a Go.
EN Conversemos
· Sixto Valdés

Ley 21.719: cómo saber si tu sistema cumple

Una guía práctica para evaluar si tu software actual, o el que te están construyendo, puede cumplir la nueva ley chilena de protección de datos antes de diciembre de 2026. Con checklist de 10 preguntas.

Ley 21.719ComplianceChileArquitecturaDatos personales

El 1 de diciembre de 2026 entra en plena vigencia la Ley 21.719, que reemplaza el régimen anterior de protección de datos personales en Chile y crea la Agencia de Protección de Datos Personales (APDP). Para muchas empresas medianas el debate sobre la ley se ha quedado en lo abstracto: principios, derechos, sanciones. Faltan herramientas concretas para decidir.

Este artículo es lo contrario. Es una guía para evaluar si el sistema que tu empresa usa hoy, o el que están construyendo, puede cumplir lo que la ley exige. No vende un plugin. No vende una consultoría. Da preguntas y criterios para que la decisión la tomen tú y tu equipo.

Qué cambia con la nueva ley

La Ley 21.719 no parte de cero. Modifica sustancialmente la Ley 19.628 de 1999, reemplazando su nombre por “Protección de los Datos Personales” y reformando la mayor parte de su articulado. La diferencia importa: la 19.628 nunca tuvo una autoridad sancionatoria administrativa, por eso las reclamaciones de los últimos veinte años se tramitaron por la vía judicial civil o ante el SERNAC bajo la Ley del Consumidor.

La 21.719 cambia eso. Crea la APDP, una corporación autónoma de derecho público con personalidad jurídica propia, independencia funcional del Ejecutivo y atribuciones reales: dicta normas, fiscaliza, recibe reclamaciones, inicia investigaciones de oficio, impone sanciones, ordena medidas correctivas y publica un Registro Nacional de Sanciones y Cumplimiento.

Qué exige la ley a tu sistema

La ley te obliga a poder demostrar cinco cosas en cualquier momento que la APDP las pida.

§ Cinco demostraciones obligatorias
  1. 01 Quién consintió qué, y cuándo. Evidencia de consentimiento libre, informado, específico e inequívoco. Para datos sensibles, explícito.
  2. 02 Bajo qué base legal tratas cada dato. El consentimiento no es la única base: también obligación legal, contrato, interés legítimo, defensa de derechos.
  3. 03 Que puedes responder los derechos del titular en plazo. Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Bloqueo. Tu sistema debe ejecutar estas solicitudes en plazo.
  4. 04 Qué tratas, para qué, y por cuánto tiempo. Registro de Actividades de Tratamiento (RAT) actualizado.
  5. 05 Que sabes cuándo hubo una brecha y a quién notificar. Sin demora injustificada a la APDP cuando haya riesgo razonable.
§ Observación importante

La ley se aplica al tratamiento de datos personales, no al tamaño de tu empresa. Un blog con formulario de comentarios ya trata datos personales. Una tienda con newsletter también. Pensar “somos muy chicos para que nos fiscalicen” es la posición más cara que puede tomar tu empresa.

Las seis capacidades técnicas

§ Mapa técnico

Si tu sistema no puede hacer una de estas seis cosas, hay un problema.

01

Consentimientos

Quién consintió qué y cuándo. Granular y revocable.

02

Mapa ARCO+

Acceso, rectificación, supresión, oposición, portabilidad, bloqueo.

03

Registro de tratamientos

RAT vivo: qué datos, para qué, cuánto tiempo.

04

Logs inmutables

Trazabilidad que el operador no puede modificar.

05

Retención automática

Eliminación o anonimización al vencer plazo.

06

Brechas

Detectar y notificar a la APDP sin demora injustificada.

Cómo se ve cada capacidad

§ Autodiagnóstico

Cumple vs. no cumple.

