La Ley 21.719 no exige lo mismo a todas las empresas. Descubre qué tipo de datos manejas, cuántas bases de datos tienes y qué nivel de adecuación necesitas antes de diciembre de 2026.
Si llevas un tiempo escuchando hablar de la nueva Ley 21.719 de Protección de Datos Personales y todavía no tienes del todo claro qué te exige, o si tienes una empresa y no has escuchado nunca de ella, este blog es para ti. Porque si bien es una ley que aplica a todas las empresas en Chile, no todas tienen las mismas obligaciones. Y entender esa diferencia es exactamente el primer paso para saber qué debes hacer.
No es lo mismo adecuar una tienda online que vende ropa, a una clínica estética o a un jardín infantil. Y esa distinción es fundamental.
La Ley 21.719 aplica a toda persona natural o jurídica que trate datos personales en el ejercicio de actividades comerciales, profesionales o empresariales en Chile. Eso incluye, entre muchos otros:
La pregunta entonces no es ¿me aplica?, porque en casi todos los casos la respuesta es sí. La pregunta correcta es ¿qué nivel de adecuación necesito? Y eso depende, principalmente, de qué tipo de datos estás tratando.
La ley distingue entre distintos tipos de datos, y esa distinción determina cuánto más
exigente será el cumplimiento que se te pedirá. Aquí van los más relevantes:
DATOS PERSONALES BÁSICOS:
Son los que identifican a una persona de manera directa: nombre, RUT, domicilio, correo electrónico, teléfono. Son los más comunes y los que, en general, todos los emprendimientos tienen.
DATOS SENSIBLES:
Aquí el estándar sube considerablemente. La ley define como sensibles aquellos datos que revelan origen racial o étnico, situación socioeconómica, convicciones religiosas o filosóficas, afiliación sindical o política, datos de salud, datos biométricos, orientación sexual o identidad de género, entre otros. Si tu empresa maneja cualquiera de estos, tienes obligaciones adicionales muy concretas.
Algunos ejemplos que quizás no te habías planteado: una empresa de RRHH que almacena licencias médicas, un gimnasio con ficha de salud de sus clientes, o cualquier plataforma de fidelización con perfil de comportamiento avanzado.
DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES (NNA):
Son datos que reciben un tratamiento especialmente protegido por la ley. Jardines infantiles, colegios, plataformas educativas o cualquier servicio orientado a menores de edad deben cumplir con un régimen reforzado. No hay margen de error aquí.
DATOS MASIVOS O DE ALTO VOLUMEN:
Si tu empresa trata datos de un número muy elevado de personas, ya sea porque tienes una gran base de clientes, haces campañas digitales a gran escala, o gestionas datos de terceros por encargo, el nivel de riesgo y las medidas exigidas también aumentan.
Uno de los hallazgos más frecuentes cuando hacemos un diagnóstico es este: las empresas no saben exactamente cuántas bases de datos tienen ni por cuántos canales les están entrando datos. Y eso no es un error, es simplemente que nadie los había llevado a mapearlo.
Cuando hablamos de «bases de datos» no nos referimos solo al CRM. Hablamos de todos los registros donde se almacenan datos personales, sin importar el formato. Para que te hagas una idea, los datos pueden ingresar a tu empresa por:
FORMULARIOS DEL SITIO WEB (contacto, cotización, suscripción a newsletter).
REDES SOCIALES (mensajes directos, leads de Meta Ads o Google Ads).
CORREO ELECTRÓNICO (consultas de clientes, proveedores, candidatos a empleos).
WHATSAPP BUSINESS (comunicación directa con clientes o prospectos).
CONTRATOS Y DOCUMENTOS FÍSICOS O DIGITALES (de clientes, empleados, proveedores).
SISTEMAS DE PAGO O FACTURACIÓN (datos del comprador, RUT, dirección de cobro).
SOFTWARE DE GESTIÓN (CRM, ERP, sistema de reservas, plataforma e-commerce).
PLANILLAS INTERNAS (de RRHH, de clientes, de seguimiento comercial).
Cuando lo ves así, es fácil entender por qué muchas empresas tienen más bases de datos de las que creen. Y por qué el primer paso real de cualquier adecuación a la Ley 21.719 es hacer un mapeo completo del ciclo del dato: dónde entra, quién lo accede, para qué se usa, dónde se guarda y cuándo se elimina.
Sin entrar en toda la tecnicidad, las obligaciones que afectan a la mayoría de las empresas chilenas son, entre otras contar con Política de Privacidad actualizada, clara y accesible para los titulares de los datos, consentimiento informado libre, previo, específico e informado antes de tratar datos personales, revisión de contratos con proveedores que accedan o traten datos por cuenta de tu empres, abordaremos esta pregunta en un nuevo blog.
La Agencia de Protección de Datos comenzará a fiscalizar en diciembre de 2026. Las sanciones van desde multas en UTM, que pueden ser considerables según el tamaño de la empresa y la gravedad de la infracción, hasta la suspensión de actividades y el daño reputacional que genera un caso público de incumplimiento.
No es alarmismo: es la realidad que ya viven empresas en Europa bajo el GDPR, y Chile está tomando ese mismo camino. La diferencia es que todavía estás a tiempo de adecuarte bien.
El primer paso siempre es el mismo: saber con qué datos trabajas realmente. Un diagnóstico del ciclo del dato te permite entender tu nivel de riesgo y, desde ahí, definir qué modelo de adecuación a la Ley 21.719 necesitas. No más, no menos.
En CZ Abogados hacemos exactamente eso: partimos entendiendo tu negocio antes de proponer cualquier solución. Porque la adecuación tiene que ser proporcional a tu realidad, no un traje genérico que le sirve a todos por igual.
También te puede interesar: Checklist de cumplimiento PDP: lo que tu empresa debe tener antes de diciembre de 2026
