Prepárese ahora: lo que necesita tener listo cuando la Agencia comience a fiscalizar
La Ley 21.719 entra en vigencia el 1° de diciembre de 2026. Con ella, la Agencia de Protección de Datos Personales (APDP) — el nuevo organismo regulador creado por la propia ley — comenzará a operar con plenas facultades de fiscalización y sanción.
El período de transición no avisa antes de terminar. Las organizaciones que no tengan sus documentos y estructuras básicas en orden cuando la Agencia comience a actuar tendrán que correr — y quien corre en una fiscalización comete más errores, produce más evidencias desfavorables y tiende a enfrentar sanciones más severas.
Esta guía explica cómo funcionará el proceso de fiscalización de la Agencia, qué verificará y cómo preparar su organización ahora, antes de recibir cualquier notificación.
Cómo funcionará el proceso de fiscalización de la Agencia
La Ley 21.719 crea la Agencia de Protección de Datos Personales con amplias facultades para fiscalizar, investigar y sancionar infracciones. El proceso sancionador típico tendrá las siguientes etapas:
Investigación preliminar
La Agencia puede iniciar una investigación de oficio (por decisión propia, a partir de denuncias recibidas o de monitoreo del sector) o a solicitud de parte (cuando un titular presente una reclamación no resuelta por el responsable).
Notificación al investigado
El responsable del tratamiento es notificado formalmente, con un plazo para presentar sus descargos y aportar la documentación relevante. Esta notificación es, en la mayoría de los casos, la primera oportunidad de corregir la situación antes del proceso sancionador.
Resolución sancionatoria
La Agencia emite una resolución fundamentada. Si hay infracciones, aplica las sanciones previstas en el Título VII de la Ley 21.719, considerando los factores agravantes y atenuantes.
Recursos
El sancionado puede interponer los recursos administrativos y judiciales previstos en la ley. La existencia de un Modelo de Prevención de Infracciones implementado es un factor relevante en esta etapa.
Las sanciones posibles bajo la Ley 21.719
| Clasificación | Multa máxima | Para grandes empresas reincidentes |
|---|---|---|
| Infracciones leves | 5.000 UTM | — |
| Infracciones graves | 10.000 UTM | Hasta 2% de los ingresos anuales |
| Infracciones gravísimas | 20.000 UTM (60.000 UTM en reincidencia) | Hasta 4% de los ingresos anuales |
Adicionalmente, la Agencia puede ordenar la supresión de datos, el bloqueo temporal del tratamiento, la publicación de la resolución sancionatoria (sanción reputacional relevante) y otras medidas correctivas.
¿Qué es la UTM? La Unidad Tributaria Mensual es la unidad de cuenta usada en Chile para expresar multas. Su valor varía mensualmente — para referencia, una UTM equivale aproximadamente a $67.000-70.000 pesos chilenos. Verifique el valor vigente en el sitio del SII.
Fiscalización reactiva vs. fiscalización proactiva
La Agencia podrá actuar de dos formas:
Fiscalización reactiva: Iniciada a partir de denuncias de cualquier persona o reclamaciones de los propios titulares de datos cuyas solicitudes ARCO+ no fueron atendidas adecuadamente.
Fiscalización proactiva (temática): Planificada por la propia Agencia, sin necesidad de denuncia. La Agencia seleccionará sectores, tipos de tratamiento o conductas prioritarias y fiscalizará independientemente de reclamaciones.
Si su organización trata datos sensibles, datos de menores de edad, usa tecnologías de reconocimiento facial o realiza decisiones automatizadas a gran escala, estará en el radar prioritario de la Agencia.
