Ley 21.719 en Chile: fechas clave y checklist para empresas

La Ley 21.719 moderniza la protección y el tratamiento de datos personales en Chile y crea una autoridad dedicada, la Agencia de Protección de Datos Personales. En simple, ya no se trata solo de tener una política, sino de poder demostrar cumplimiento con procesos, contratos y sistemas listos para operar bajo fiscalización.

Si tu empresa usa CRM, automatización de marketing, formularios, WhatsApp, ecommerce, analítica o servicios en la nube, este cambio te toca directo.

Fechas clave que debes tener en tu radar

• Publicación: 13 de diciembre de 2024

• Entrada en vigencia: 1 de diciembre de 2026

Estamos en Q1 2026, por lo tanto tu ventaja está en preparar desde ya lo que toma más tiempo: inventario de datos, contratos con proveedores y cambios en CRM y flujos operativos.

Qué cambia realmente con la Ley 21.719

1. Hay autoridad con fiscalización y sanciones

La ley crea la Agencia de Protección de Datos Personales, que podrá exigir evidencia de cumplimiento y aplicar sanciones según la gravedad de la infracción.

2. El cumplimiento pasa a ser operativo

El cumplimiento ya no es solo documental. Debes poder ejecutar solicitudes de titulares, controlar accesos, demostrar trazabilidad y responder incidentes con un método.

3. Se refuerzan derechos de las personas

Incluye derechos como acceso, rectificación, supresión, oposición y portabilidad, además de la lógica de bloqueo en escenarios específicos. Esto obliga a que tus sistemas estén preparados para ejecutar y registrar estas acciones.

4. Proveedores y mandatarios quedan en el centro

Si un proveedor trata datos por tu cuenta, la relación debe quedar clara en contrato y en controles técnicos. Esto pega fuerte en cloud, integraciones, agencias de marketing, CRM y soporte TI.

5. Transferencias internacionales con reglas más concretas

Si trabajas con proveedores fuera de Chile, debes saber qué datos salen del país, con qué proveedor y qué resguardos contractuales aplican. Para TI y compras, esto deja de ser un tema secundario.

Muchas empresas descubren que el problema no está en la política de privacidad, sino en cómo se conectan sus sistemas. Cuando los datos están repartidos entre CRM, formularios, plataformas de marketing y herramientas externas, se vuelve difícil responder solicitudes de titulares o eliminar información correctamente. En estos casos, la integración de sistemas se vuelve clave para mantener trazabilidad y control de los datos.

Checklist ejecutivo en 12 puntos

Úsalo como diagnóstico rápido para directorio o gerencia. Si marcas “no” en más de 3 puntos, ya tienes un caso claro para priorizar un plan de adecuación.

Gobierno y responsabilidad

•  Tenemos un dueño interno del tema y roles claros para negocio, TI, legal y marketing.

•  Sabemos si actuamos como responsable o como mandatario en cada proceso y cada sistema.

Inventario y base de licitud

•  Tenemos inventario de datos: qué recolectamos, por qué, dónde vive, quién accede y cuánto se retiene.

•  Cada finalidad tiene base de licitud clara y evidencia de consentimiento cuando corresponde.

Contratos y proveedores

•  Tenemos anexos de tratamiento de datos con proveedores críticos, con obligaciones mínimas y medidas de seguridad.

•  Tenemos reglas claras de salida con proveedores: devolución o supresión verificable y sin copias no autorizadas.

Derechos del titular listos para operar

•  Podemos exportar datos del titular de forma unificada desde CRM y sistemas satélite.

•  Podemos ejecutar supresión o anonimización sin romper procesos internos y dejando trazabilidad.

•  Tenemos flujo real de oposición y bajas de marketing, con listas de supresión y reglas en automatizaciones.

Seguridad e incidentes

•  Hay control de accesos por roles, mínimos privilegios y bitácoras para datos críticos.

•  Existe un plan de incidentes con responsables, evidencias mínimas y práctica interna.

Transferencias internacionales

•  Sabemos qué datos salen de Chile, con qué proveedor y bajo qué resguardo contractual.

¿Tu empresa está en riesgo de no cumplir con la Ley 21.719?

Preguntas que deberías hacer hoy a tu proveedor de CRM o a tu integrador

1. ¿Pueden ejecutar portabilidad, supresión y bloqueo con trazabilidad?

2. ¿Tienen logs de acceso y cambios que permitan auditoría?

3. ¿Cómo gestionan retención y eliminación por regla de negocio?

4. ¿Qué datos salen de Chile y bajo qué contrato se respaldan esas transferencias?

5. Si terminamos el contrato, ¿Cómo devuelven o eliminan la data y cómo lo acreditan?

Si la respuesta suena vaga, el riesgo queda en tu empresa igual.

La gestión de datos personales también requiere indicadores y monitoreo. Implementar KPI de gestión y control de información ayuda a las empresas a entender cómo se utilizan sus datos y dónde pueden existir riesgos operacionales.

Qué hacer en Q1 2026 para llegar bien a diciembre

Prioriza en este orden:

1. Mapa de datos y brechas

2. Contratos con proveedores y mandatarios

3. Cambios en CRM, marketing y automatizaciones

4. Seguridad, bitácoras y respuesta a incidentes

5. Transferencias internacionales y cloud

Este orden reduce riesgo rápido y evita rehacer trabajo cuando TI entre a ejecutar.

¿Qué pasa si no cumples la Ley 21.719?

No cumplir con la Ley 21.719 no solo implica desorden operativo, también puede generar sanciones económicas relevantes para las empresas.

Puedes revisar en detalle las multas, sanciones y riesgos reales en este análisis completo sobre las multas de la Ley 21.719 en Chile

Cómo ayudamos en Datactil

En Datactil abordamos la Ley 21.719 desde lo que más importa a un tomador de decisiones: cumplimiento implementable.

• Asesoramos el diseño de gobierno, procesos y contratos.

• Implementamos cambios en sistemas, CRM e integraciones para que los derechos se puedan ejecutar y demostrar.

• Desarrollamos soluciones preparadas para cumplir la normativa aplicable en cada país. En Chile, alineamos arquitectura y procesos a los requerimientos de la Ley 21.719.

En muchos casos, el desafío no es solo legal, sino tecnológico. Contar con una consultoría tecnológica especializada permite evaluar los sistemas actuales, detectar brechas y diseñar una arquitectura que permita cumplir la normativa sin frenar la operación del negocio.

Si quieres partir con algo concreto, el mejor primer paso suele ser un Diagnóstico Ejecutivo 21.719 con hoja de ruta y prioridades por riesgo.

Contacto: contacto@datactil.com

Si quieres saber más, te recomendamos:

• Cómo se relaciona la Ley con la ISO 9001, ISO 27001 e ISO 27701

• ¿Qué debe incluir un documento de aceptación de uso de datos?

• Cómo preparar tu empresa para cumplir con la Ley 21.719

Nota: Este artículo es informativo y no constituye asesoría legal. Para decisiones formales, recomendamos revisión legal y técnica según tu industria y flujos reales.