Cumplimiento15 min de lectura

Sanciones e Infracciones bajo la Ley 21.719: Leve, Grave y Gravísima

Equipo Confidata·
Compartir

Ningún régimen de protección de datos funciona sin consecuencias para quien incumple las reglas. La Ley 21.719 lo reconoce con un sistema sancionatorio que clasifica las infracciones en tres categorías de gravedad creciente — leve, grave y gravísima — y establece multas expresadas en Unidades Tributarias Mensuales (UTM), con un tope alternativo basado en los ingresos anuales para infracciones reiteradas de organizaciones de mayor tamaño.

Este artículo analiza el régimen de infracciones y sanciones de la Ley 21.719, los criterios de dosimetría que la APDP aplicará al graduar las penalidades, las diferencias con el tratamiento del sector público y cómo el cumplimiento preventivo opera como atenuante real.

Las tres categorías de infracción

La Ley 21.719 organiza las infracciones en tres niveles, con sanciones monetarias expresadas en UTM (Unidad Tributaria Mensual, valor fijado mensualmente por el Servicio de Impuestos Internos):

CategoríaMulta máximaEjemplos de conductas
LeveHasta 5.000 UTMDeficiencias formales en la documentación, incumplimientos procedimentales menores
GraveHasta 10.000 UTMTratar datos sin base legal válida, vulnerar derechos de titulares, no notificar una brecha a la APDP
GravísimaHasta 20.000 UTMTratar datos sensibles sin base legal, causar daño grave a los titulares, infracciones reiteradas

Referencia de valor: La UTM es actualizada mensualmente por el SII según el IPC. Para evaluar la exposición económica real de su organización, consulte el valor vigente de la UTM en el sitio del SII al momento del análisis. Con una UTM de referencia de ~CLP 70.000, el tope gravísimo equivale aproximadamente a CLP 1.400 millones — un riesgo material para cualquier organización de tamaño mediano o grande.

El tope alternativo basado en ingresos

La Ley 21.719 establece una regla que aproxima el régimen chileno al estándar del RGPD europeo: cuando el infractor sea una persona jurídica y la infracción sea reiterada, la multa puede elevarse hasta:

  • 2% de los ingresos anuales percibidos en Chile durante el ejercicio anterior, para infracciones graves reiteradas
  • 4% de los ingresos anuales percibidos en Chile durante el ejercicio anterior, para infracciones gravísimas reiteradas

Este tope alternativo aplica cuando resulte mayor que el límite en UTM — y puede ser significativamente superior para empresas con ingresos elevados. El objetivo es que la sanción tenga efecto disuasivo real independientemente del tamaño del infractor.

Infracciones leves

Las infracciones leves son aquellas que representan incumplimientos de menor entidad, generalmente formales o procedimentales, que no causan daño directo a los titulares. Ejemplos:

  • No publicar la información de contacto del Delegado de Protección de Datos (DPD) en el sitio web, cuando la designación es obligatoria
  • Deficiencias en el Registro de Actividades de Tratamiento (RAT) que no oculten tratamientos ilícitos
  • Retrasos leves en la respuesta a solicitudes de titulares, sin denegación arbitraria
  • Incumplimientos menores en el contenido del aviso de privacidad

La calificación como leve supone que el incumplimiento es corregible, no reiterado y no ha causado perjuicio concreto a personas identificables. La APDP puede acompañar estas sanciones de instrucciones de corrección con plazo determinado.

Infracciones graves

Las infracciones graves involucran vulneraciones sustanciales a los derechos de los titulares o a las obligaciones centrales de la Ley 21.719. Ejemplos:

  • Tratar datos personales sin base legal válida — sin consentimiento, sin contrato que lo justifique, sin habilitación legal
  • Denegar arbitrariamente solicitudes de ejercicio de derechos — acceso, rectificación, supresión, portabilidad
  • No notificar una brecha de seguridad a la APDP dentro del plazo de 72 horas del Art. 14 sexies, cuando existía obligación de hacerlo
  • No notificar a los titulares cuando el incidente les causaba riesgo de perjuicio grave
  • No designar al DPD en los casos en que la designación es obligatoria conforme al Art. 13
  • Transferir datos personales al extranjero sin las garantías adecuadas del Art. 27

La gravedad requiere que la infracción tenga un impacto real o potencial sobre los derechos de los titulares — no basta el incumplimiento formal.

Infracciones gravísimas

Las infracciones gravísimas son aquellas que representan vulneraciones severas a los derechos fundamentales de los titulares o que demuestran negligencia grave o actuación dolosa del responsable. Ejemplos:

  • Tratar datos sensibles sin base legal válida (datos de salud, biometría, orientación sexual, religión, datos de menores de edad)
  • Ceder, vender o divulgar datos personales sin autorización legal o del titular, especialmente cuando facilite discriminación, fraude o extorsión
  • Adoptar medidas insuficientes de seguridad de forma sistemática, resultando en una brecha masiva que causa daño grave a un número significativo de titulares
  • Infringir de forma reiterada obligaciones calificadas como graves tras una sanción previa de la APDP
  • Obstaculizar la fiscalización de la APDP — negar acceso a información, presentar información falsa, impedir inspecciones

El Registro Nacional de Sanciones y Cumplimiento

La Ley 21.719 crea el Registro Nacional de Sanciones y Cumplimiento, que la APDP administrará. Este registro tiene dos funciones:

  1. Publicidad de las sanciones: las resoluciones sancionatorias firmes quedarán registradas y, según la gravedad, serán accesibles al público. Esto convierte a la publicización de la infracción en una consecuencia adicional a la multa — con impacto directo en la reputación de la organización.

