En otro artículo te explicamos qué es la Ley 21.719 y por qué te aplica. Ese texto responde el qué y el por qué. Este responde el cómo: qué tienes que hacer, en qué orden, y cómo saber si vas bien.
La fecha que importa es una sola: la ley entra en vigencia el 1 de diciembre de 2026. No es una sugerencia ni una meta opcional. Desde ese día la Agencia de Protección de Datos Personales puede fiscalizar y multar. Y aunque suene lejano, adecuarse desde cero toma meses de trabajo real, no un fin de semana.
La buena noticia: no necesitas un equipo de abogados para empezar. Necesitas método. Esta guía divide el camino en 7 fases, de lo más urgente a lo más avanzado.
Antes de empezar: tres datos que conviene tener claros
Mucho de lo que circula sobre la 21.719 mezcla la ley chilena con el GDPR europeo. Para que tu plan se apoye en el texto real y no en mitos, tres precisiones:
- Las multas son altas. El artículo 35 fija: infracciones leves hasta 5.000 UTM, graves hasta 10.000 UTM y gravísimas hasta 20.000 UTM. En reincidencia la multa puede triplicarse, y para empresas grandes puede llegar al 2% o 4% de los ingresos anuales. Para dimensionarlo: a valores de 2026, 20.000 UTM equivalen a alrededor de $1.400 millones.
- El “plazo de 72 horas” no es de esta ley. La Ley 21.719 (artículo 14 sexies) obliga a reportar la brecha a la Agencia de Protección de Datos “por los medios más expeditos posibles y sin dilaciones indebidas”, sin un número fijo de horas. El famoso 72h viene de otra ley chilena, la 21.663 de ciberseguridad, que obliga a reportar incidentes al CSIRT Nacional con un esquema de 3 horas (alerta temprana) y 72 horas (reporte completo). Si tu empresa queda bajo ambas leyes, una brecha puede gatillar las dos obligaciones, ante dos organismos distintos, en paralelo. En cualquier caso: prepárate para notificar rápido.
- El Delegado de Protección de Datos es parte de un modelo voluntario, no una obligación universal. El artículo 49 crea el “modelo de prevención de infracciones”, que incluye designar un Delegado de Protección de Datos (DPD). Adoptarlo es voluntario, pero certificarlo te da un atenuante real frente a la Agencia. En una pyme, el dueño o un responsable interno puede asumir el rol.
Con eso claro, vamos a la hoja de ruta.
La hoja de ruta en 7 fases
Fase 1. Levanta el inventario de datos
No puedes proteger lo que no sabes que tienes. El primer paso, y el más revelador, es mapear todos los datos personales que tu empresa trata. Para cada conjunto de datos responde: qué datos son, de quién, para qué los usas, dónde viven (CRM, planilla, ERP, formularios, correo), quién tiene acceso y cuánto tiempo los conservas.
El resultado es tu Registro de Actividades de Tratamiento. Es la base de todo lo que viene: sin este mapa, las fases siguientes son adivinanza. Casi siempre aparecen sorpresas, como bases de datos olvidadas, planillas con RUTs en carpetas compartidas o backups que nadie recuerda haber configurado.
Fase 2. Define una base de licitud para cada tratamiento
La ley ya no permite guardar datos “porque sí”. Cada tratamiento necesita un fundamento legal válido. Los principales son: consentimiento del titular (libre, específico, inequívoco e informado), la ejecución de un contrato, el cumplimiento de una obligación legal, o un interés legítimo bien justificado.
Revisa tu inventario de la Fase 1 y asigna a cada tratamiento su base. Si para alguno no encuentras ninguna, tienes un problema que resolver antes de diciembre: o consigues una base válida, o dejas de tratar esos datos.
Fase 3. Ordena la transparencia y los avisos de privacidad
El principio de transparencia obliga a informar al titular, antes de recolectar sus datos, qué recolectas, para qué, por cuánto tiempo y con quién los compartes. Tu política de privacidad genérica de hace cinco años no alcanza.
En concreto: actualiza la política de privacidad del sitio, revisa cada formulario donde pides datos (un “para mejorar tu experiencia” no es informar) y asegúrate de que el consentimiento, cuando esa sea tu base, se obtenga con una acción afirmativa clara, no con una casilla premarcada.
