El 13 de diciembre de 2024 se publicó en el Diario Oficial la Ley N° 21.719, que regula la protección
y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales. La ley
entra en vigencia el 1 de diciembre de 2026, por lo que todo tipo de empresas y organismos
públicos que tratan datos deben usar este periodo para implementar un plan de cumplimiento
real.

¿Qué exige la Ley 21.719 a empresas y organismos públicos?

La Ley 21.719 obliga a revisar cómo tu organización recopila, usa, almacena, comparte y protege
datos personales, y a implementar estándares de gobernanza y seguridad que permitan acreditar
cumplimiento ante fiscalización.

Tratamiento de datos personales: el punto de partida.

En la práctica, “tratamiento” abarca actividades cotidianas: bases de clientes y prospectos, RR.HH.,
proveedores, cámaras de seguridad, plataformas de marketing/CRM, atención al cliente, analítica
y almacenamiento en la nube.

Agencia de Protección de Datos Personales: fiscalización, reclamos y sanciones.

Uno de los cambios más relevantes es la creación de la Agencia de Protección de Datos Personales,
con atribuciones para supervisar el cumplimiento, conocer reclamos de titulares y aplicar multas
en caso de infracciones.

Registro Nacional de Sanciones y Cumplimiento (público).

La ley contempla, además, un Registro Nacional de Sanciones y Cumplimiento, de carácter público,
donde pueden constar sanciones y también modelos certificados cuando corresponda. Esto hace
que el cumplimiento tenga impacto no solo legal, sino también reputacional.

Multas por incumplimiento: por qué el compliance de datos es urgente.

La Ley 21.719 clasifica infracciones en leves, graves y gravísimas, con sanciones que pueden ir
desde las 5.000 UTM y llegar hasta 20.000 UTM (según la categoría). Además, en ciertos casos de
reincidencia para empresas que no son de menor tamaño, las multas pueden considerar
porcentajes de ingresos anuales que pueden llegar hasta el 4% de dichos ingresos.

No esperar hasta el último día.

Desde Legalfit recomendamos no esperar hasta el próximo 1 de diciembre para comenzar a
evaluar la implementación de medidas. La ley comienza a regir a partir de esa fecha, lo que en la
práctica quiere decir que, si tu empresa infringe la ley, será multada. El cumplimiento requiere
evidencias y controles, no solo documentos.

Derechos de los titulares: más solicitudes y más trazabilidad interna.

La ley refuerza derechos de las personas respecto de sus datos, incluyendo portabilidad, lo que
obliga a las organizaciones a contar con procedimientos y canales claros para recibir, gestionar y
responder solicitudes dentro de plazos y con evidencias.

Modelo de Prevención de Infracciones (MPI): la mejor estrategia para cumplir la Ley 21.719.

La Ley 21.719 contempla un enfoque de cumplimiento (compliance de datos) a través de un
Modelo de Prevención de Infracciones (MPI) o programa de cumplimiento, con contenidos
mínimos que permiten ordenar la operación y prevenir infracciones.

¿Qué incluye un MPI en protección de datos?

A nivel práctico, un modelo sólido suele considerar:

• Gobernanza y roles (responsables internos, reporte, controles)
• Delegado de Protección de Datos (DPO): la ley contempla la posibilidad de designarlo; y en el marco de un programa/modelo, aparece como elemento del diseño de cumplimiento.
• Inventario de tratamientos y mapeo de flujos de datos
• Matriz de riesgos (probabilidad vs. impacto) y plan de mitigación
• Políticas y procedimientos: seguridad, acceso, retención/eliminación, gestión de incidentes, respuesta a titulares
• Gestión de terceros (encargados/proveedores) y controles contractuales
• Capacitación y cultura de cumplimiento
• Evidencias y trazabilidad para fiscalización

Certificación del modelo y “sello” de cumplimiento.

La ley contempla un esquema en que la Agencia puede certificar e inscribir modelos de prevención
cuando la certificación se encuentre vigente, lo que permite acreditar la diligencia de la
organización y la solidez de su programa de cumplimiento. Esta certificación no solo funciona
como un resguardo frente a eventuales incumplimientos, pudiendo atenuar la responsabilidad y
reducir sanciones en caso de infracción, sino que además actúa como una señal verificable de
integridad, fortaleciendo la confianza de clientes, colaboradores y terceros en la cultura de
cumplimiento de tu organización.

