Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

6 de mayo de 2026

Ley 19.628 vs. Ley 21.719: qué cambia y por qué importa

```html

Durante 25 años, la Ley 19.628 fue la norma que regulaba la protección de datos personales en Chile. Pero en 2023 llegó la Ley 21.719, y cambió el juego por completo. No es solo una actualización: es una reforma que pone a tu empresa ante nuevas obligaciones, multas reales y derechos que antes no existían. Si eres dueño de una PyME o gerente, esto te afecta directamente. Aquí está lo que debes saber.

1. De SEREMI a CPDT: una autoridad con colmillos reales

Antes, los reclamos por mal uso de datos llegaban a la SEREMI (Secretaría Regional Ministerial). Era como denunciar algo sin saber si alguien iba a responder. La capacidad de fiscalización era débil y las sanciones casi inexistentes.

Ahora existe la Comisión para la Protección de Datos Personales (CPDT), un órgano independiente con verdadero poder: puede investigar, fiscalizar y sancionar. Tiene presupuesto, personal dedicado y autoridad para hacer cumplir la ley. Ya no es "deberíamos", es "debemos".

2. Multas en UTM: de cero pesos a dinero real

El cambio más visible: la Ley 21.719 establece multas entre 50 y 2.000 UTM (artículo 72). Traducido: multas que van desde $2.5 millones hasta $100 millones, dependiendo de la gravedad de la infracción.

Con la Ley 19.628, prácticamente no había sanciones monetarias. Las empresas incumplían sin mayores consecuencias. Ahora, eso cambió. Una brecha de seguridad no notificada, un tratamiento sin consentimiento válido o un registro mal llevado pueden salir muy caro.

3. Nuevos derechos para las personas: portabilidad, no perfilamiento y más

La ley anterior daba derechos básicos (acceso, rectificación, supresión). La Ley 21.719 suma tres derechos críticos:

  • Derecho a la portabilidad: las personas pueden pedir que les entregues sus datos en formato estructurado para trasladarlos a otro proveedor (artículo 17).
  • Derecho a no ser objeto de decisiones automatizadas: nadie puede ser discriminado por algoritmos sin revisión humana.
  • Derecho a oposición: la gente puede rechazar el perfilamiento y usos secundarios de sus datos.

Si tu empresa procesa datos, debes estar preparada para cumplir estos derechos cuando alguien los solicite.

4. Obligatoriedad del DPO: delegado de protección de datos

¿Qué es un DPO? Un Delegado de Protección de Datos: la persona responsable de que tu empresa cumpla con la ley (artículo 53).

Para empresas medianas y grandes, o si tratas datos sensibles a escala, la designación de un DPO es obligatoria. No puede ser cualquiera: debe tener conocimiento en protección de datos. Puede ser interno o contratado externamente, pero debe existir.

5. Registro de tratamiento de datos obligatorio

Antes era recomendable documentar cómo usabas los datos. Ahora es obligatorio mantener un registro detallado de cada tratamiento (artículo 25): qué datos tratas, para qué, quién puede acceder, cuánto tiempo los guardas, con quién los compartes.

No es papeleo sin sentido: es tu defensa si la CPDT investiga. Sin registro, es muy difícil probar que cumpliste.

6. Base legal reforzada para el consentimiento

El consentimiento no es un click genérico. La Ley 21.719 exige que sea:

  • Libre: sin presión ni manipulación.
  • Específico: para cada uso, no un "aceptar todo".
  • Informado: la persona debe entender exactamente qué autoriza.
  • Inequívoco: un "sí" claro, no silencio ni casillas preseleccionadas.

Si tu sitio web todavía tiene un consentimiento vago, tienes que actualizarlo ya.

7. Datos sensibles ampliados: genéticos, biométricos, etc.

La ley antigua consideraba "sensibles" algunos datos (raciales, políticos, religiosos). La nueva lista es más larga: ahora incluye datos genéticos, biométricos, de salud mental, y antecedentes penales (artículo 4).

Los datos sensibles requieren mayor protección: consentimiento explícito, medidas de seguridad robustas, uso restringido. Si tu empresa maneja cualquiera de estos, pon atención especial.

8. Notificación de brechas de seguridad: es obligatorio comunicar

Antes, si se filtraban datos, no había obligación legal de avisar. Ahora sí. La Ley 21.719 exige que notifiques a la CPDT y a los afectados en un plazo razonable si hay una brecha que comprometa la seguridad de datos personales (artículo 27).

No hacerlo es una infracción grave. Esto significa que necesitas procesos claros: cómo detectar brechas, cómo responder rápido, cómo documentar todo.

¿Y ahora qué?

La transición no es opcional. La Ley 21.719 ya está vigente en su mayoría, y la CPDT ya está fiscalizando. Si tu empresa aún opera bajo el esquema anterior, está en riesgo.

Lo concreto: necesitas auditar cómo tratas datos hoy, documentar todo, actualizar tus políticas, capacitar a tu equipo y tener un proceso para responder a derechos de las personas.

En PrivacTech ayudamos a empresas como la tuya a mapear obligaciones, armar registros de tratamiento, gestionar consentimientos y prepararse para auditorías. Puedes hacer un análisis de cumplimiento gratis en privactech.com —sin compromiso, sin tarjeta.

```