La cuenta regresiva comenzó para las empresas.

El 1 de diciembre entrará en vigencia en Chile la nueva Ley de Protección de Datos Personales (Ley
21.719), una normativa que moderniza el marco regulatorio y establece obligaciones claras para
todas las empresas que recolecten, utilicen o almacenen datos personales.

La ley aplica a organizaciones de cualquier tamaño o rubro, desde startups y pymes hasta grandes
compañías, siempre que traten información de:

• clientes.
• usuarios de sitios web.
• trabajadores.
• proveedores.
• leads comerciales.

Además, la normativa incorpora un régimen sancionatorio relevante, con multas que pueden
alcanzar las 20.000 UTM o hasta el 4% de las ventas anuales de la empresa dependiendo de la
gravedad de la infracción.

Por esta razón, las empresas deben comenzar a preparar sus procesos y documentación antes de
la entrada en vigor de la ley.

La buena noticia es que cumplir no necesariamente implica implementar complejos programas de
compliance. En muchos casos, basta con establecer una base de cumplimiento compuesta por
ciertas medidas organizativas y documentales.

A continuación, revisamos un checklist con 10 elementos fundamentales que toda empresa
debería tener implementados antes del 1 de diciembre.

1. Política de protección de datos personales

Toda empresa debería contar con una política interna de protección de datos, donde se
establezca:

• qué datos personales se recopilan
• con qué finalidad se utilizan
• quién es responsable de su tratamiento
• cómo se resguardan

Este documento sirve como marco interno de actuación para la empresa y demuestra que existe
una gestión formal de los datos personales.

2. Política de privacidad en el sitio web

Si la empresa tiene página web, es fundamental incorporar una política de privacidad visible y
actualizada, que informe a los usuarios:

• qué datos se recopilan
• para qué se utilizan
• cómo pueden ejercer sus derechos
• quién es el responsable del tratamiento

Este documento debe estar claramente accesible desde formularios, registros o secciones de
contacto.

3. Mecanismos claros de consentimiento

Cuando una empresa recopila datos personales a través de su sitio web o formularios, debe
obtener el consentimiento del titular de forma clara y verificable.

Esto normalmente se implementa mediante:

• checkbox de aceptación de la política de privacidad
• consentimiento para comunicaciones comerciales
• autorización para tratamiento de datos

Sin este consentimiento, el tratamiento de datos puede considerarse ilegítimo según la nueva
normativa.

4. Términos y condiciones o contratos actualizados

Las empresas que ofrecen servicios o venden productos deberían revisar sus:

• contratos de prestación de servicios
• formularios de registro
• términos y condiciones

Estos documentos deben incorporar cláusulas relacionadas con el tratamiento de datos
personales, especialmente cuando se recopila información de clientes o usuarios.

5. Identificación de los datos personales que maneja la empresa

Uno de los pasos más importantes para cumplir con la ley es identificar qué datos personales
maneja la organización.

Por ejemplo:

• datos de clientes
• datos de trabajadores
• datos de proveedores
• datos obtenidos a través de formularios web

Esto permite establecer cómo se almacenan, quién tiene acceso a ellos y con qué finalidad se
utilizan.

6. Registro o inventario de tratamientos de datos

Una buena práctica recomendada por la normativa es mantener un registro de las actividades de
tratamiento de datos personales.

Este registro permite documentar:

• qué datos se tratan
• con qué finalidad
• qué área de la empresa los utiliza
• cuánto tiempo se conservan

Tener esta información organizada facilita la gestión interna y permite demostrar cumplimiento
ante eventuales fiscalizaciones.

7. Designación de un responsable de protección de datos

Las empresas deberían designar una persona responsable de supervisar el tratamiento de datos
personales dentro de la organización.

Esta figura puede encargarse de:

• coordinar políticas internas
• responder solicitudes de titulares
• supervisar el cumplimiento de la normativa
• actuar como punto de contacto interno

En algunas organizaciones este rol puede corresponder a un Delegado de Protección de Datos
(DPO).

8. Procedimiento y canal para atender solicitudes de titulares

La nueva ley reconoce diversos derechos para las personas respecto de sus datos personales,
como:

• acceso a sus datos
• rectificación de información incorrecta
• eliminación de datos
• oposición al tratamiento

Por esta razón, las empresas deben contar con un procedimiento y canal claro para recibir y
responder estas solicitudes.

Esto puede incluir:

• un canal de contacto específico, como lo sería un correo electrónico.
• formularios de solicitud
• plazos internos de respuesta

9. Capacitación básica del equipo

El cumplimiento de la normativa también depende del comportamiento de las personas dentro de
la organización.

Por ello es recomendable implementar capacitaciones básicas para los equipos, especialmente en
áreas como:

• ventas
• marketing
• recursos humanos
• atención al cliente

Estas capacitaciones ayudan a prevenir errores comunes en el manejo de información personal.

10. Medidas básicas de seguridad de la información

Finalmente, las empresas deben adoptar medidas razonables para proteger los datos personales
que manejan.

Entre las acciones más simples que pueden implementarse se encuentran:

• control de accesos a bases de datos
• uso de contraseñas seguras
• almacenamiento adecuado de información
• restricciones en el uso de datos fuera de la empresa

Estas medidas ayudan a reducir el riesgo de filtraciones o accesos indebidos a la información.

Adaptarse a la nueva ley es más simple de lo que parece.

Aunque la entrada en vigencia de la Ley 21.719 programada para el 1 de diciembre de 2026 marca
un cambio importante en la regulación de datos personales en Chile, muchas empresas pueden
comenzar a cumplir implementando estas medidas básicas.

No es necesario partir con modelos de cumplimiento complejos o estructuras de compliance
avanzadas. En la mayoría de los casos, el primer paso consiste en ordenar la gestión de datos,
establecer políticas claras y definir responsables dentro de la organización.

Legalfit: planes simples para cumplir con la nueva ley de protección de datos

En Legalfit desarrollamos planes de cumplimiento diseñados para empresas de distintos tamaños y
rubros, con el objetivo de ayudarlas a adaptarse a la nueva normativa de forma práctica y
eficiente.

Nuestros planes incluyen la implementación de:

• políticas de protección de datos
• políticas de privacidad para sitios web
• adecuación de formularios y consentimientos
• revisión de contratos y términos
• organización de la gestión de datos
• capacitación básica para equipos

Todo esto sin necesidad de implementar modelos de prevención complejos, sino estableciendo
una base sólida de cumplimiento conforme a la nueva ley.

De esta forma, las empresas pueden cumplir con la normativa, reducir riesgos regulatorios y
gestionar adecuadamente la información personal que manejan.

Si tu empresa necesita prepararse para la entrada en vigor de la nueva ley, Legalfit puede
acompañarte en todo el proceso de adaptación. Agenda con uno de nuestros abogados.

La nueva normativa ya tiene fecha: ¿está tu empresa preparada?

A partir del 1 de diciembre de este año, comenzará a regir en Chile la Ley 21.719 sobre Protección
de Datos Personales, una normativa que moderniza completamente el régimen de tratamiento de
datos en el país y establece obligaciones mucho más estrictas para las empresas y organizaciones
que recolectan o utilizan información personal.

Esta nueva regulación introduce estándares más exigentes en materia de privacidad, transparencia
y responsabilidad en el uso de datos. Además, incorpora facultades fiscalizadoras y sancionatorias
para la autoridad competente (la nueva Agencia de Protección de Datos), lo que significa que el
incumplimiento puede traducirse en multas significativas que pueden alcanzar hasta las 20.000
UTM o el equivalente al 4% de las ventas anuales de la empresa.

Por esta razón, todas las organizaciones que manejen datos personales, sin importar su tamaño o
rubro, sean estas públicas o privadas, deberán adecuar sus procesos y documentos antes de la
entrada en vigencia de la ley.

Sin embargo, existe un punto clave que muchas empresas desconocen: adaptarse a la ley no
necesariamente implica implementar complejos modelos de cumplimiento o matrices de riesgo
sofisticadas.

Cumplir con la ley no requiere un modelo de cumplimiento complejo.

Ante la entrada en vigor de la nueva ley de Protección de Datos Personales, ley N° 21.719, algunas
empresas creen que deben implementar sistemas complejos de compliance, con certificaciones
formales o grandes estructuras internas.

En la práctica, la ley exige que las organizaciones adopten medidas concretas para gestionar
correctamente los datos personales, pero no obliga a desarrollar modelos de prevención
altamente sofisticados para comenzar a cumplir.

Lo esencial es contar con una base mínima de cumplimiento, es decir, un conjunto de medidas
organizacionales y documentales que permitan:

• Gestionar adecuadamente los datos personales de usuarios, clientes, trabajadores, proveedores, entre otros.
• Informar correctamente a los titulares.
• Obtener consentimientos válidos.
• Proteger la información recopilada.
• Establecer responsables dentro de la organización.