Cómo empezar hoy: matriz de riesgos y hoja de ruta de cumplimiento Ley 21.719.

Si tu organización trata datos personales, lo más efectivo es comenzar con tres entregables
concretos:

1. Diagnóstico de brechas (gap analysis) Ley 21.719: Qué cumples, qué falta, y qué ajustes operativos y contractuales necesitas.
2. Inventario de tratamientos y mapa de datos: Dónde se recolectan datos, con qué finalidad, quién accede, dónde se almacenan y con quién se comparten.
3. Matriz de riesgos de datos personales: Identificación de riesgos por probabilidad e impacto (por ejemplo: accesos indebidos, finalidades incompatibles, transferencias con proveedores, falta de evidencia, retenciones excesivas) y medidas de mitigación priorizadas.

Servicios Legalfit: cumplimiento Ley 21.719, DPO y modelo de prevención.

En Legalfit implementamos compliance de datos con foco en resultado práctico: orden operativo,
evidencias y control continuo para responder a la ley y a una eventual fiscalización.

¿Qué incluye nuestro servicio?

En Legalfit implementamos compliance de datos con foco en resultado práctico: orden operativo,
evidencias y control continuo para responder a la ley y a una eventual fiscalización.

• Diagnóstico de brechas y hoja de ruta de cumplimiento Ley 21.719.
• Levantamiento de tratamientos + inventario y mapa de datos.
• Construcción de matriz de riesgos y plan de mitigación.
• Diseño e implementación de Modelo de Prevención de Infracciones (MPI).
• Preparación de Políticas y formato de contratos.
• Soporte a DPO interno o DPO externo Chile.
• Capacitación a equipos y acompañamiento en gobernanza.
• Apoyo en preparación de evidencias y documentación para fiscalización y, si aplica, procesos de certificación/registro.

Tecnología y control

Te acompañamos con un enfoque operativo para registrar acciones, mantener evidencia y
monitorear el avance del programa todo con tecnología y sistemas que facilitan la gestión del
cumplimiento.

Agenda tu diagnóstico Ley 21.719 con Legalfit

Si tu empresa maneja datos de clientes, trabajadores o prospectos, la Ley 21.719 te aplica. Agenda
un diagnóstico de cumplimiento Ley 21.719 con Legalfit.

FAQ (Preguntas frecuentes)

Si tu empresa maneja datos de clientes, trabajadores o prospectos, la Ley 21.719 te aplica. Agenda
un diagnóstico de cumplimiento Ley 21.719 con Legalfit.

1) ¿Cuándo entra en vigencia la Ley 21.719 en Chile

Entra en vigencia el 1 de diciembre de 2026.

2) ¿Qué es la Agencia de Protección de Datos Personales?
Es el organismo creado por la Ley 21.719 para supervisar el cumplimiento, administrar registros y
aplicar sanciones en caso de que empresas privadas y organismos públicos comentar infracciones
a la ley.

3) ¿Qué multas contempla la Ley 21.719?
Contempla sanciones por infracciones leves, graves y gravísimas, con topes que pueden ir desde
las 5.000 UTM y llegar hasta 20.000 según la categoría, además de reglas especiales en ciertos
casos.

4) ¿Es obligatorio tener DPO en Chile con la Ley 21.719?
La ley contempla la posibilidad de designar un Delegado de Protección de Datos (DPO) y, en el
contexto de programas/modelos de cumplimiento, el rol se vuelve parte del diseño de gobernanza
del cumplimiento.

5) ¿Qué es el Modelo de Prevención de Infracciones (MPI) en datos personales?
Es un programa de compliance orientado a prevenir infracciones, con contenidos mínimos
definidos por la ley (gobernanza, protocolos, reportes, etc.).

6) ¿Cómo preparo a mi empresa para cumplir la Ley 21.719?
Con un diagnóstico de brechas, inventario de tratamientos, matriz de riesgos y la implementación
de un plan de mitigación y modelo de prevención con evidencias.