Los riesgos reales de no cumplir la Ley 21.719: financieros, reputacionales y operativos
"La APDP todavía no ha multado a nadie." "Nuestro sector no es prioritario." "La ley existe pero aún no está en vigor."
Estos argumentos circulan en salas de directorio chilenas. Y todos subestiman el riesgo real. El incumplimiento de la Ley 21.719 no es un riesgo teórico o futuro — es un riesgo multidimensional, presente y creciente, que va mucho más allá de las multas administrativas.
La Agencia de Protección de Datos Personales (APDP) comienza a ejercer sus funciones de fiscalización el 1 de diciembre de 2026. Las organizaciones que lleguen sin programa de cumplimiento estructurado asumirán todos los riesgos descritos a continuación al mismo tiempo.
Este artículo mapea los 5 riesgos reales de no cumplir la Ley 21.719, con datos verificables y contexto del mercado chileno y global.
Riesgo 1: Sanciones Administrativas de la APDP
El riesgo regulatorio directo de la Ley 21.719 está establecido en sus disposiciones sobre infracciones y sanciones.
Lo que puede ocurrir
| Tipo de infracción | Sanción base | Para organizaciones de mayor tamaño |
|---|---|---|
| Leve | Hasta 5.000 UTM (~CLP 360 millones) | Hasta 2% de los ingresos anuales |
| Grave | Hasta 10.000 UTM (~CLP 720 millones) | Hasta 3% de los ingresos anuales |
| Gravísima | Hasta 20.000 UTM (~CLP 1.440 millones) | Hasta 4% de los ingresos anuales |
Además de las multas, la APDP puede:
- Publicar la infracción: el nombre de su organización y los detalles del incumplimiento se vuelven públicos
- Ordenar la suspensión del tratamiento de los datos relacionados con la infracción
- Ordenar la eliminación de datos tratados en infracción
El escenario que se aproxima
A diferencia de lo que ocurrió en Brasil, donde la autoridad tardó años en fiscalizar activamente, la APDP chilena tendrá atribuciones completas desde el primer día — incluyendo fiscalización de oficio, investigaciones y aplicación de sanciones.
La experiencia internacional muestra que las primeras sanciones de nuevas autoridades de datos suelen ser de alto impacto simbólico: se dirigen a casos visibles, con impacto mediático, para establecer precedentes. Las organizaciones que lleguen sin documentación básica de cumplimiento (sin DPD designado, sin canal del titular, sin aviso de privacidad) serán blancos naturales en los primeros meses de fiscalización.
Riesgo 2: Acciones Judiciales y Responsabilidad Civil
Paralelamente a la fiscalización de la APDP, la exposición judicial por violaciones de datos personales es inmediata — y no requiere que la ley esté plenamente en vigor.
El marco legal actual
Chile ya cuenta con mecanismos de responsabilidad civil bajo la Ley 21.719 y bajo las reglas generales del Código Civil (Arts. 2314 y siguientes). Los titulares afectados por filtraciones de datos o tratamientos ilegales pueden demandar indemnización por daños patrimoniales y morales.
La experiencia de Brasil — donde se registraron más de 15.000 decisiones judiciales sobre protección de datos en los dos primeros años tras la entrada en vigor de la LGPD — es una referencia directa de lo que puede ocurrir en Chile: expansión rápida de la jurisprudencia, indemnizaciones crecientes y proliferación de demandas individuales y colectivas.
Las principales causas de acción judicial
- Filtraciones de datos: compartición indebida de datos personales por falla de seguridad
- Tratamiento sin base de licitud: recopilación o uso de datos sin fundamento adecuado en la Ley 21.719
- Incumplimiento de derechos de los titulares: ignorar solicitudes de acceso, rectificación o supresión
- Falla en la comunicación de incidentes: no informar a los titulares sobre una filtración que los afecta (obligación prevista en la Ley 21.719)
- Compartición no autorizada: transferencia de datos a terceros sin consentimiento o base de licitud
Acciones colectivas: el riesgo multiplicado
Las organizaciones que sufren incidentes a gran escala están expuestas a acciones civiles colectivas. Un único incidente que exponga datos de 100.000 titulares puede generar miles de demandas individuales o una acción colectiva de gran envergadura.
Riesgo 3: El Costo Real de una Brecha de Datos
Independientemente de multas y procesos judiciales, un incidente de seguridad tiene costos directos e indirectos que raramente se anticipan.
Los números globales aplicables a Chile
Según el informe IBM Cost of a Data Breach Report 2024:
- Costo promedio global de una brecha de datos: USD 4,88 millones (2024), alza del 10% respecto al año anterior
- Costo promedio en América Latina: USD 2,56 millones — menor que el promedio global, pero significativo para la mayoría de las organizaciones de la región
- Sector de salud: consistentemente el más costoso, con promedio global de USD 9,77 millones por incidente
Estos costos incluyen:
- Gastos de investigación forense digital
- Paralizaciones operativas durante la contención del incidente
- Honorarios legales y asesoría de comunicación de crisis
- Notificaciones obligatorias (APDP, titulares)
- Reconstrucción de ambientes digitales comprometidos
- Monitoreo post-incidente de los titulares afectados
Costos ocultos que no entran en la cuenta inmediata
Más allá de los costos directos, existen impactos que se manifiestan durante meses o años:
- Pérdida de contratos: clientes y socios que exigen cumplimiento como requisito y suspenden la relación comercial tras un incidente
- Encarecimiento de seguros: las primas de seguro cibernético aumentan sustancialmente tras un siniestro
- Costo de reclutamiento: dificultad de atraer talento en organizaciones con reputación de seguridad comprometida
- Pérdida de licitaciones: especialmente en el sector público, donde el cumplimiento de la Ley 21.719 se está incorporando como criterio
Riesgo 4: Daño Reputacional y Pérdida de Confianza
En un entorno de creciente conciencia sobre privacidad de datos, los incidentes e infracciones de cumplimiento generan daños reputacionales con consecuencias duraderas.
