Ley de DatosChile
Crear cuenta
Volver al blog
Cómo cumplir la Ley 21.719 en Chile: guía paso a paso para PYMEs (2026)
20 de junio de 20269 minPor Equipo Ley de Datos Chile

Cómo cumplir la Ley 21.719 en Chile: guía paso a paso para PYMEs (2026)

La Ley 21.719 entra en vigencia plena el 1 de diciembre de 2026. Cumplir no es tan complejo si lo divides en pasos. Esta guía te muestra exactamente qué hacer, en orden, en lenguaje claro y sin jerga legal.

La Ley 21.719 entra en plena vigencia el 1 de diciembre de 2026, y a diferencia de la antigua ley de 1999, esta sí tiene capacidad real de fiscalizar y multar. Si tu empresa pide datos a sus clientes —un nombre, un correo, un RUT— estás obligado a cumplir, sin importar el tamaño de tu negocio.

La buena noticia: cumplir no es tan complejo como parece si lo divides en pasos. Esta guía te muestra exactamente qué hacer, en orden, en lenguaje que se entiende sin ser abogado.

¿No sabes por dónde empezar? Antes de leer, escanea tu sitio gratis y descubre en 30 segundos qué te falta para cumplir. Luego vuelve a esta guía con tu informe en mano.

Antes de empezar: lo que tienes que saber

La Ley 21.719 reemplaza a la antigua Ley 19.628 y crea la Agencia de Protección de Datos Personales (APDP), un organismo con poder para fiscalizar, ordenar correcciones y aplicar multas. Las sanciones llegan hasta 20.000 UTM (más de $1.400 millones) en los casos más graves.

Hay un alivio para las PYMEs: durante el primer año (diciembre 2026 a diciembre 2027), las pequeñas y medianas empresas reciben solo amonestaciones, no multas. Pero eso no es una excusa para dejarlo: la obligación empieza igual, y la ley evalúa evidencia con fecha —registros, documentos, procesos— que no se construyen de un día para otro. Lo que hagas hoy es lo que te respalda mañana.

Estos son los 7 pasos para llegar listo.

Paso 1: Haz un inventario de los datos que manejas

No puedes proteger lo que no sabes que tienes. El primer paso es listar todos los datos personales que tu empresa recolecta y qué hace con ellos.

Pregúntate, proceso por proceso: ¿qué datos pido? (nombre, email, teléfono, RUT, dirección, datos de pago), ¿para qué los uso?, ¿dónde los guardo?, ¿con quién los comparto? Por ejemplo: la base de clientes para facturar, los correos para tu newsletter, los CV de quienes postulan a un trabajo.

Este inventario es la base de todo lo demás. Sin él, los pasos siguientes no tienen sobre qué construirse.

Paso 2: Define la base legal de cada tratamiento

Aquí hay un error común: pensar que todo necesita consentimiento. No es así. La ley reconoce varias bases de licitud, y elegir la correcta para cada caso es clave.

Las principales son el consentimiento (la persona acepta libremente), la ejecución de un contrato (necesitas el dato para cumplir un servicio, como la dirección para despachar un pedido), la obligación legal (una ley te exige tratar el dato, como registros tributarios o laborales) y el interés legítimo (un fin legítimo del negocio que no pasa por encima de los derechos de la persona).

Elegir mal la base legal invalida todo el tratamiento, así que este paso conviene hacerlo con cuidado y, en casos complejos, con apoyo legal. Un dato importante: el consentimiento tácito ya no vale. Tiene que ser libre, informado, específico e inequívoco; no sirve la casilla pre-marcada ni el "si sigues navegando, aceptas".

Paso 3: Crea o actualiza tu política de privacidad

Tu política de privacidad debe informar con claridad quién es el responsable de los datos, qué datos recolectas, para qué, con qué base legal, con quién los compartes, por cuánto tiempo los guardas y cuáles son los derechos de las personas.

Una política copiada de internet casi nunca cumple, porque no refleja tu negocio ni está alineada con la ley chilena. Tiene que ser específica de lo que tu empresa realmente hace.

Puedes generar tu política de privacidad personalizada respondiendo unas preguntas simples sobre tu negocio, conforme a la Ley 21.719, sin esperar semanas ni pagar miles por un abogado.

Paso 4: Arregla el consentimiento en tu sitio y formularios

Revisa cada punto donde recoges datos: formularios de contacto, suscripción al newsletter, registro de clientes, checkout. En cada uno necesitas un mecanismo de consentimiento que sea claro, específico y fácil de revocar.

Esto incluye el banner de cookies de tu sitio. Si usas Google Analytics, Meta Pixel u otras herramientas de seguimiento, esas cargan cookies que requieren consentimiento antes de activarse. El banner no es decorativo: debe efectivamente impedir que esos scripts corran hasta que la persona acepte.

