top of page
ARTION 26.png
Home
Nosotros

LPDP 21.719: Las Multas que pueden ser devastadoras para Ti o Tu Empresa (Y cómo evitarlas)

  • Foto del escritor: Mario Saffirio
    Mario Saffirio
  • 16 may
  • 5 min de lectura

El 1° de diciembre de 2026 cambia todo. 

Desde esa fecha, la Ley de Protección de Datos Personales 21.719 entra en plena vigencia en Chile, y con ella llega una Agencia fiscalizadora —Agencia de Protección de Datos Personales— con poder real para sancionar a cualquier empresa, profesional independiente o institución que no esté en regla.


Las multas no son simbólicas: pueden llegar hasta los 20.000 UTM, lo que equivale a más de $1.390 millones de pesos chilenos.


¿Tu negocio está preparado?


En este artículo te explicamos qué sanciones contempla la ley, qué tipo de infracciones las generan y, lo más importante, cómo puedes evitar que tu empresa quede expuesta.


La idea es que, contra la corriente, comiences a tomar acciones ahora, y no después de diciembre.



¿Por qué esta Ley es diferente a todo lo anterior?

Chile tenía desde 1999 la Ley 19.628 para regular el tratamiento de datos personales. El problema es que esa normativa era casi decorativa: las sanciones eran bajas, no existía un organismo fiscalizador independiente y prácticamente nadie la cumplía a cabalidad.

La Ley 21.719 cambia eso de raíz.


Está alineada con el GDPR europeo — el estándar más exigente del mundo en materia de privacidad — y crea la Agencia de Protección de Datos Personales (APDP), una institución autónoma con facultades reales de:


  • Iniciar investigaciones de oficio (sin necesidad de denuncia).

  • Aplicar multas millonarias.

  • Ordenar la suspensión de operaciones de tratamiento de datos.

  • Publicar las sanciones en un Registro Nacional público y accesible durante 5 años.


Ese último punto merece atención especial: una sanción no solo implica una multa, implica daño reputacional que puede durar años.


¿A quién aplica la Ley?

A todos. Sin excepción de tamaño ni rubro. Si tu o tu organización recopila, almacena, procesa o transfiere datos personales de clientes, trabajadores, proveedores o cualquier persona natural, estás alcanzado por la ley.


Eso incluye:

  • Profesionales independientes con agenda de pacientes o clientes.

  • PYMEs con CRM, formularios web o base de datos de clientes.

  • Empresas medianas y grandes de cualquier sector.

  • Instituciones públicas.

  • Empresas tecnológicas que procesen datos por encargo de terceros.


No hay umbral mínimo. El médico que guarda fichas en papel, el contador que tiene correos de clientes, la tienda online que registra compras: todos están obligados.


El Régimen Sancionatorio: Tres Niveles de Infracción

La ley clasifica las infracciones en tres categorías según su gravedad. Cada una tiene un tope de multa diferente:

Nivel

Multa máxima

Valor referencial CLP*

Ejemplos de infracción

Leve

5.000 UTM

~$348 millones

No informar cambios en el uso de datos · No indicar canal de contacto del responsable · Incumplir requisitos mínimos de transparencia.

Grave

10.000 UTM

~$696 millones

Tratar datos sin base de legitimación · Vulnerar el deber de confidencialidad · No notificar una brecha de seguridad en el plazo legal.

Gravísima

20.000 UTM

~$1.390 millones

Tratar datos sensibles sin autorización · Transferir datos al exterior sin garantías · Obstaculizar la fiscalización de la Agencia.

Valores referenciales basados en UTM de 2026 (~$69.600 CLP). El monto exacto depende del valor UTM al momento de la infracción.


El multiplicador que nadie menciona: La Reincidencia

Lo que muchas empresas no consideran es el efecto reincidencia. Si una organización comete una infracción grave o gravísima y vuelve a infringir, la sanción puede escalar dramáticamente:


  • La multa original puede triplicarse, o bien

  • Aplicarse el 2% al 4% de los ingresos anuales — lo que sea mayor.