Cómo se manifiesta el daño reputacional
Cobertura mediática negativa: los grandes incidentes de filtración de datos reciben amplia atención de medios. El nombre de la organización queda asociado al incidente por tiempo indefinido en búsquedas en línea.
Pérdida de confianza de los clientes: estudios globales indican que entre el 50% y el 65% de los consumidores terminan o reducen la relación con marcas que sufrieron la filtración de sus datos. En el mercado B2B, la rotación puede ser aún más acelerada.
Presión de socios comerciales: empresas de mayor tamaño que contratan sus servicios pueden exigir evidencias de cumplimiento o cancelar contratos en caso de incidente — especialmente cuando son consideradas corresponsables del tratamiento.
Impacto en empresas cotizadas: organizaciones listadas en bolsas de valores sufren caídas en sus acciones tras el anuncio de incidentes significativos. El efecto puede ser inmediato y persistente.
La reputación lleva años en construirse y horas en comprometerse
En Chile, casos de filtraciones de datos en instituciones financieras, aseguradoras y entidades públicas ya han generado cobertura mediática extensa y presión regulatoria, incluso bajo el marco de la antigua Ley 19.628. Con la Ley 21.719 en vigor, el escrutinio público será aún mayor.
Riesgo 5: Impactos Operativos y de Mercado
El cumplimiento de la Ley 21.719 está progresivamente convirtiéndose en un requisito de mercado — no solo una obligación legal.
Licitaciones públicas
Los organismos del Estado chileno están incorporando progresivamente el cumplimiento de la Ley 21.719 en sus términos de referencia y contratos. Las organizaciones que no pueden acreditar sus prácticas de protección de datos quedarán excluidas de procesos de licitación — especialmente en contratos de tecnología, salud y educación. Con la Ley 21.719 en vigor desde diciembre de 2026, esta tendencia se acelerará.
Relaciones internacionales
Las empresas que operan con socios europeos o norteamericanos están sujetas a los requisitos de cumplimiento de esos mercados — GDPR en Europa, leyes estatales en EE.UU. La demostración de cumplimiento con la Ley 21.719 facilita (y en muchos casos es requisito para) esas alianzas, ya que la ley fue diseñada con compatibilidad con el GDPR.
Captación de inversiones
Los inversionistas institucionales y fondos de private equity incluyen progresivamente el cumplimiento de leyes de protección de datos en sus análisis de due diligence. Una organización sin programa de cumplimiento estructurado puede tener su valoración comprometida o enfrentar condicionantes en procesos de M&A.
Operaciones bloqueadas por la propia APDP
Una consecuencia poco discutida de las sanciones de la APDP es su capacidad de ordenar la suspensión del tratamiento de datos relacionados con infracciones. Para organizaciones cuyos procesos centrales dependen del tratamiento de datos personales — e-commerce, fintechs, plataformas de RRHH, sistemas de salud — esta sanción puede ser operativamente devastadora.
Poniendo los riesgos en perspectiva
| Categoría de Riesgo | Horizonte | Probabilidad | Impacto Máximo Estimado |
|---|---|---|---|
| Sanción APDP (multa) | A partir de dic. 2026 | Creciente | 20.000 UTM / 4% ingresos |
| Acción judicial individual | Inmediato | Creciente | Variable (daño moral + material) |
| Costo de incidente de seguridad | Inmediato | Variable | USD 2,56 MM promedio LATAM |
| Daño reputacional | Inmediato a largo plazo | Alta tras incidente | Incuantificable |
| Impacto operativo/mercado | Progresivo | Creciente | Pérdida de contratos, licitaciones |
El cumplimiento como inversión, no como costo
Frente a este panorama, el argumento de que "el cumplimiento es caro" debe reconsiderarse. La pregunta correcta no es "¿cuánto cuesta implementar la Ley 21.719?" — sino "¿cuánto cuesta no implementarla?"
Un programa de cumplimiento bien estructurado:
- Reduce el riesgo de multas — la Ley 21.719 considera explícitamente la adopción de buenas prácticas como atenuante en la dosimetría de sanciones
- Reduce la exposición judicial — las organizaciones conformes tienen mejores argumentos de defensa en acciones individuales
- Reduce el costo de incidentes — procesos claros de respuesta reducen el tiempo de contención y el alcance del daño
- Protege la reputación — demuestra de forma proactiva el compromiso con los datos de los clientes
- Abre mercado — habilita asociaciones internacionales y participación en licitaciones
Conclusión
El incumplimiento de la Ley 21.719 no es un riesgo estático. Es un riesgo que crece cada mes: con la proximidad de la entrada en operaciones de la APDP, con el aumento de conciencia de los titulares, con la expansión de la jurisprudencia y con las exigencias crecientes del mercado.
Los riesgos son reales, cuantificables y — lo más importante — evitables. El costo de estructurar un programa de cumplimiento es significativamente menor que el costo de cualquiera de los eventos descritos en este artículo.
El mejor momento para comenzar era antes de que la Ley 21.719 fuera promulgada. El segundo mejor momento es ahora, antes del 1 de diciembre de 2026.
Confidata es una plataforma de gestión de privacidad desarrollada para ayudar a las organizaciones a reducir concretamente los riesgos de incumplimiento con la Ley 21.719 — con inventario de datos, gestión de riesgos, respuesta a incidentes y documentación auditable.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.