Lo que la Agencia verificará: los documentos típicamente solicitados
Con base en lo que exige la Ley 21.719 y en las mejores prácticas de autoridades de protección de datos de referencia internacional (GDPR/Europa, LGPD/Brasil, CCPA/California), los documentos e información típicamente requeridos en una fiscalización son:
Gobernanza y cumplimiento (verificados primero)
| Documento | Base legal | Por qué la Agencia lo solicitará |
|---|---|---|
| Datos de contacto del Delegado de Protección de Datos, publicados en el sitio | Ley 21.719 (cuando aplique) | Indicador inmediato de gobernanza básica |
| Canal de comunicación funcional con titulares | Título II Ley 21.719 | Verificado como funcional/efectivo |
| RAT (Registro de Actividades de Tratamiento) | Ley 21.719 | Primera evidencia de mapeo y control |
| Base de licitud documentada para cada actividad | Ley 21.719 | Infracción central cuando falta |
| EIPD para tratamientos de alto riesgo | Ley 21.719 | Exigida para datos sensibles, decisiones automatizadas, monitoreo masivo |
| Modelo de Prevención de Infracciones | Título VIII Ley 21.719 | Evidencia de buenas prácticas (atenuante) |
Seguridad e incidentes
| Documento | Relevancia |
|---|---|
| Plan de respuesta a incidentes | Exigido para demostrar preparación |
| Registros de incidentes (incluso los no comunicados) | Obligación de conservación |
| Comprobantes de comunicación a la Agencia y a titulares (Art. 14 sexies) | Infracción grave si falta comunicación obligatoria |
| Medidas técnicas de seguridad implementadas | Verificado en casos con incidentes |
Contratos y terceros
| Documento | Relevancia |
|---|---|
| Contratos con encargados de tratamiento | Evidencia de fiscalización del responsable sobre encargados |
| Políticas internas de privacidad | Parte del Modelo de Prevención |
| Registros de capacitaciones realizadas | Evidencia de buenas prácticas |
¿La Agencia avisa con anticipación?
Regla general: sí, habrá notificación previa. El proceso contempla que el investigado sea notificado y pueda presentar descargos antes de la resolución.
En la práctica: Antes de iniciar un proceso sancionador, la Agencia generalmente enviará un requerimiento formal con plazo para responder y regularizar. Ese requerimiento es, en la mayoría de los casos, la última oportunidad de corregir la situación antes del proceso sancionador.
Lo que esto significa: tener la documentación lista antes del requerimiento es lo que diferencia a una organización que responde en horas de una que responde en semanas — o que no puede responder.
Cómo prepararse: las 7 áreas esenciales
1. Delegado publicado y funcional (cuando aplique)
Si su organización está obligada a designar un Delegado de Protección de Datos (organismos públicos, responsables con tratamiento masivo de datos sensibles o monitoreo sistemático), verifique:
- El nombre o razón social del Delegado está publicado en el sitio de forma clara y de fácil acceso
- El email de contacto funciona (envíe un mensaje de prueba)
- El Delegado tiene autonomía real y acceso a los sistemas necesarios
- El acúmulo de funciones no genera conflicto de intereses
Si su organización no está obligada pero decide designar un Delegado voluntariamente, esto es un elemento del Modelo de Prevención de Infracciones — con impacto en las atenuantes.
2. RAT completo y actualizado
El Registro de Actividades de Tratamiento debe cubrir:
- Todas las actividades de tratamiento de datos personales de la organización
- Base de licitud documentada para cada actividad
- Categorías de datos, titulares, encargados involucrados, plazos de conservación
- Revisión periódica (recomendado: mínimo anual)
3. EIPD para actividades de alto riesgo
Elabore proactivamente la Evaluación de Impacto para actividades que involucren:
- Datos sensibles (salud, biometría, racial, etc.)
- Datos de niños, niñas y adolescentes
- Decisiones automatizadas (Art. 8 bis)
- Tecnologías emergentes (IA, reconocimiento facial)
- Tratamiento masivo o monitoreo sistemático
4. Canal del titular efectivo
Tener el canal publicado no basta — necesita funcionar. Pruebe su canal periódicamente: envíe una solicitud como titular y verifique si recibe respuesta en el plazo adecuado (30 días, según la Ley 21.719).
5. Plan de respuesta a incidentes y registros
- Plan formal, probado, con equipo designado
- Registro de todos los incidentes (incluso los no comunicados)
- Comprobantes de comunicaciones enviadas a la Agencia y a titulares (cuando el Art. 14 sexies lo exige)
6. Modelo de Prevención de Infracciones documentado
El Título VIII de la Ley 21.719 prevé que el responsable pueda demostrar cumplimiento a través de un Modelo de Prevención de Infracciones. Este documento es la base de la principal atenuante ante la Agencia — y puede marcar la diferencia entre una multa severa y una reducción significativa.
7. Contratos con encargados (cláusulas de tratamiento de datos)
Contratos con todos los proveedores que traten datos personales en nombre de la organización deben contener cláusulas de protección de datos. La ausencia puede configurar incumplimiento del deber de supervisión del responsable sobre sus encargados.
Consecuencias de no responder a la Agencia
La falta de respuesta o la respuesta tardía a un requerimiento de la Agencia tiene consecuencias progresivas:
- Agravante en el proceso sancionador: Constituye circunstancia que aumenta la sanción
- La Agencia no está impedida de investigar: Incluso sin cooperación, la autoridad tiene facultades para requerir acceso irrestrito a documentos, sistemas e instalaciones
- Pérdida de la atenuante de cese: Demostrar cooperación y actitud colaborativa es factor atenuante. No responder elimina esa reducción
- Escalamiento: La ausencia de respuesta puede resultar en la apertura formal del proceso sancionador
Las atenuantes de la Ley 21.719: cuánto puede reducir
La Ley 21.719 establece factores que la Agencia debe considerar al determinar las sanciones, que pueden reducir significativamente la multa:
| Factor atenuante | Impacto |
|---|---|
| Cese de la infracción antes de cualquier actuación de la Agencia | Reducción significativa |
| Cese de la infracción durante la investigación | Reducción moderada |
| Existencia de Modelo de Prevención de Infracciones certificado | Factor atenuante relevante |
| Medidas para revertir o mitigar efectos de la infracción | Atenuante adicional |
| Colaboración activa con la Agencia durante la investigación | Atenuante adicional |
| Primera infracción sin historial previo | Considerado en la dosimetría |
Los agravantes existen en la dirección opuesta: reincidencia, ocultamiento de información, negativa a colaborar y gravedad del daño causado a los titulares aumentan la sanción.
Checklist de preparación para la fiscalización de la Agencia
Use esta lista para verificar la disposición de su organización:
Gobernanza:
- ¿Delegado de Protección de Datos designado (cuando aplique) y publicado en el sitio con datos de contacto funcionales?
- ¿Canal del titular probado y funcionando efectivamente?
- ¿Modelo de Prevención de Infracciones documentado?
Documentación:
- ¿RAT completo, actualizado y con base de licitud registrada para cada actividad?
- ¿EIPD elaborada para todas las actividades de alto riesgo?
- ¿Contratos con encargados y cláusulas de tratamiento de datos firmados y vigentes?
Incidentes:
- ¿Plan de respuesta a incidentes documentado y probado?
- ¿Registro de todos los incidentes?
- ¿Comprobantes de comunicaciones enviadas a la Agencia y a titulares (Art. 14 sexies)?
Capacitación:
- ¿Registros de capacitaciones de colaboradores en protección de datos?
- ¿Evidencias documentadas de concientización?
Atención a la Agencia:
- ¿Proceso definido para responder a requerimientos de la Agencia en tiempo oportuno?
- ¿Delegado capacitado para interactuar con la Agencia como interlocutor oficial?
Conclusión
El reloj ya está corriendo. La Ley 21.719 entra en vigencia el 1° de diciembre de 2026, y las organizaciones que lleguen a esa fecha sin documentación, sin canal del titular funcional y sin Modelo de Prevención estructurado estarán comenzando desde cero — en un entorno regulatorio donde el primer requerimiento puede llegar meses después.
La preparación no comienza cuando llega el requerimiento — comienza ahora, con la documentación en orden, el canal del titular funcionando y el Modelo de Prevención construido. Las organizaciones que construyen cumplimiento estructuralmente responden a fiscalizaciones en horas. Las que no lo construyen responden en semanas — y suelen salir mucho más caras del proceso.
Confidata es una plataforma de gestión de privacidad que centraliza toda la documentación necesaria para una respuesta rápida a la Agencia: inventario de datos (RAT), EIPD, gestión de incidentes, canal del titular y reportes de cumplimiento — todo trazable y listo para presentar en una fiscalización.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.