El 1 de diciembre de 2026 entra en plena vigencia la Ley 21.719, la reforma de protección de datos personales más profunda que Chile ha tenido en casi tres décadas. Reemplaza a la antigua Ley 19.628 y, por primera vez, crea una autoridad con poder real para fiscalizar y sancionar.

La parte que importa: las multas escalan según la gravedad. Hasta 5.000 UTM las infracciones leves, hasta 10.000 UTM las graves y hasta 20.000 UTM las gravísimas. Y para las empresas que no son pyme, la reincidencia en infracciones graves o gravísimas puede llegar al 2% o al 4% de los ingresos anuales por ventas y servicios, respectivamente. Eso no es una cifra de papeleo. Es una cifra que un directorio mira.

Y la mayoría de las empresas todavía no hace nada.

Si esperas que esto lo resuelva el abogado con un par de documentos, vas a llegar tarde y mal. Te explico por qué.

La ley no fiscaliza políticas. Fiscaliza evidencia.

Acá está el cambio de fondo que casi nadie está comunicando bien. La nueva Agencia de Protección de Datos Personales tiene facultades reales para fiscalizar, investigar, dictar instrucciones y sancionar. No va a pedirte que muestres una política de privacidad bonita. Va a pedirte que demuestres, con evidencia operativa, qué dato tienes, dónde está, quién accedió a él y bajo qué control.

Logs. Inventarios. Registros con fecha. Trazabilidad real.

Eso no se redacta. Eso se construye en los sistemas que tu empresa ya tiene funcionando hoy. Y ahí es donde un documento legal, por bien hecho que esté, no te salva.

Las tres obligaciones que son técnicas, no jurídicas

La 21.719 aterriza en tu infraestructura en al menos tres frentes que ningún contrato resuelve:

  1. Cifrado y medidas de seguridad de los datos personales. La ley impone el deber de adoptar medidas de seguridad técnicas y organizativas apropiadas al riesgo, según el estado de la técnica. No nombra una receta cerrada, pero las medidas que la ley y su lógica esperan son explícitas: cifrado de los datos —en reposo y en tránsito—, seudonimización y control de acceso, sobre todo para datos sensibles como RUT, datos financieros o de salud. No es algo que el área legal pueda implementar: es trabajo de ingeniería sobre el esquema de datos.
  2. Trazabilidad y registro de tratamientos. Tienes que poder reconstruir qué se hizo con cada dato, cuándo y por quién. Eso implica logging estructurado, retención ordenada y la capacidad de responder una solicitud de un titular —acceso, rectificación, eliminación, oposición, portabilidad— en los plazos que fija la ley: como regla general, hasta 30 días para responder una solicitud, y apenas 2 días hábiles para el bloqueo temporal de los datos cuando el titular lo pide.
  3. Notificación de brechas. Si hay una filtración, tienes la obligación de notificar a la Agencia sin dilación indebida y, cuando sea posible, dentro de las 72 horas de tomar conocimiento de la brecha. Y si la filtración implica un alto riesgo para los derechos de los titulares, también tienes que avisarles a ellos. Para cumplir eso necesitas, primero, ser capaz de detectar la brecha —monitoreo— y segundo, tener el procedimiento listo antes de que ocurra. 72 horas no se improvisan el día de la filtración.

Ninguna de estas tres se cumple con un PDF. Las tres viven en el código, la base de datos y la operación.

Por qué el perfil que esta ley necesita es raro

El problema de fondo es de perfiles. El abogado entiende la norma pero no toca el sistema. El equipo técnico toca el sistema pero no interpreta la norma. Y la 21.719 cae justo en la grieta entre los dos: es una obligación legal que solo se cumple con decisiones técnicas correctas.

La pregunta que tu empresa tiene que poder responder no es "¿tenemos las políticas?". Es "¿podemos demostrar que cumplimos, con la evidencia que la Agencia va a pedir?". Y para responder eso necesitas a alguien que entienda las dos lenguas: la del derecho y la del sistema.

Yo vivo en esa grieta, y por eso escribo esto. Llevo años construyendo los sistemas donde esta ley aterriza: bases de datos, agentes, dashboards, productos que tratan datos personales todos los días. No leo la norma desde afuera del sistema, ni toco el sistema sin entender la obligación legal. Hago las dos cosas. Esa intersección —derecho y construcción— es justo la que la 21.719 exige, y casi nadie la reúne en una sola persona.

Si te interesa el ángulo puramente normativo —derechos de los titulares, bases de licitud, sanciones—, escribí el lado legal de esta misma ley para ARS Abogados.

Qué hacer en los próximos seis meses

Queda poco tiempo, pero alcanza si partes ahora. Un plan simple en tres tramos:

Días 1–30 — Saber qué tienes. Inventario de datos personales: qué datos, en qué sistemas, quién accede. No puedes proteger lo que no sabes que tienes. Este diagnóstico es la base de todo lo demás.

Días 31–60 — Cerrar las brechas críticas. Cifrado donde falte, control de accesos, y los procedimientos de respuesta a titulares y de notificación de brechas. Priorizas por riesgo: primero los datos sensibles y los sistemas más expuestos.

Días 61–90 — Probar que funciona. Simular una solicitud de un titular de punta a punta. Simular la detección de una brecha. Si el sistema responde, estás en pie. Si no, sabes exactamente qué corregir antes de diciembre.

Por dónde empezar

Si no sabes en cuál de esos tres tramos está tu empresa hoy, ese es justamente el primer paso: un diagnóstico que te diga dónde estás parado y qué te falta antes de que la ley empiece a fiscalizar.

Si quieres revisar dónde está tu empresa frente a la 21.719, escríbeme.