Multas de la Ley 21.719: lo que Profesionales Independientes y PYMEs deben saber antes del 1° de diciembre de 2026
- Mario Saffirio
- hace 2 horas
- 5 min de lectura
La Ley 21.719, la nueva Ley de Protección de Datos Personales de Chile, entra en plena vigencia el 1° de diciembre de 2026. Desde esa fecha, la Agencia de Protección de Datos estará facultada para fiscalizar, investigar y aplicar multas a cualquier organización que trate datos personales sin cumplir las obligaciones que impone la ley.
La pregunta no es si la ley aplica a tí o tu empresa. Si tratas datos de clientes, pacientes, empleados o proveedores — en cualquier formato — la ley te aplica, sin importar tu tamaño.
¿De cuánto son las multas?
La LPDP establece tres tramos de infracción, cada uno con un techo de multa expresado en UTM (Unidad Tributaria Mensual). El valor de la UTM a mayo de 2026 es de aproximadamente $70.000 pesos:
Gravedad | Multa máx. | Aprox. en pesos | Ejemplo típico |
Leve | Hasta 5.000 UTM | ~$350 millones | No informar al titular sus derechos ARCO |
Grave | Hasta 10.000 UTM | ~$700 millones | Tratar datos sensibles sin base legal válida |
Gravísima | Hasta 20.000 UTM | ~$1.400 millones | Impedir una fiscalización de la Agencia |
Además de la multa económica, la Agencia puede disponer la publicación de la resolución sancionatoria en medios de comunicación — un daño reputacional que ninguna empresa pequeña puede absorber fácilmente.
Importante: las multas aplican tanto a personas jurídicas como a personas naturales, incluidos los representantes legales y, en algunos casos, quienes hayan actuado como encargados del tratamiento.
¿Qué puede provocar una multa? El mapa de riesgo real
Para profesionales independientes
El profesional independiente es el segmento que más subestima su exposición. La creencia de que "soy muy pequeño para que me fiscalicen" no es una defensa legal. Estas son las situaciones de mayor riesgo:
Datos de pacientes o clientes sin base legal documentada. Un odontólogo, psicólogo, nutricionista o abogado que almacena fichas en papel o en Excel sin una política de privacidad mínima ya está en incumplimiento.
Datos de menores sin consentimiento parental formalizado. Tratar cualquier dato de personas menores de 18 años sin el consentimiento del titular o representante legal es una infracción grave y puede generar obligación de EIPD (Evaluación de Impacto).
Correos o WhatsApp con datos personales sin control de acceso. Comunicar datos de un cliente a un tercero por un canal no seguro — incluso por error — puede configurar una brecha de datos.
No responder solicitudes ARCO. Si un cliente pide acceder, rectificar o eliminar sus datos y no obtienes respuesta en el plazo legal, puedes ser sancionado independientemente del tamaño de tu cartera de clientes.
Ausencia de registro de actividades de tratamiento. No tener documentado qué datos tratas, para qué y por cuánto tiempo es en sí mismo un incumplimiento al principio de accountability.
Para PYMEs
Las PYMEs concentran el mayor volumen de riesgo porque suelen tener más actividades de tratamiento que un profesional independiente, pero sin los controles de una empresa grande. Los factores de riesgo más comunes:
Proveedores sin contrato de encargo de tratamiento. Si tu empresa usa un CRM, un sistema de mailing, un proveedor de nómina o almacenamiento cloud, y ese proveedor trata datos personales de tus clientes o empleados, la LPDP exige un contrato escrito que regule esa relación. Hoy, la mayoría de las PYMEs no tiene ese contrato.
Consentimientos inválidos en formularios web. Una casilla pre-marcada, un "al registrarte aceptas nuestros términos" genérico o una política de privacidad copiada de internet no constituyen consentimiento válido bajo la LPDP.
Datos de empleados tratados sin base legal clara. RUT, datos de salud, antecedentes, cuentas bancarias — el tratamiento de datos laborales tiene sus propias exigencias y no puede ampararse simplemente en la relación contractual.
