La nueva ley de datos personales entra en vigencia en diciembre: lo que empresas y ciudadanos deben saber

Comparte esta noticia con tus amigos 

Facebook
WhatsApp
Email
X
LinkedIn

Resumen generado automáticamente con una herramienta de Inteligencia Artificial desarrollada por Mirada Sur.

El 1 de diciembre de 2026 entra en vigencia la Ley 21.719, que obliga a todas las empresas e instituciones públicas del país a cambiar la forma en que recopilan, almacenan y usan información personal. Expertos advierten que muchas organizaciones aún no están preparadas y que los riesgos son tanto legales como reputacionales.

Si alguna vez recibiste llamadas de empresas que no recuerdas haber contactado, correos no solicitados o simplemente sientes que tu información personal circula sin control, eso podría comenzar a cambiar en Chile. La Ley 21.719, publicada en el Diario Oficial el 13 de diciembre de 2024, establece el nuevo marco de protección y tratamiento de datos personales en el país y entrará en plena vigencia el 1 de diciembre de 2026, reformando íntegramente la normativa anterior que regía desde 1999. El plazo de adaptación está corriendo y los expertos advierten que muchas organizaciones, tanto del sector privado como público, aún no están a la altura de lo que exige la nueva normativa.

Qué cambia con la nueva ley

La Ley 21.719 alinea a Chile con estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de Europa, fortaleciendo los derechos de los titulares de datos en materia de acceso, rectificación, cancelación y oposición, e incorporando además la portabilidad de datos y el derecho a impugnar decisiones automatizadas tomadas por algoritmos o sistemas de inteligencia artificial. En la práctica, las empresas deberán solicitar consentimientos claros y verificables, identificar dónde se almacena la información, definir quiénes tienen acceso a ella y garantizar mecanismos efectivos de protección.

La normativa crea además la Agencia de Protección de Datos Personales, nueva autoridad regulatoria con atribuciones para fiscalizar, interpretar y sancionar infracciones. Esta agencia ya está operativa y comenzará a ejercer sus facultades plenamente a partir de la entrada en vigor de la ley.

El impacto va más allá de lo legal

Según Julio Farías, experto en tecnología y experiencia de cliente y cofundador de Zerviz, el problema de fondo es estructural: «La mayoría de las empresas hoy no está realmente preparada. Muchas no tienen procesos claros, protocolos definidos ni responsables específicos para manejar datos personales, y eso puede transformarse en un problema importante tanto legal como reputacional». El especialista agrega que los datos están dispersos en múltiples sistemas dentro de las organizaciones —plataformas de atención, herramientas de marketing, softwares internos y canales digitales— y que la ley exige que todo ese ecosistema funcione de manera coordinada, segura y con trazabilidad.

El impacto alcanza a áreas que muchas veces no se asocian con la protección de datos: atención al cliente, recursos humanos, plataformas digitales y herramientas de inteligencia artificial quedan todas bajo el alcance de la normativa. Incluso los datos de los propios trabajadores están comprendidos: el RUT en una planilla, una evaluación de desempeño almacenada en un sistema compartido o la geolocalización de un vehículo corporativo son todos datos personales sujetos a las nuevas obligaciones.

Sanciones que no se pueden ignorar

Las infracciones se sancionan de forma graduada según su gravedad: las leves pueden implicar una amonestación escrita o multas de hasta 5.000 UTM; las graves alcanzan hasta 10.000 UTM; y las gravísimas pueden llegar a 20.000 UTM, equivalentes a aproximadamente 1.550.000 dólares. Adicionalmente, en caso de reincidencia, la multa puede equivaler al 4% de los ingresos anuales del infractor. Las resoluciones de la Agencia serán públicas, por lo que el daño reputacional podría superar al económico.

Las PYMEs tienen una excepción transitoria: durante el primer año de vigencia, entre diciembre de 2026 y diciembre de 2027, estarán sujetas solo a amonestaciones y no a multas, lo que les otorga un margen adicional para adaptarse sin sufrir sanciones económicas inmediatas. Sin embargo, los expertos advierten que esto no es razón para postergar la adecuación.

Qué deben hacer las empresas ahora

Entre las principales obligaciones concretas que establece la ley se encuentran la designación de un Delegado de Protección de Datos en organizaciones que manejen información personal de manera significativa, el registro de todas las actividades de tratamiento de datos, la realización de evaluaciones de impacto en privacidad para tratamientos de alto riesgo y la notificación obligatoria de filtraciones a la Agencia y a los afectados en plazos establecidos.

Los especialistas recomiendan comenzar de inmediato con un inventario de los sistemas donde se concentran datos personales, identificar fuentes «ocultas» —como planillas de recursos humanos o historiales de chat interno— y priorizar aquellas que contengan datos sensibles. Las organizaciones que cuenten con certificación ISO 27001 o cumplimiento previo del GDPR europeo tienen una ventaja comparativa, ya que la Ley 21.719 está fuertemente alineada con esos estándares y permite reutilizar buena parte de las políticas y procedimientos ya implementados.

El objetivo final de la normativa es concreto: que las personas tengan mayor control sobre su propia información y que las empresas asuman una responsabilidad real —y ahora también legal— sobre los datos que administran.

ÚLTIMAS NOTICIAS

MÁS VISTAS ESTA SEMANA