Para una empresa con $1.000 millones de pesos en ingresos anuales, eso significa enfrentar entre $20 y $40 millones por infracción reincidente, incluso antes de calcular si el tope en UTM resulta más alto todavía.


Además, la Agencia de Protección de Datos Personales puede aplicar sanciones accesorias como la suspensión temporal del tratamiento de datos por hasta 30 días, lo que en muchos modelos de negocio equivale a una paralización operativa completa.


Los 5 errores más comunes que generan sanciones

Basándonos en nuestra experiencia, estos son los puntos donde más empresas quedan expuestas:


  1. No tener un inventario de datos (RAT). No saber qué datos recopilas, dónde están almacenados y quién tiene acceso es el punto de partida de todos los problemas. La Agencia fiscalizará evidencia operativa, no políticas en papel.

  2. Formularios sin declaración de privacidad. Cada formulario web, encuesta o contrato donde recopilas datos personales debe informar claramente el propósito del tratamiento.

  3. Sin contrato con proveedores que procesan tus datos. ¿Tu empresa usa un CRM en la nube, un servicio de email marketing o un sistema contable externo? Todos ellos procesan datos por tu cuenta. La ley exige contratos formales que regulen esa relación.

  4. Sin proceso de respuesta a solicitudes de titulares. Los clientes y trabajadores tienen nuevos derechos: Acceso, Rectificación, Supresión, Portabilidad y Oposición (Derechos ARCO-P). Tu empresa debe tener un procedimiento documentado para responder esas solicitudes.

  5. Sin protocolo de brechas de seguridad. Ante un incidente (hackeo, filtración, pérdida de datos), la ley exige notificar a la APDP dentro de 72 horas. Sin un protocolo previo, ese plazo es imposible de cumplir.


El riesgo va más allá de la multa

Las consecuencias del incumplimiento no son solo económicas. Considera también:


  • Registro público de sanciones durante 5 años: cualquier cliente, proveedor o socio puede consultarlo.

  • Pérdida de contratos: empresas medianas y grandes exigirán cumplimiento a sus proveedores como parte de su propio compliance.

  • Daño reputacional en redes sociales y medios si ocurre una brecha de datos.

  • Desventaja competitiva en licitaciones públicas y procesos de due diligence.


¿Cuánto tiempo queda? Menos de lo que parece

El 1° de diciembre de 2026 puede verse lejano en el calendario, pero el proceso de adecuación real toma tiempo. Hay que levantar inventarios, revisar contratos, implementar políticas, capacitar equipos y generar la evidencia operativa que la Agencia puede solicitar.


Las empresas que comiencen hoy tienen ventajas claras:


  • Más tiempo para implementar cambios sin presión.

  • Mejor posición negociadora con proveedores.

  • La posibilidad de demostrar buena fe ante la APDP, lo que opera como atenuante en caso de sanción.


La Solución: CumpleDatos de ARTION

En ARTION desarrollamos CumpleDatos, una solución diseñada específicamente para ayudar a profesionales independientes, PYMEs y empresas medianas a adecuarse a la LPDP 21.719 de manera ordenada, práctica y sin necesidad de convertirse en expertos legales.


Contamos con tres planes según el tamaño y complejidad de tu organización:


  • CumpleDatos PRO — para Profesionales Independientes y Microempresas.

  • CumpleDatos PLUS — para PYMEs.

  • CumpleDatos ENTERPRISE — para Empresas Medianas.


Cada plan incluye acompañamiento especializado, documentación adaptada a tu realidad y más de 20 años de experiencia en gestión TI aplicada a procesos de negocio reales.


El momento de actuar es ahora, antes de que la multa llegue a tu puerta.



¿Tienes dudas sobre cómo aplica la ley a tu caso específico? Contáctanos en info@artion.cl o al +56 2 2979 0949.

Comentarios

bottom of page