Cuando está bien
Cuando falta
01 Consentimientos
Panel con histórico por persona y revocación que propaga a todos los módulos.
Excel en el computador de alguien. O peor: 'firmaron los términos al registrarse'.
02 Mapa ARCO+
Ubicar todos los datos de una persona en minutos. Flujo automatizado por sistema.
Alguien entra a 5 sistemas, copia a Word, borra de algunos, olvida backups.
03 RAT
Inventario vivo accesible a legal y TI. Se actualiza con cada cambio.
'Tenemos política de privacidad en la web.' Eso no es un RAT.
04 Logs
Append-only, hash chain o write-once. El administrador no puede editar.
Logs editables. O rotación cada 7 días sin archivo.
05 Retención
Políticas configuradas por categoría. Rutinas automáticas de eliminación.
'Guardamos todo por si acaso.'
06 Brechas
Detección automática. Flujo de escalación. Plantilla APDP lista.
Te enteras porque un cliente vio sus datos en pastebin.

Ejemplos honestos en sistemas que construimos

En TCultura, una plataforma de eventos culturales, cada inscripción separa el consentimiento por finalidad: una casilla para participar (base contrato), otra para invitaciones futuras (consentimiento), otra para fotos públicas del evento (consentimiento explícito). El asistente puede revocar cualquiera sin tener que mandar un correo.

En Bioaudita, una plataforma de certificación orgánica, la trazabilidad de quién accede a qué dato es parte del modelo de datos desde el primer día. Un productor puede solicitar su historial completo y recibirlo en formato exportable.

En Sign DataNubi, una plataforma de firma electrónica, cada firma queda encadenada criptográficamente a la anterior mediante hash chain. Modificar una sola firma anterior rompe toda la cadena. Esto no se hizo por la Ley 21.719, se hizo por la Ley 19.799. Pero el patrón sirve igual: el operador del sistema no puede manipular la evidencia.

El compliance Ley 21.719 no es un plugin. Es arquitectura.

Checklist de auditoría rápida

§ Diez preguntas para tu equipo

Imprime esta lista y respóndela con tu equipo de TI.

  1. 01 Tu sistema tiene un panel donde se ve quién consintió qué y cuándo.
  2. 02 Puedes ubicar todos los datos de una persona específica en menos de 10 minutos.
  3. 03 Existe un Registro de Actividades de Tratamiento (RAT) actualizado y accesible.
  4. 04 Hay logs auditables de acceso a datos que el administrador no puede modificar.
  5. 05 Tienes políticas de retención configuradas y automatizadas por categoría.
  6. 06 Si hay una brecha de seguridad, sabes en cuánto tiempo notificarías a la APDP y a quién.
  7. 07 Sabes a qué proveedores externos llegan datos de tus clientes y firmaste DPA con cada uno.
  8. 08 Tu sistema bloquea automáticamente tratamientos cuando el titular revocó consentimiento.
  9. 09 Puedes responder una solicitud ARCO+ en el plazo legal sin pedir desarrollo nuevo.
  10. 10 Si se va la persona que más sabe del sistema, alguien más puede demostrar cumplimiento ante la APDP.
§ Interpretación

9-10 sí: cumplimiento probable. Quedan ajustes finos.

6-8 sí: cumplimiento parcial. Hay riesgo. Prioriza los “no”.

5 o menos: incumplimiento probable. Hay 7 meses. Plan urgente.

Responder “sí” no es lo mismo que cumplir. La APDP fiscaliza con evidencia.

Si te están construyendo software ahora: qué exigir

§ Cláusulas y entregables
  1. 01 Modelo de datos que separe personales de operacionales.
  2. 02 API o panel de gestión de consentimientos.
  3. 03 API de derechos ARCO+.
  4. 04 Logs inmutables exportables.
  5. 05 Documento RAT entregable.
  6. 06 DPA firmado con cada subprocesador identificado.
  7. 07 Procedimiento documentado de notificación de brechas.
  8. 08 Pruebas de penetración o auditoría de seguridad antes del go-live.
  9. 09 Capacitación al equipo cliente.
  10. 10 Garantía de actualización ante cambios regulatorios.