Brechas de seguridad no registradas ni notificadas. Si ocurre un incidente — robo de un laptop, acceso no autorizado a un sistema, envío masivo erróneo de correos con datos — y no existe un protocolo documentado, la infracción se agrava por la omisión.
Datos conservados más allá del plazo justificado. Mantener datos de ex clientes o ex empleados en sistemas activos sin justificación ni política de eliminación es una infracción al principio de minimización.
Cómo reducir el riesgo de incumplimiento
El cumplimiento de la LPDP no requiere un departamento legal propio ni una inversión millonaria. Requiere orden, documentación y procesos concretos. Estas son las acciones de mayor impacto por esfuerzo invertido:
Levanta tu Registro de Actividades de Tratamiento (RAT). Documenta qué datos tratas, con qué finalidad, quién los recibe y cuánto tiempo los conservas. Es el punto de partida de todo programa de cumplimiento y la primera evidencia que pedirá la Agencia en una fiscalización.
Revisa tus bases legales por actividad. No todo tratamiento puede ampararse en consentimiento. Identifica si la base legal de cada actividad es la correcta y documéntalo en el RAT.
Actualiza tus formularios de consentimiento. Asegúrate de que sean específicos por finalidad, que no vengan pre-marcados y que el titular pueda revocar el consentimiento con la misma facilidad con que lo otorgó.
Formaliza los contratos con proveedores que tratan datos. Identifica qué proveedores actúan como encargados de tratamiento y suscribe o actualiza los contratos con cláusulas de protección de datos.
Establece un protocolo de registro de incidentes. Todo incidente debe quedar registrado internamente, independientemente de si corresponde o no notificar a la Agencia. El registro es la prueba de que actuaste diligentemente.
Habilita un canal para solicitudes ARCO. Puede ser tan simple como un correo electrónico dedicado. Lo esencial es que exista, que esté comunicado a los titulares y que haya un procedimiento para responder dentro del plazo legal.
Define plazos de eliminación por tipo de dato. Establece cuánto tiempo conservas cada categoría de datos y cuándo se eliminan o anonimizan. Inclúyelo en el RAT.
El factor atenuante más importante: las políticas implementadas antes del incidente. La LPDP reconoce explícitamente como atenuante haber implementado políticas de cumplimiento antes de que ocurra la infracción. Esto significa que una organización con un RAT actualizado, contratos de proveedores vigentes y un protocolo de incidentes activo enfrentará una sanción significativamente menor que una que no tenga ningún control documentado — aun cuando ambas cometan la misma infracción.
El cumplimiento no solo evita multas. También reduce su cuantía cuando ocurren. |
El costo de no hacer nada
Una infracción leve puede llegar a las 5.000 UTM — cerca de $350 millones de pesos. Una grave alcanza las 10.000 UTM (~$700 millones). Una gravísima llega a las 20.000 UTM (~$1.400 millones). Y si hay reincidencia, la multa puede triplicarse o aplicarse el 2% a 4% de los ingresos anuales, lo que resulte mayor.
Pero el costo real del incumplimiento no es solo la multa. Es la publicación de la sanción en el Registro Nacional de Sanciones, la pérdida de confianza de clientes y socios, y el tiempo y recursos que consume enfrentar una investigación de la Agencia.
El plazo es concreto: diciembre de 2026. Las organizaciones que comiencen hoy tienen tiempo suficiente para implementar los controles necesarios de forma ordenada. Las que esperen hasta último momento lo harán bajo presión y con mayor riesgo de error.
CumpleDatos de ARTION: cumplimiento LPDP sin necesidad de conocimiento jurídico profundo. CumpleDatos es una suite de cumplimiento desarrollada por ARTION para profesionales independientes y PYMEs chilenas. Incluye módulos para el RAT, gestión de consentimientos, registro de incidentes, derechos ARCO y evaluación de riesgos. Están disponibles tres versiones: PRO (profesionales independientes), PLUS (PYMEs) y ENTERPRISE (empresas medianas). |
Comentarios