  2. Historial de cumplimiento: el registro permite a la APDP verificar si un infractor es reincidente. La reincidencia es el principal agravante del régimen sancionatorio — y es el factor que activa el tope alternativo del 2%/4% de ingresos anuales.

Consecuencia práctica: para empresas que contratan con el Estado o que operen en sectores regulados, figurar en el Registro Nacional de Sanciones puede tener implicancias más allá de la multa — afectar procesos de licitación, concesiones o habilitaciones sectoriales.

Criterios de dosimetría: cómo la APDP gradúa las sanciones

La APDP no aplica automáticamente la multa máxima. Debe graduar la sanción conforme a criterios de dosimetría establecidos en la propia Ley 21.719, que incluyen circunstancias tanto agravantes como atenuantes:

Circunstancias agravantes

  • Reincidencia: haber sido sancionado previamente por la APDP por infracción de la misma naturaleza
  • Vantaja económica: haber obtenido un beneficio económico con la infracción (p. ej., monetizar ilegalmente una base de datos)
  • Volumen de titulares afectados: mayor número de personas afectadas implica mayor gravedad
  • Naturaleza sensible de los datos: datos de salud, biometría, menores de edad y otros datos sensibles agravan la evaluación
  • Dolo o negligencia grave: actuación intencional o negligencia que demuestra indiferencia ante los derechos de los titulares
  • Persistencia de la infracción: infracciones que se extendieron en el tiempo antes de ser corregidas

Circunstancias atenuantes

  • Existencia de programa de cumplimiento: demostrar que la organización tenía un programa de protección de datos activo antes del incidente
  • Medidas de seguridad implementadas: evidenciar que se adoptaron controles proporcionales al riesgo, aunque resultaron insuficientes
  • Notificación oportuna: haber notificado la brecha a la APDP y a los titulares dentro de los plazos legales
  • Pronta adopción de medidas correctivas: corregir la infracción inmediatamente al ser detectada, sin esperar la sanción
  • Cooperación con la APDP: colaborar activamente con el proceso investigativo, proporcionar información veraz y facilitar el acceso
  • Ausencia de daño concreto: si la infracción no causó perjuicio efectivo a los titulares identificables

La APDP emitirá regulación secundaria con metodología detallada de dosimetría — análoga a lo que la ANPD brasileña hizo con su Resolución de Dosimetría de 2023. Hasta que esa regulación esté vigente, los criterios legales son el marco de referencia.

Sanciones para el sector público: sin exención de multas

Un elemento clave que diferencia al régimen sancionatorio chileno del brasileño (y de varios otros sistemas) es que la Ley 21.719 no exime al sector público de multas.

En Brasil, la LGPD prohíbe expresamente aplicar multas a organismos e instituciones públicas (Art. 54 LGPD) — la lógica es que multar un órgano público perjudica el presupuesto destinado a servicios ciudadanos. La Ley 21.719 chilena no adopta esta distinción: tanto responsables privados como organismos públicos están sujetos al mismo régimen sancionatorio, incluyendo multas en UTM.

Esto tiene consecuencias prácticas importantes:

  • Los organismos de la administración del Estado (ministerios, servicios públicos, municipalidades) enfrentan el mismo riesgo sancionatorio que las empresas privadas
  • Los jefes de servicio y autoridades responsables del tratamiento de datos deben incorporar el riesgo de sanciones de la APDP en su gestión
  • El incumplimiento en el sector público puede derivar, adicionalmente, en responsabilidad administrativa del funcionario conforme al Estatuto Administrativo y en acciones por infracción a la probidad pública

Sanciones no monetarias

La Ley 21.719 no limita las sanciones de la APDP a multas. El régimen sancionatorio incluye también medidas no monetarias que pueden ser más impactantes para ciertas organizaciones:

  • Suspensión temporal del tratamiento: la APDP puede ordenar detener una actividad de tratamiento específica mientras dura la investigación o hasta que se corrija la infracción
  • Prohibición total o parcial del tratamiento: en casos graves o gravísimos, puede prohibir definitivamente una actividad de tratamiento
  • Publicización de la infracción: comunicación pública de la sanción — daño reputacional directo, especialmente relevante para marcas de consumo
  • Instrucciones de corrección: órdenes específicas de adoptar medidas correctivas en plazos determinados

Para empresas cuyo modelo de negocio depende del tratamiento de datos (plataformas digitales, empresas de marketing, servicios de datos), la suspensión o prohibición del tratamiento puede ser más gravosa que cualquier multa.