La forma de implementarlo depende de tu plataforma (WordPress, Shopify y otras tienen métodos distintos), pero el principio es el mismo: informar, pedir permiso, y respetar la respuesta.

Paso 5: Arma tu Registro de Actividades de Tratamiento (RAT)

El RAT es un documento obligatorio que la Agencia puede pedirte en cualquier momento. Es un registro formal de cada actividad de tratamiento, que incluye la finalidad, la base legal, las categorías de datos, los destinatarios, los plazos de conservación y las medidas de seguridad aplicadas.

Piénsalo como la versión formal y ordenada del inventario del Paso 1. No es algo que escribes una vez y olvidas: hay que mantenerlo actualizado a medida que tu negocio cambia. Es una de las piezas de "evidencia datada" que más mira la fiscalización.

Paso 6: Prepara los procedimientos de derechos y de brechas

Hay dos procesos que tienes que tener listos antes de necesitarlos, porque ambos corren contra el reloj.

El primero es responder a los derechos de los titulares (acceso, rectificación, cancelación, oposición y portabilidad). Cualquier persona puede pedirte ver, corregir o borrar sus datos, y debes responder en plazos acotados. Necesitas un canal claro para recibir estas solicitudes y un procedimiento para responderlas a tiempo.

El segundo es el protocolo de brechas. Si sufres una vulneración de seguridad que afecte datos personales, la ley exige notificar a la Agencia dentro de las 72 horas desde que tienes conocimiento del incidente. Si la brecha implica un riesgo alto, también debes avisar a las personas afectadas. Setenta y dos horas es muy poco tiempo para improvisar: el procedimiento tiene que estar escrito y probado de antemano.

Paso 7: Revisa tus contratos con proveedores (DPA)

Casi toda PYME comparte datos con terceros sin pensarlo: el CRM, la plataforma de email marketing, el servicio de nómina, el hosting. Cada proveedor que procesa datos en tu nombre necesita un contrato de tratamiento de datos (DPA) que establezca sus obligaciones, las medidas de seguridad y qué pasa si hay una brecha.

Si tus contratos actuales no tienen estas cláusulas, están fuera de cumplimiento. Y ojo con un detalle frecuente: guardar datos de tus clientes en herramientas como un CRM o un servicio de correo cuyos servidores están en el extranjero cuenta como transferencia internacional de datos, que tiene sus propias reglas.

¿Necesito un DPO (Delegado de Protección de Datos)?

El DPO es la persona responsable de supervisar el cumplimiento dentro de la organización. No todas las PYMEs están obligadas a tenerlo, pero si tratas datos sensibles, operas en sectores como salud, finanzas o educación, o manejas grandes volúmenes de datos, probablemente lo necesites.

Para una PYME, la opción de un DPO externo suele ser más viable económicamente que contratar a alguien de planta. Incluso cuando no es obligatorio, tener un responsable claro de protección de datos puede ser la diferencia entre el cumplimiento ordenado y una multa.

Resumen: tu checklist para cumplir la Ley 21.719

Para llegar listo al 1 de diciembre de 2026, esto es lo que tu PYME necesita tener: un inventario de los datos que maneja; la base legal definida para cada tratamiento; una política de privacidad actualizada y específica; consentimiento correcto en formularios y un banner de cookies que funcione; el Registro de Actividades de Tratamiento; procedimientos listos para responder derechos y notificar brechas en 72 horas; y contratos (DPA) con todos los proveedores que tocan tus datos.

Parece mucho, pero se hace por partes. Lo importante es empezar ahora, porque la evidencia de cumplimiento se construye con tiempo, no de un día para otro.

Empieza hoy, en 30 segundos

La forma más rápida de saber en qué estás parado es revisar tu propio sitio. Escanea tu sitio web gratis con Ley de Datos Chile y obtén un informe inmediato de qué cumples y qué te falta, con recomendaciones concretas para cada punto. Es gratis y no necesitas instalar nada.

Este artículo es de carácter informativo y orientativo, y no constituye asesoría legal. Para el cumplimiento formal de la Ley 21.719 en tu caso particular, consulta con un abogado especialista en protección de datos.

¿Tu PYME ya cumple con la Ley 21.719?

Escanea tu sitio gratis y descubre qué te falta en menos de 30 segundos.

Escanear mi sitio
Ley de Datos Chile

© 2026 Ley de Datos Chile. Hecho en Chile.

Descargo legal: Este informe es orientativo y no constituye asesoría legal. El análisis se basa en señales técnicas detectables públicamente en tu sitio web y no reemplaza la revisión de un abogado especialista en protección de datos. Para cumplimiento formal de la Ley 21.719 consulta con un profesional. Lee también nuestra política de privacidad.