Nueva Ley de Protección de Datos Personales en Chile: claves, obligaciones y sanciones

El pasado 13 de octubre, Cebra junto a AnguitaOsorio y CUATROi —con el apoyo de CBA— realizamos un encuentro para aterrizar el impacto de la nueva normativa de datos en Chile, que entrará en vigencia en diciembre de 2026.

Puede parecer que aún queda mucho tiempo, sin embargo, es momento de que las empresas comiencen a adoptar prácticas seguras y confiables para la adquisición y tratamiento de la información de los usuarios, y así estar en regla para cuando la ley comience a ser aplicada. 

En el webinar “Leyprotecciondatos.cl” compartió con el público claves para cumplir con estas nuevas exigencias alineadas a estándares internacionales.

¿Cuál es la nueva ley de protección de datos personales?

Es la Ley N.º 21.719, publicada en el Diario Oficial el 13 de diciembre de 2024. La norma moderniza la antigua Ley 19.628, crea la Agencia de Protección de Datos Personales (APDP) y fija una entrada en vigencia general para el 1 de diciembre de 2026 (24 meses después de su publicación).

Entre sus ejes principales:

• Crea la APDP como autoridad autónoma encargada de fiscalizar, dictar instrucciones y sancionar.
• Alinea a Chile con estándares internacionales (inspiración GDPR), incorporando principios de licitud, finalidad, minimización, transparencia, seguridad y responsabilidad proactiva (“accountability”).
• Amplía el catálogo de derechos del titular: acceso, rectificación, supresión, oposición, portabilidad y oposición a decisiones automatizadas.
• Regula transferencias internacionales mediante decisiones de adecuación, garantías apropiadas (p.ej., cláusulas contractuales) y excepciones específicas.

¿Qué dice la ley sobre la protección de datos personales? (Obligaciones clave)

La 21.719 instala un deber de seguridad y responsabilidad demostrable para cualquier organización que trate datos personales (público y privado). En concreto:

1. Responsabilidad proactiva (accountability) + evidencia
   No basta “cumplir”, hay que poder demostrar el cumplimiento ante la autoridad: políticas, controles, evidencias y trazabilidad.
   
   
2. Registro de Actividades de Tratamiento (RAT)
   Debes mantener y tener disponible un inventario vivo de tratamientos: finalidades, bases de legitimación, categorías de datos, destinatarios, conservación y medidas de seguridad.
   
   
3. Delegado de Protección de Datos (DPD/DPO)
   La función de compliance en datos recae en un DPD con independencia y competencias, designado por la máxima autoridad de la organización (puede ser interno o externo, según estructura).
   
   
4. Gestión de derechos de titulares (SLA legales)
   Procedimientos para recibir y responder (acceso, rectificación, supresión, oposición, portabilidad, decisiones automatizadas) en plazos definidos y con mecanismos de reclamo ante la Agencia.
   
   
5. Evaluaciones de Impacto en Protección de Datos (EIPD/AIPD)
   Obligatorias en tratamientos de alto riesgo (p. ej., datos sensibles, perfiles automatizados a gran escala).
   
   
6. Transferencias internacionales con garantías
   Verificar país adecuado o implementar garantías contractuales; documentar y justificar excepciones.
   
   
7. Notificación de brechas
   Ante incidentes de seguridad que afecten datos personales, debes notificar a la APDP y, de corresponder, a los titulares en plazos breves (la práctica regulatoria habla de “tan pronto como sea posible”).

¿Qué sanciona la nueva ley de protección de datos personales?

La APDP clasificará las infracciones en leves, graves y gravísimas, con multas que pueden llegar hasta 20.000 UTM, y triplicarse en caso de reincidencia. Además, se crea un Registro Nacional de Sanciones y Cumplimiento de acceso público. Ejemplos: tratar sin base de licitud; no respetar derechos de titulares; vulnerar principios; no informar brechas; tratar datos sensibles sin garantías, etc. 

¿Cómo prepararse? HubSpot trazabilidad, consentimiento y control de los datos

En el webinar Héctor Lascar, Global CEO y Founder de Cebra, destacó que HubSpot es un componente clave para cumplir con la ley y mejorar la transparencia en el uso de los datos.

Este CRM permite centralizar toda la interacción con leads y clientes en un solo lugar, garantizando trazabilidad y control sobre los datos. Su sistema de centro de preferencias, banners de consentimiento y gestión de cookies facilita el cumplimiento de los principios de transparencia y consentimiento informado exigidos por la ley.

“Hoy, quien no tenga trazabilidad de sus datos, está fuera de cumplimiento. Un CRM como HubSpot te permite saber quién dio su consentimiento, cuándo y para qué”, afirmó Héctor Láscar, cofundador de Cebra.

Además, HubSpot permite:

• Configurar formularios y flujos automatizados con opciones de consentimiento explícito.
• Segmentar contactos según el tipo de autorización otorgada.
• Restringir quién puede acceder, editar o exportar datos, reduciendo el riesgo de fugas o uso indebido.

Puntos claves del webinar Leyprotecciondatos.cl

• Queda poco tiempo para cerrar brechas: proyectos de cumplimiento (gobernanza, procesos, tecnología y cultura) no se resuelven de la noche a la mañana.
• Gobernanza y comité: involucra alta dirección + TI/Seguridad + Legal + Procesos.
• Evidencia técnica: logs, RAT, acuerdos con terceros (DPA), planes de respuesta y simulacros.
• Sin improvisación en incidentes: la coordinación legal–técnica evita errores en reportes a autoridades y titulares (coherencia y rapidez).

(Para contexto del ecosistema normativo: esta ley convive con la Ley Marco de Ciberseguridad 21.663 y la de Delitos Informáticos, elevando el estándar de seguridad y reporte). 

Revisa el webinar completo:

Quedan pocos trimestres para llegar a diciembre de 2026 con procesos, personas y tecnología alineados.

Visita el sitio https://www.leyprotecciondatos.cl/ para estar actualizado de todas las novedades sobre esta ley. Además, si quieres integrar el CRM de HubSpot, agenda tu teleasesoría gratuita. 

Preguntas frecuentes 

¿Desde cuándo rige la Ley 21.719?

Entrará en vigencia desde el  1 de diciembre de 2026. 

¿Quién fiscaliza el cumplimiento de la nueva ley?

La Agencia de Protección de Datos Personales (APDP), órgano autónomo creado por la propia ley. 

¿Cuáles son las multas máximas?

Hasta 5.000 UTM para infracciones leves, hasta 10.000 UTM para infracciones graves y hasta  20.000 UTM para infracciones gravísimas. Las reincidencias pueden elevar significativamente el monto. 

¿Hay que llevar un registro de tratamientos?

Sí. El RAT debe estar actualizado y disponible para la autoridad. 

¿Aplica si mi empresa está fuera de Chile pero vendo a chilenos?

Sí, la ley tiene aplicación extraterritorial cuando ofreces bienes/servicios a titulares en Chile o monitorizas su comportamiento. 

¿Necesito herramientas nuevas?

Más que herramientas, necesitas gobernanza, procesos y trazabilidad. Luego elige tecnología que facilite consentimiento, preferencias, trazabilidad y seguridad (p. ej., gestor de consentimientos, gestión de incidentes, contratos con terceros, etc.).