Fase 4. Habilita los derechos de los titulares
La ley da a las personas seis derechos exigibles: acceso, rectificación, supresión, oposición, portabilidad y bloqueo. Y tú estás obligado a responderlos. Eso significa tener un canal claro (un correo, un formulario) y un procedimiento interno para atender cada solicitud dentro de plazo.
Pregúntate hoy: si un cliente te escribe pidiendo todos los datos que tienes de él, o exigiendo que los borres, ¿sabrías cómo responder, en cuánto tiempo y quién lo haría? Si la respuesta es no, esta fase es para ti.
Fase 5. Asegura los datos y prepara el plan de brechas
El principio de seguridad exige proteger los datos con medidas técnicas y organizativas acordes al riesgo. Acá la ciberseguridad deja de ser opcional: control de accesos, cifrado donde corresponda, backups probados, actualizaciones al día y registros de quién accede a qué.
Y, crucial, prepara por anticipado tu plan de respuesta a brechas. Cuando ocurra un incidente (no si, cuando), vas a tener que notificar a la Agencia sin dilaciones indebidas y, si afecta datos sensibles o de menores, también a las personas. Improvisar eso en caliente, en medio de un incidente, es la receta para incumplir. Define ahora quién decide, a quién se avisa y con qué texto.
Fase 6. Revisa a tus proveedores y encargados
Si usas un CRM, un ERP, una plataforma de email marketing o cualquier servicio que procese datos de tus clientes por ti, ese proveedor es un “encargado” en términos de la ley. Y tú sigues siendo responsable de esos datos.
Necesitas que el contrato con cada proveedor incluya cláusulas de protección de datos: qué pueden hacer con la información, qué medidas de seguridad mantienen y qué pasa cuando termina la relación. Haz la lista de todos tus proveedores que tocan datos personales y revisa, uno por uno, qué dice el contrato.
Fase 7. Formaliza el gobierno: modelo de prevención y DPD
Las primeras seis fases resuelven lo operativo. La séptima lo sostiene en el tiempo. Designa a un responsable interno del tema (el Delegado de Protección de Datos), aunque sea a tiempo parcial, y considera adoptar el modelo de prevención de infracciones del artículo 49.
Es voluntario, pero certificarlo ante la Agencia funciona como atenuante si algún día enfrentas una fiscalización: demuestra que actuaste con diligencia. Para una empresa que maneja volúmenes relevantes de datos, es una inversión que se paga sola.
Los errores que más caro salen
- Tratar el cumplimiento como un trámite legal de última hora. Buena parte del trabajo es técnico y operativo, no de redacción de documentos. Empezar en noviembre de 2026 es llegar tarde.
- Copiar una política de privacidad de internet. Tiene que reflejar lo que tu empresa realmente hace con los datos, que es justo lo que mapeaste en la Fase 1.
- Olvidar los datos en lugares informales. Las planillas en Drive, los correos con adjuntos y los grupos de WhatsApp con datos de clientes también cuentan.
- No probar el plan de brechas. Un plan que nadie ensayó no es un plan, es un documento.
Por dónde partir esta semana
Si tuvieras que hacer una sola cosa hoy, sería la Fase 1: el inventario. Todo lo demás se construye sobre él, y casi siempre destapa los riesgos más urgentes.
Para ayudarte a ejecutar, armamos un checklist imprimible con los controles concretos de las 7 fases. Puedes descargarlo gratis acá:
Descargar el Checklist de Cumplimiento Ley 21.719 →
Y como la Fase 5 (seguridad) es donde la ciberseguridad se vuelve obligación legal, conviene saber en qué estado está tu sitio hoy. FreeScan revisa gratis y sin registro la postura de seguridad de tu web y detecta configuraciones que podrían exponer datos personales de tus usuarios.
Esta guía es material informativo y no constituye asesoría legal. Para casos específicos, especialmente si tratas datos sensibles o en gran volumen, conviene revisar tu situación con un especialista. Si quieres apoyo en la parte técnica del cumplimiento, conversemos.
