Ley 21.719 en Chile: El fin de la era de los 'Datos Huérfanos' y el desafío de la accountability corporativa
A partir del 1 de diciembre de 2026, Chile dejará atrás una de las legislaciones de privacidad más débiles de la OCDE para adoptar un estándar de nivel europeo con la entrada en vigor de la Ley 21.719 (LPDP).
Durante 25 años, las empresas en Chile operaron bajo la Ley 19.628, un marco normativo que establecía multas marginales y carecía de un organismo fiscalizador con atribuciones reales. Sin embargo, el panorama cambia drásticamente. Con la creación de la Agencia de Protección de Datos Personales —que iniciará funciones en octubre de 2026—, las organizaciones pasan de un modelo de cumplimiento declarativo a uno de responsabilidad proactiva o accountability. Ya no basta con decir que se protegen los datos; ahora es obligatorio demostrar las medidas técnicas y organizativas implementadas.
El nuevo régimen sancionatorio: Un riesgo financiero crítico
El impacto más inmediato para el directorio y las gerencias financieras reside en el costo del incumplimiento. La nueva normativa eleva las multas a niveles que pueden comprometer la viabilidad de una operación.
- Multas escalables: Las infracciones leves pueden alcanzar las 5.000 UTM, mientras que las graves llegan a las 10.000 UTM.
- Techo máximo: En casos de infracciones gravísimas, las sanciones pueden ascender hasta las 20.000 UTM (aproximadamente $1.397 millones CLP a valores proyectados), cifra que puede triplicarse en caso de reincidencia.
Nuevas figuras y obligaciones operativas
El Delegado de Protección de Datos (DPO)
Una de las innovaciones más relevantes es la obligatoriedad del Delegado de Protección de Datos para entidades que realicen tratamientos de alto riesgo o manejen grandes volúmenes de información. Según datos recientes, esta figura debe gozar de autonomía y un conocimiento técnico profundo para actuar como puente entre la empresa y la nueva Agencia.
Evaluaciones de Impacto (DPIA) y Registro de Operaciones (ROPA)
Las empresas ya no podrán lanzar productos o servicios que procesen datos personales sin antes realizar una Evaluación de Impacto en la Protección de Datos (DPIA), especialmente si involucran decisiones automatizadas o perfilamiento. Asimismo, el Registro de Actividades de Tratamiento (ROPA) se vuelve el inventario maestro que documenta qué datos se tienen, para qué se usan y por cuánto tiempo se conservan.
Impacto en Fusiones, Adquisiciones y la sombra de la IA
La madurez en la gestión de datos se ha convertido en un factor crítico en procesos de M&A (Fusiones y Adquisiciones). Los denominados "cementerios de datos" —bases de datos antiguas sin consentimiento legal claro— reducen significativamente el valor transaccional de una compañía. En un mercado altamente competitivo, una auditoría de privacidad deficiente puede detener una adquisición millonaria.
A esto se suma el riesgo de la IA generativa. Se estima que el 63% de las brechas de seguridad actuales derivan de una mala gobernanza de la Inteligencia Artificial, con un costo promedio por incidente de "Shadow AI" (IA no autorizada) cercano a los USD 670.000. La nueva ley obligará a las empresas a auditar cada algoritmo que procese información de ciudadanos chilenos.
Conclusión
La Ley 21.719 no es un simple cambio de software; es una transformación cultural y estratégica para el ecosistema empresarial chileno. El plazo hasta diciembre de 2026 puede parecer extenso, pero la complejidad de implementar derechos ARCOP ampliados (acceso, rectificación, cancelación, oposición y la nueva portabilidad) requiere una planificación que debe comenzar hoy. Chile finalmente robustece su soberanía digital, alineándose con estándares globales para facilitar el comercio internacional y la transferencia segura de datos.
¿Cómo puede ayudarte Cyberix?
En Cyberix comprendemos que el cumplimiento de la LPDP requiere un enfoque técnico y legal integrado. Ayudamos a su empresa a transitar este periodo de adecuación mediante:
- Auditoría en Ciberseguridad: Realizamos diagnósticos de madurez basados en marcos internacionales (NIST, ISO 27001) para identificar brechas de cumplimiento antes de que la Agencia inicie su fiscalización.
- IA y Automatización: Implementamos herramientas para la detección de brechas, gestión de inventarios de datos (ROPA) y control de Shadow AI para minimizar riesgos operativos.
No espere a que la Agencia de Protección de Datos toque su puerta. Contáctenos hoy para una evaluación de cumplimiento y proteja el valor de su compañía.
Artículos Relacionados
Nueva Ley Marco de Ciberseguridad en Chile: Claves y obligaciones para las empresas
La nueva Ley Marco de Ciberseguridad (Ley 21.663) establece exigencias para proteger infraestructura crítica en Chile. Conoce sus implicancias para tu empresa y cómo prepararte con Cyberix.
Principales Tendencias en Ciberseguridad 2025 para empresas en Chile
La ciberdelincuencia evoluciona en 2025: ataques con IA, amenazas a la cadena de suministro, IoT vulnerable, ransomware más agresivo y más. Conoce las tendencias clave que las empresas chilenas deben anticipar.
Hacking Ético y Pentesting: Ciberseguridad Ofensiva para Empresas en Chile
El hacking ético y el pentesting ayudan a empresas en Chile a identificar vulnerabilidades antes de que sean explotadas. Descubre sus beneficios y cómo Cyberix puede ayudarte.