Normas sobre evaluaciones de impacto (EIPDs)
- Regulación de las transferencias internacionales de datos
- Normas sobre el delegado de protección de datos
Inteligencia artificial y datos personales
La discusión sobre regulación de inteligencia artificial en Chile inevitablemente interactúa con la Ley 21.719, especialmente en materia de decisiones automatizadas, perfilamiento y datos de entrenamiento. Aunque Chile no cuenta aún con un marco específico de IA equivalente al EU AI Act, la Ley 21.719 ya establece derechos frente a decisiones automatizadas que sirven de base para esa discusión.
Consolidación de la APDP
La trayectoria de la APDP en sus primeros 3 a 5 años definirá el ecosistema chileno de protección de datos por décadas. La independencia real de la agencia, su capacidad técnica, la calidad de sus resoluciones y su disposición a sancionar cuando corresponda son variables que todas las organizaciones seguirán de cerca.
Conclusión: el plazo de adecuación no es tiempo libre
La Ley 21.719 entra en vigor el 1 de diciembre de 2026. Desde la publicación de la ley en diciembre de 2024, las organizaciones disponen de 24 meses para adecuar sus procesos. Para quienes no han comenzado — o tienen una adecuación incipiente —, el tiempo restante es escaso.
La adecuación a la Ley 21.719 no es un proyecto exclusivamente de TI ni puramente jurídico. Es un proyecto organizacional que requiere mapear datos, documentar bases de licitud, actualizar contratos con encargados del tratamiento, designar un delegado de protección de datos, implementar un canal de ejercicio de derechos y preparar un plan de respuesta a brechas. Cada una de esas acciones toma tiempo — y la suma de todas ellas requiere una planificación que no puede dejarse para los últimos meses.
La experiencia de Brasil con la LGPD y de Europa con el GDPR muestra que las organizaciones que inician temprano tienen ventajas duraderas: menores costos de remediación, mayor confianza de clientes y menor exposición a sanciones en los primeros ciclos de fiscalización.
El plazo de 24 meses fue diseñado para permitir una adecuación ordenada. Aprovecharlo bien es responsabilidad de cada organización.
Confidata fue diseñada para hacer gestionable, auditable y continuo el cumplimiento de la Ley 21.719. Desde el inventario de actividades de tratamiento hasta la gestión de brechas de seguridad, desde la evaluación de riesgos hasta el canal de derechos de los titulares — nuestra plataforma cubre cada uno de los aspectos que la ley exige. Conoce Confidata.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.