En otras palabras, el cumplimiento puede construirse a partir de acciones simples, claras y
ejecutables, que luego pueden perfeccionarse con el tiempo.

Medidas básicas que toda empresa debería implementar.

Para ajustarse a la nueva ley, las empresas pueden comenzar con un conjunto de medidas
fundamentales, que constituyen la base de una correcta gestión de datos personales.

1. Política de Protección de Datos Personales.

Toda organización debería contar con una política interna de protección de datos, que establezca:

• qué datos se recopilan
• para qué se utilizan
• quién es responsable de su gestión
• cómo se resguardan

Este documento permite ordenar internamente el tratamiento de la información y demostrar
cumplimiento frente a eventuales fiscalizaciones.

2. Política de tratamiento de datos en el sitio web.

Las empresas que operan con páginas web deben incorporar una política de privacidad visible, que
informe a los usuarios:

• qué datos se recopilan
• con qué finalidad
• cómo pueden ejercer sus derechos
• quién es el responsable del tratamiento

Este documento es uno de los elementos más observados en auditorías y revisiones regulatorias.

3. Implementación de mecanismos de consentimiento (checkbox)

Cuando los datos se recolectan a través de formularios web, suscripciones, registros o contacto
comercial, es necesario incorporar mecanismos claros de consentimiento, por ejemplo:

• checkbox de aceptación de política de privacidad
• consentimiento para envío de comunicaciones
• autorización para tratamiento de datos
• Control sobre plataformas de gestión de datos como CRM

Esto permite demostrar que el titular entregó voluntariamente sus datos y poder así acreditarlo
ante algún proceso de fiscalización que pueda realizar la nueva Agencia de Protección de Datos.

4. Contratos o términos y condiciones adecuados

Las empresas deben revisar sus contratos de prestación de servicios, formularios de registro y
términos y condiciones, asegurando que incluyan cláusulas relativas al tratamiento de datos
personales.

Esto es especialmente relevante cuando:

• se recopilan datos de clientes
• se gestionan plataformas digitales
• se utilizan proveedores que procesan datos como CRM o plataformas digitales.

5. Identificación y gestión de los datos que maneja la empresa

Un paso clave es identificar qué datos personales maneja la organización, por ejemplo:

• datos de clientes
• datos de trabajadores
• datos de proveedores
• información recopilada en el sitio web

Esta identificación permite definir cómo se almacenan, quién accede a ellos y por cuánto tiempo
se conservan.

6. Capacitación básica del equipo

Muchas infracciones en materia de datos personales ocurren por desconocimiento del personal.
Por ello, es recomendable realizar capacitaciones breves para los equipos, donde se expliquen:

• buenas prácticas en el manejo de datos
• uso adecuado de información personal
• obligaciones legales básicas

Esto reduce significativamente el riesgo de incumplimientos. Adicionalmente, se puede incorporar
dentro de los contratos de trabajo, así como del Reglamento Interno de Orden, Higiene y
Seguridad aspecto de cumplimiento normativo tendientes a ajustar la normativa de protección de
datos al desarrollo diario de los trabajadores de la empresa.

7. Designación de un responsable de protección de datos (DPO)

Aunque no todas las empresas estarán obligadas a contar con un Data Protection Officer (DPO)
formal, es altamente recomendable designar a una persona responsable del cumplimiento en
materia de datos.

Esta figura puede encargarse de:

• supervisar el tratamiento de datos
• responder solicitudes de titulares
• coordinar políticas internas
• gestionar eventuales incidentes

8. Procedimientos básicos para solicitudes de titulares y canal de gestión de datos

La nueva normativa reconoce derechos para las personas respecto de sus datos personales
(acceso, rectificación, eliminación, entre otros).
Por ello, las empresas deberían contar con un procedimiento simple para recibir y responder
solicitudes de titulares.

Adaptarse a la ley es más simple de lo que parece.

La entrada en vigor de la Ley 21.719 representa un cambio importante en la regulación de datos
personales en Chile. Sin embargo, cumplir con la normativa no necesariamente requiere
implementar estructuras complejas ni modelos avanzados de compliance desde el primer día.
Muchas empresas pueden comenzar implementando medidas básicas y ordenando sus procesos,
lo que les permitirá operar conforme a la ley y reducir riesgos regulatorios.

Legalfit: planes simples para cumplir con la nueva ley de protección de datos

En Legalfit ayudamos a empresas de distintos rubros a adaptarse a la nueva Ley de Protección de
Datos de forma práctica y eficiente.

Nuestros planes están diseñados para que las organizaciones puedan:

• implementar las políticas y documentos exigidos por la ley
• ajustar sus sitios web y procesos de recolección de datos
• capacitar a sus equipos
• establecer responsables internos
• organizar la gestión de datos personales

Todo esto sin necesidad de implementar modelos de prevención complejos o costosos.

Nuestro objetivo es ser un aliado estratégico para que las empresas cumplan con la normativa de
forma clara, ordenada y sostenible.

Si tu empresa necesita prepararse para la entrada en vigencia de la ley, Legalfit puede
acompañarte en todo el proceso de adaptación. Contáctanos para asesorarte completamente
gratis.

El 13 de diciembre de 2024 se publicó en el Diario Oficial la Ley N° 21.719, que regula la protección
y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales. La ley
entra en vigencia el 1 de diciembre de 2026, por lo que todo tipo de empresas y organismos
públicos que tratan datos deben usar este periodo para implementar un plan de cumplimiento
real.

¿Qué exige la Ley 21.719 a empresas y organismos públicos?

La Ley 21.719 obliga a revisar cómo tu organización recopila, usa, almacena, comparte y protege
datos personales, y a implementar estándares de gobernanza y seguridad que permitan acreditar
cumplimiento ante fiscalización.

Tratamiento de datos personales: el punto de partida.

En la práctica, “tratamiento” abarca actividades cotidianas: bases de clientes y prospectos, RR.HH.,
proveedores, cámaras de seguridad, plataformas de marketing/CRM, atención al cliente, analítica
y almacenamiento en la nube.

Agencia de Protección de Datos Personales: fiscalización, reclamos y sanciones.

Uno de los cambios más relevantes es la creación de la Agencia de Protección de Datos Personales,
con atribuciones para supervisar el cumplimiento, conocer reclamos de titulares y aplicar multas
en caso de infracciones.

Registro Nacional de Sanciones y Cumplimiento (público).

La ley contempla, además, un Registro Nacional de Sanciones y Cumplimiento, de carácter público,
donde pueden constar sanciones y también modelos certificados cuando corresponda. Esto hace
que el cumplimiento tenga impacto no solo legal, sino también reputacional.

Multas por incumplimiento: por qué el compliance de datos es urgente.

La Ley 21.719 clasifica infracciones en leves, graves y gravísimas, con sanciones que pueden ir
desde las 5.000 UTM y llegar hasta 20.000 UTM (según la categoría). Además, en ciertos casos de
reincidencia para empresas que no son de menor tamaño, las multas pueden considerar
porcentajes de ingresos anuales que pueden llegar hasta el 4% de dichos ingresos.

No esperar hasta el último día.

Desde Legalfit recomendamos no esperar hasta el próximo 1 de diciembre para comenzar a
evaluar la implementación de medidas. La ley comienza a regir a partir de esa fecha, lo que en la
práctica quiere decir que, si tu empresa infringe la ley, será multada. El cumplimiento requiere
evidencias y controles, no solo documentos.

Derechos de los titulares: más solicitudes y más trazabilidad interna.

La ley refuerza derechos de las personas respecto de sus datos, incluyendo portabilidad, lo que
obliga a las organizaciones a contar con procedimientos y canales claros para recibir, gestionar y
responder solicitudes dentro de plazos y con evidencias.

Modelo de Prevención de Infracciones (MPI): la mejor estrategia para cumplir la Ley 21.719.

La Ley 21.719 contempla un enfoque de cumplimiento (compliance de datos) a través de un
Modelo de Prevención de Infracciones (MPI) o programa de cumplimiento, con contenidos
mínimos que permiten ordenar la operación y prevenir infracciones.

¿Qué incluye un MPI en protección de datos?

A nivel práctico, un modelo sólido suele considerar:

• Gobernanza y roles (responsables internos, reporte, controles)
• Delegado de Protección de Datos (DPO): la ley contempla la posibilidad de designarlo; y en el marco de un programa/modelo, aparece como elemento del diseño de cumplimiento.
• Inventario de tratamientos y mapeo de flujos de datos
• Matriz de riesgos (probabilidad vs. impacto) y plan de mitigación
• Políticas y procedimientos: seguridad, acceso, retención/eliminación, gestión de incidentes, respuesta a titulares
• Gestión de terceros (encargados/proveedores) y controles contractuales
• Capacitación y cultura de cumplimiento
• Evidencias y trazabilidad para fiscalización

Certificación del modelo y “sello” de cumplimiento.

La ley contempla un esquema en que la Agencia puede certificar e inscribir modelos de prevención
cuando la certificación se encuentre vigente, lo que permite acreditar la diligencia de la
organización y la solidez de su programa de cumplimiento. Esta certificación no solo funciona
como un resguardo frente a eventuales incumplimientos, pudiendo atenuar la responsabilidad y
reducir sanciones en caso de infracción, sino que además actúa como una señal verificable de
integridad, fortaleciendo la confianza de clientes, colaboradores y terceros en la cultura de
cumplimiento de tu organización.

Cómo empezar hoy: matriz de riesgos y hoja de ruta de cumplimiento Ley 21.719.

Si tu organización trata datos personales, lo más efectivo es comenzar con tres entregables
concretos:

1. Diagnóstico de brechas (gap analysis) Ley 21.719: Qué cumples, qué falta, y qué ajustes operativos y contractuales necesitas.
2. Inventario de tratamientos y mapa de datos: Dónde se recolectan datos, con qué finalidad, quién accede, dónde se almacenan y con quién se comparten.
3. Matriz de riesgos de datos personales: Identificación de riesgos por probabilidad e impacto (por ejemplo: accesos indebidos, finalidades incompatibles, transferencias con proveedores, falta de evidencia, retenciones excesivas) y medidas de mitigación priorizadas.

Servicios Legalfit: cumplimiento Ley 21.719, DPO y modelo de prevención.

En Legalfit implementamos compliance de datos con foco en resultado práctico: orden operativo,
evidencias y control continuo para responder a la ley y a una eventual fiscalización.

¿Qué incluye nuestro servicio?

En Legalfit implementamos compliance de datos con foco en resultado práctico: orden operativo,
evidencias y control continuo para responder a la ley y a una eventual fiscalización.

• Diagnóstico de brechas y hoja de ruta de cumplimiento Ley 21.719.
• Levantamiento de tratamientos + inventario y mapa de datos.
• Construcción de matriz de riesgos y plan de mitigación.
• Diseño e implementación de Modelo de Prevención de Infracciones (MPI).
• Preparación de Políticas y formato de contratos.
• Soporte a DPO interno o DPO externo Chile.
• Capacitación a equipos y acompañamiento en gobernanza.
• Apoyo en preparación de evidencias y documentación para fiscalización y, si aplica, procesos de certificación/registro.

Tecnología y control

Te acompañamos con un enfoque operativo para registrar acciones, mantener evidencia y
monitorear el avance del programa todo con tecnología y sistemas que facilitan la gestión del
cumplimiento.

Agenda tu diagnóstico Ley 21.719 con Legalfit

Si tu empresa maneja datos de clientes, trabajadores o prospectos, la Ley 21.719 te aplica. Agenda
un diagnóstico de cumplimiento Ley 21.719 con Legalfit.

FAQ (Preguntas frecuentes)

Si tu empresa maneja datos de clientes, trabajadores o prospectos, la Ley 21.719 te aplica. Agenda
un diagnóstico de cumplimiento Ley 21.719 con Legalfit.

1) ¿Cuándo entra en vigencia la Ley 21.719 en Chile

Entra en vigencia el 1 de diciembre de 2026.

2) ¿Qué es la Agencia de Protección de Datos Personales?
Es el organismo creado por la Ley 21.719 para supervisar el cumplimiento, administrar registros y
aplicar sanciones en caso de que empresas privadas y organismos públicos comentar infracciones
a la ley.

3) ¿Qué multas contempla la Ley 21.719?
Contempla sanciones por infracciones leves, graves y gravísimas, con topes que pueden ir desde
las 5.000 UTM y llegar hasta 20.000 según la categoría, además de reglas especiales en ciertos
casos.

4) ¿Es obligatorio tener DPO en Chile con la Ley 21.719?
La ley contempla la posibilidad de designar un Delegado de Protección de Datos (DPO) y, en el
contexto de programas/modelos de cumplimiento, el rol se vuelve parte del diseño de gobernanza
del cumplimiento.

5) ¿Qué es el Modelo de Prevención de Infracciones (MPI) en datos personales?
Es un programa de compliance orientado a prevenir infracciones, con contenidos mínimos
definidos por la ley (gobernanza, protocolos, reportes, etc.).

6) ¿Cómo preparo a mi empresa para cumplir la Ley 21.719?
Con un diagnóstico de brechas, inventario de tratamientos, matriz de riesgos y la implementación
de un plan de mitigación y modelo de prevención con evidencias.