Si no puedes migrar antes de diciembre

Tres caminos pragmáticos:

Estrategia A: capa de procesos manuales blindados — registro físico de consentimientos, planilla de tratamientos activos, email único para ARCO+, reuniones trimestrales de auditoría interna documentadas. No es elegante, pero es defendible.

Estrategia B: parche técnico mínimo viable — plugin o módulo de consentimientos conectado al sistema, microservicio ARCO+, logger de auditoría externo.

Estrategia C: migración planificada — 6 a 12 meses bien hechos. Empezar por el módulo con más datos personales.

Cinco banderas rojas en tu proveedor SaaS

§ Señales para no firmar
  1. 01 No tiene DPA listo o se resiste a firmarlo.
  2. 02 No te puede decir en qué país residen tus datos.
  3. 03 No tiene plazo definido para notificarte de brechas.
  4. 04 No te entrega los datos en formato exportable si te vas.
  5. 05 No tiene logs de acceso disponibles.
§ Casos que ya ocurrieron

Las filtraciones ya están ocurriendo en Chile. En mayo de 2024, la CMF y el SERNAC oficiaron al Banco Santander tras una filtración con clientes en Chile. En noviembre de 2025, el SERNAC inició procedimiento compensatorio contra una empresa automotriz por la filtración de aproximadamente 392.000 registros detectados en la deep web.

Ninguno derivó en multa bajo Ley 21.719 (no estaba vigente), pero ilustran que el riesgo es real.

Recursos oficiales

La diferencia entre cumplir y no cumplir es de meses. La diferencia entre cumplir bien y cumplir mal es de arquitectura.

Si tu equipo está evaluando construir o reformar un sistema con cumplimiento integrado desde la arquitectura, conversemos. Veinte minutos, sin compromiso.

§ FAQ

Preguntas frecuentes

¿La Ley 21.719 aplica a mi PyME?

Sí. La ley se aplica al tratamiento de datos personales, no al tamaño de tu empresa. Un blog con formulario de comentarios o una tienda con newsletter ya trata datos personales. La obligación es la misma para empresas grandes y pequeñas.

¿Cuál es la multa máxima por incumplir la Ley 21.719?

Hasta 20.000 UTM (aproximadamente USD 1.6M al cambio actual) para infracciones gravísimas. En caso de reincidencia puede aplicarse el triple de la multa original o el 4% de los ingresos anuales en Chile, lo que resulte mayor.

Si ya cumplo con GDPR europeo, ¿estoy cubierto en Chile?

No automáticamente. Cumplir GDPR es buena base, pero la Ley 21.719 tiene exigencias específicas: avisos de privacidad adaptados, contratos con proveedores en Chile (DPA bajo ley chilena), interpretación local del interés legítimo y normativa de adecuación que aún emite la APDP.

¿Cuándo entra en vigor la Ley 21.719?

El 1 de diciembre de 2026 entra en plena vigencia. Antes de esa fecha existe un período de transición, pero los sistemas deberían estar listos antes para no llegar con incumplimiento desde el día uno.

¿Qué es la APDP?

Es la Agencia de Protección de Datos Personales que crea la Ley 21.719. Una corporación autónoma de derecho público con personalidad jurídica propia. Tiene atribuciones reales: dicta normas, fiscaliza, recibe reclamaciones, abre investigaciones, impone sanciones y publica el Registro Nacional de Sanciones.

¿Qué tengo que pedirle a mi proveedor SaaS para cumplir la ley?

DPA firmado, residencia de datos documentada, plazo definido para notificar brechas, exportabilidad completa de datos al terminar el contrato y acceso a logs de auditoría. Si el proveedor no puede ofrecer estos cinco puntos, hay riesgo concreto.