Comparación con el RGPD europeo y la LGPD brasileña

CriterioLey 21.719 (Chile)LGPD (Brasil)RGPD (UE)
ClasificaciónLeve / Grave / GravísimaEscala flexible por criteriosNiveles 1 y 2
Multa máxima20.000 UTM (~USD 85.000)R$ 50 millones / 2% facturación Brasil€20 millones / 4% facturación global
Tope por ingresos2% / 4% ingresos anuales en Chile (reincidentes)2% facturación en Brasil2% / 4% facturación global
Sector públicoSujeto a multas (sin exención)Sin multas (Art. 54 LGPD)Variable por Estado miembro
Registro públicoRegistro Nacional de SancionesSin registro centralizado públicoICO, CNIL publican decisiones

La Ley 21.719 adopta una posición intermedia en escala: las multas máximas en UTM son inferiores a los topes europeos o brasileños para grandes empresas, pero el tope alternativo de 2%/4% de ingresos anuales puede resultar más gravoso para empresas con ingresos elevados que el límite absoluto en UTM. Y la ausencia de exención para el sector público acerca el modelo chileno al europeo.

El impacto real del régimen sancionatorio

La APDP comenzará a operar en diciembre de 2026 — sin historial de sanciones previas bajo la Ley 21.719. El régimen sancionatorio entrará en aplicación progresiva, con foco inicial probable en:

  1. Incumplimientos de notificación de brechas (obligación de 72 horas) — fácilmente verificables
  2. Ausencia de información del DPD en el sitio web — visible y constatable sin investigación
  3. Tratamiento de datos sensibles sin base legal — especialmente en salud, educación y finanzas
  4. Respuesta a solicitudes de titulares — el canal de derechos es el primer punto de contacto ciudadano con la ley

La experiencia de otras autoridades latinoamericanas (incluyendo la ANPD brasileña en su período inicial) indica un primer año enfocado en orientación y corrección, con sanciones dirigidas a demostrar la seriedad del régimen más que a recaudar multas. Pero ese período termina — y las organizaciones que no hayan construido su programa de cumplimiento estarán en una posición de mayor exposición cuando la APDP intensifique su fiscalización.

Errores frecuentes frente al régimen sancionatorio

ErrorConsecuenciaCorrección
Asumir que la APDP no fiscalizará el primer añoRiesgo desde diciembre 2026; sin atenuante de programa preventivoConstruir el programa antes de la vigencia plena
Ignorar el Registro Nacional de SancionesPrimera sanción activa el historial; segunda infracción activa tope del 2%/4%Tratar cada infracción como precedente
No documentar el programa de cumplimientoImposibilidad de demostrar atenuantes ante la APDPDocumentar todo: RAT, políticas, capacitaciones, DPAs
Creer que el sector público está exento de multasExposición idéntica a la del sector privadoOrganismos públicos deben implementar el mismo programa
No notificar brechas dentro de las 72 horasInfracción grave autónoma, independiente de la brecha originalTener plan de respuesta a incidentes activo y probado
No formalizar contratos DPA con encargadosImposibilidad de ejercer acción de repetición; el responsable absorbe toda la sanciónDPA con todos los proveedores que traten datos personales

Conclusión

El régimen sancionatorio de la Ley 21.719 es más sofisticado de lo que aparece a primera vista. No se reduce a multas en UTM — incluye tres categorías de infracción con criterios específicos, un tope alternativo basado en ingresos para reincidentes, un Registro Nacional de Sanciones que construye historial, sanciones no monetarias que pueden paralizar operaciones, y un tratamiento sin distinción entre sector público y privado.

Para las organizaciones chilenas, el cálculo es directo: el costo de construir un programa de cumplimiento antes de diciembre de 2026 es sistemáticamente menor que el costo de enfrentar una sanción de la APDP — y eso sin considerar la responsabilidad civil paralela ante los titulares afectados ni el daño reputacional de una publicización de infracción.

El período entre hoy y la entrada en operación de la APDP es la ventana para construir el programa, documentar las medidas y estar en posición de demostrar responsabilidad activa cuando el regulador llegue.

Confidata documenta el inventario de actividades de tratamiento, registra las medidas de seguridad, gestiona los contratos con encargados y genera las evidencias de cumplimiento que la APDP considerará como atenuantes al graduar sanciones bajo la Ley 21.719. Conozca nuestra plataforma.

Compartir
#Ley 21.719#sanciones APDP#infracciones protección datos#UTM multa datos#Registro Nacional Sanciones#dosimetría APDP#sector público sanciones

Artículos relacionados

Programa de Gobernanza en Privacidad — Arts. 49-51 de la Ley 21.719 en la PrácticaCumplimiento · 15 minResponsabilidad Activa: Cómo Construir un Programa de Cumplimiento en Protección de Datos bajo la Ley 21.719Cumplimiento · 14 minResponsabilidad Civil por Tratamiento de Datos bajo la Ley 21.719: Quién Responde y CómoCumplimiento · 14 minResponsable y Encargado bajo la Ley 21.719: Contratos, Obligaciones y ResponsabilidadesCumplimiento · 14 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista