Nueva Ley de Protección de Datos en Chile (21.719): qué debe hacer tu empresa antes del 1 de diciembre de 2026 | Dahua Legal
大华
WhatsApp
Artículo 文章 Datos y cumplimiento 数据与合规

智利新个人数据保护法(21.719):2026年12月1日前企业该做什么

Nueva Ley de Protección de Datos en Chile (21.719): qué debe hacer tu empresa antes del 1 de diciembre de 2026

贾晴雅 (Shujuan Jia) |

De empresario a empresario: hay una ley nueva que casi nadie en la comunidad tiene en el radar, y que va a obligar a prácticamente todos los negocios. Es la Ley 21.719 de protección y tratamiento de datos personales, que reemplaza el viejo y débil régimen chileno por uno moderno, inspirado en el europeo (el famoso GDPR). Si tu empresa guarda datos de clientes, trabajadores o proveedores —y todas lo hacen—, te aplica.

La buena noticia: todavía hay tiempo para prepararse. La ley entra en plena vigencia el 1 de diciembre de 2026. La mala: el que llegue sin haber ordenado su casa se expone a fiscalización y multas de una agencia que hoy no existía. Te explico qué cambia y qué hacer, con la ley a la vista.

Verificado contra la Ley 21.719 y sus disposiciones transitorias. Es un artículo informativo: la implementación concreta en tu empresa conviene hacerla con asesoría, porque varios detalles se afinan en los reglamentos que se dictarán antes de la vigencia.

1. Qué es y a quién obliga

La Ley 21.719 (publicada el 13 de diciembre de 2024) reforma a fondo la Ley 19.628 sobre protección de la vida privada y crea la Agencia de Protección de Datos Personales, un organismo nuevo con poder para fiscalizar, investigar y sancionar. Es el primer "policía de datos" independiente que tiene Chile.

Obliga a cualquiera que trate datos personales de personas naturales: nombres, RUT, teléfonos, correos, domicilios, datos de salud, hábitos de compra, etc. No importa el tamaño: un mini-market con una base de clientes por WhatsApp, una importadora con datos de proveedores, un restaurant con un sistema de reservas — todos quedan dentro.

2. La fecha clave: 1 de diciembre de 2026

La propia ley dispone que sus modificaciones entran en vigencia "el día primero del mes vigésimo cuarto posterior a la publicación". Como se publicó el 13 de diciembre de 2024, eso cae el 1 de diciembre de 2026. Hasta esa fecha corre un período de transición: es el tiempo que tienes para adecuarte sin riesgo de sanción.

Para las pymes hay un respiro adicional: la ley establece que, durante los primeros 12 meses desde la vigencia, a las empresas de menor tamaño (según la Ley 20.416) la Agencia podrá aplicarles, cuando correspondería una sanción, solo una amonestación por escrito en vez de multa. Es un colchón para ordenarse — no una excusa para no hacer nada.

3. Qué cambia en concreto para tu empresa

El nuevo régimen se apoya en principios parecidos a los europeos. En la práctica, tu empresa tendrá que poder demostrar que:

  • Tiene una base legal para tratar los datos, normalmente el consentimiento de la persona — un consentimiento informado, específico e inequívoco, no una casilla escondida.
  • Usa los datos solo para la finalidad informada. Si pediste el correo para enviar una boleta, no puedes usarlo para cualquier cosa.
  • Guarda solo lo necesario y por el tiempo necesario, con medidas de seguridad razonables para protegerlos.
  • Respeta los derechos del titular: acceso, rectificación, supresión (cancelación), oposición y el nuevo derecho a la portabilidad de sus datos. La gente podrá exigirte que le muestres, corrijas o borres lo que tienes de ella.
  • Está preparada para reaccionar ante una filtración de datos y para responder requerimientos de la Agencia.

4. Las sanciones: por qué conviene no esperar

La Ley 21.719 entrega a la nueva Agencia un régimen de sanciones administrativas que escala según la gravedad de la infracción. Para las faltas más serias, las multas pueden ser significativas — del tipo que a una pyme le duele de verdad —, además del daño reputacional de aparecer sancionado por mal manejo de datos de clientes. El monto exacto por categoría se aplica conforme al régimen de la ley y sus reglamentos; el punto práctico es simple: llegar preparado sale mucho más barato que llegar a explicar.

5. Cómo prepararse, en orden

  1. Haz un inventario: qué datos personales tienes, de quién, dónde están y para qué los usas.
  2. Revisa cómo pides el consentimiento (formularios, sitio web, fichas de cliente) y ajústalo para que sea claro e informado.
  3. Ordena la seguridad: quién accede a las bases, contraseñas, respaldos, y qué pasa si hay una filtración.
  4. Prepara una política de privacidad y un canal para que las personas ejerzan sus derechos.
  5. Revisa tus contratos con terceros que manejan datos por ti (sistemas, contadores, marketing).

Esto es parte del mismo orden que conviene tener en toda la empresa. Si quieres el panorama general de prevención, lee: 7 errores legales que le cuestan caro al empresario chino en Chile.

6. Cómo te ayuda un abogado bilingüe

Adecuarse a la Ley 21.719 no es comprar un software: es revisar cómo tu negocio captura y usa los datos, y dejar respaldo de que cumples. En Dahua Legal, la abogada Shujuan Jia te acompaña en chino mandarín o español, hace el diagnóstico de tu empresa y prepara la documentación (consentimientos, política de privacidad, contratos) para que llegues listo al 1 de diciembre de 2026. Conoce a nuestro abogado chino en Chile.

从企业主到企业主:有一部新法,社区里几乎无人留意,却将约束几乎所有生意。这就是第 21.719 号《个人数据保护与处理法》,它以一套借鉴欧洲(著名的 GDPR)的现代制度,取代智利陈旧而薄弱的旧制。只要您的公司保存客户、员工或供应商的数据——而所有公司都会——它就适用于您。

好消息是:仍有时间准备。该法于 2026 年 12 月 1 日全面生效。坏消息是:届时若尚未整顿好自家事务,便将面临一个此前并不存在的机构的稽查与罚款。下面我依法说明何处变化、该做什么。

已对照第 21.719 号法及其过渡条款核实。本文仅供参考:在贵公司的具体落地宜寻求咨询,因为若干细节将由生效前颁布的实施条例进一步明确。

一、是什么,约束谁

第 21.719 号法(2024 年 12 月 13 日公布)深度改革了第 19.628 号《私生活保护法》,并设立个人数据保护局(Agencia de Protección de Datos Personales)——一个有权稽查、调查与处罚的新机构。这是智利首个独立的"数据警察"。

它约束任何处理自然人个人数据者:姓名、RUT、电话、邮箱、住址、健康数据、消费习惯等。规模无关紧要:以 WhatsApp 维护客户名单的小超市、保存供应商数据的进口商、配有订位系统的餐厅——皆在其内。

二、关键日期:2026 年 12 月 1 日

该法本身规定,其修改"于公布之后第二十四个月的第一日"生效。鉴于其于 2024 年 12 月 13 日公布,即落在 2026 年 12 月 1 日。在此之前为过渡期:这是您可无处罚风险地完成合规的时间。

对中小企业另有缓冲:该法规定,自生效起的前 12 个月,对(依第 20.416 号法认定的)小型企业,在本应处罚时,数据保护局可仅作书面警告而不罚款。这是整顿的缓冲垫——而非什么都不做的借口。

三、对贵公司具体有何改变

新制度依托与欧洲相近的原则。实务中,贵公司须能够证明:

  • 具有处理数据的合法依据,通常是当事人的同意——一份知情、具体、明确的同意,而非藏起来的勾选框。
  • 仅将数据用于已告知的目的。若您索取邮箱是为寄送发票,便不得移作他用。
  • 仅保存必要数据、仅保存必要时长,并以合理的安全措施加以保护。
  • 尊重当事人的权利:查阅、更正、删除(注销)、反对,以及新设的数据可携权。人们将可要求您出示、更正或删除您持有的关于其本人的数据。
  • 对数据泄露已有应对准备,并能回应数据保护局的要求。

四、处罚:为何不宜拖延

第 21.719 号法赋予新设的数据保护局一套行政处罚制度,按违规严重程度递增。对较严重的过失,罚款可能相当可观——足以让一家中小企业切实感到痛——此外还有因不当处理客户数据被处罚所带来的声誉损害。各类别的具体金额依该法及其实施条例适用;实务要点很简单:有备而来,远比事后解释划算。

五、如何按部就班准备

  1. 做一份清单:您持有哪些个人数据、属于谁、存于何处、作何用途。
  2. 检查您如何取得同意(表单、网站、客户档案),并调整为清晰且知情。
  3. 整顿安全:谁可访问数据库、密码、备份,以及发生泄露时如何应对。
  4. 准备隐私政策,并设立供当事人行使权利的渠道。
  5. 审视您与代为处理数据的第三方(系统、会计、营销)的合同。

这是整个公司宜有的同一套秩序的一部分。若想了解防范全貌,请阅读:华人企业主在智利最常踩的 7 个法律雷区

六、双语律师如何协助您

适应第 21.719 号法并非购买一套软件:而是审视贵公司如何采集与使用数据,并留存合规证据。在大华律师事务所(Dahua Legal),贾晴雅律师中文或西班牙语陪伴您,为贵公司做诊断,并准备相关文件(同意书、隐私政策、合同),使您在 2026 年 12 月 1 日前准备就绪。了解我们的智利华人律师

¿Tu empresa está lista para la nueva ley de datos?

贵公司为新数据法做好准备了吗?

Habla con la abogada Shujuan Jia

与贾晴雅律师沟通

En chino mandarín o español, sin intermediarios. Diagnostiquemos tu empresa y dejémosla en regla antes del 1 de diciembre de 2026.

用中文或西班牙语,无需中间人。让我们诊断贵公司,并在 2026 年 12 月 1 日前使其合规。

Agendar videollamada 预约视频咨询 WhatsApp

Conoce en detalle nuestro servicio de Contratos y Societario. 详细了解我们的合同与公司法服务

Volver a artículos 返回文章列表