logo Lawwwing
Inicia sesión Empieza Gratis

La nueva era de la protección de datos en Chile: ¿Qué cambia con la Ley 21.719?

El día 1 de diciembre de 2026 entrará en vigor en Chile la nueva normativa de protección de datos personales. Esta ley tiene como principal objetivo regular las condiciones en las que se desarrolla la protección de los datos personales, asegurando que todo tratamiento respete sus derechos y libertades.  ¿Quiénes están sujetos a esta normativa? […]
Legal Lawwwing
29 de junio de 2026

El día 1 de diciembre de 2026 entrará en vigor en Chile la nueva normativa de protección de datos personales. Esta ley tiene como principal objetivo regular las condiciones en las que se desarrolla la protección de los datos personales, asegurando que todo tratamiento respete sus derechos y libertades. 

¿Quiénes están sujetos a esta normativa?

El cumplimiento de la nueva ley se exige a cualquier persona natural o jurídica que realice tratamiento de datos y a los órganos públicos en el ejercicio de sus funciones. 

Además, la ley chilena no solo se aplica cuando el responsable o mandatario del tratamiento están establecidos o constituidos en territorio nacional, sino que también se aplica: 

  • Cuando el responsable o mandatario no están establecidos en el territorio nacional pero sus operaciones de tratamiento de datos personales están destinadas a ofrecer bienes o servicios a titulares en Chile o a monitorear el comportamiento de titulares que se encuentran en el territorio nacional.
  • Cuando el mandatario, con independencia de su lugar de establecimiento o constitución, realice las operaciones de tratamiento de datos personales a nombre de un responsable establecido o constituido en el territorio nacional.

¿Cuáles son las principales obligaciones para las empresas y e-commerce?

  1. Obtener un consentimiento libre, informado y explícito 
    El consentimiento se convierte en una de las principales bases que legitiman el tratamiento de datos personales. La nueva ley establece que este debe ser libre, informado, específico e inequívoco, y debe manifestarse mediante una declaración o una acción afirmativa clara por parte del titular de los datos. No son válidos los consentimientos implícitos, las casillas premarcadas o cualquier mecanismo que no permita demostrar una verdadera voluntad del usuario.

    En la práctica, esto implica que los sitios web deben revisar sus formularios de contacto, registros de usuarios, procesos de compra y suscripción a newsletters para asegurarse de que informan claramente:
  • Qué datos personales se recopilan.
  • Para qué finalidad serán utilizados.
  • Durante cuánto tiempo se conservarán.
  • Si serán comunicados o compartidos con terceros.
  • Cómo puede el usuario retirar su consentimiento.

    Además, la ley reconoce el derecho de las personas a revocar su consentimiento en cualquier momento y sin necesidad de justificar su decisión. Las empresas deben facilitar mecanismos sencillos, gratuitos y accesibles para que esta retirada pueda efectuarse con la misma facilidad con la que se otorgó inicialmente.
  1. Garantizar los derechos de los titulares
    Uno de los avances más importantes de la Ley 21.719 es el fortalecimiento del control que las personas tienen sobre sus derechos personales. De esta manera, la norma reconoce los derechos de acceso, rectificación, supresión, oposición, portabilitat, bloqueig. 
  • Derecho de acceso
    El usuario puede solicitar información sobre si una empresa está tratando sus datos personales y conocer cuál es la información que este posee, cuál es su origen, con qué finalidad se utiliza, durante cuánto tiempo será conservada y con quién ha sido compartida. Esto obliga a los e-commerce a disponer de procedimientos internos que permitan localizar y entregar esta información de manera ágil.

  • Derecho de rectificación
    Los titulares pueden solicitar la corrección de datos inexactos, desactualizados o incompletos. Por ejemplo, un cliente puede exigir que un e-commerce modifique una dirección de envío errónea o actualice sus datos de contacto. 

  • Derecho de supresión 
    Permite solicitar la eliminación de datos personales en el caso que ya no sean necesarios para la finalidad con la que fueron recopilados en un primer momento, cuando se haya retirado el consentimiento, cuando el tratamiento se haya realizado de forma ilícita. 

  • Derecho de oposición
    Las personas pueden oponerse a determinados tratamientos de sus datos, especialmente cuando estos se utilicen con fines de marketing directo, publicidad personalizada o elaboración de perfiles comerciales.

  • Derecho a la portabilidad
    La normativa permite solicitar una copia de los datos personales en un formato electrónico estructurado, facilitando así su transmisión a otro proveedor cuando sea técnicamente posible. 

  • Derecho de bloqueo
    Este derecho permite al titular solicitar la suspensión temporal de determinadas operaciones de tratamiento de sus datos personales mientras se resuelve una solicitud de rectificación, supresión u oposición. Este derecho es especialmente relevante en situaciones en las que existe una controversia sobre la exactitud de los datos o la legitimidad de su tratamiento, ya que impide que el responsable continúe utilizando esa información hasta que la solicitud del titular haya sido resuelta.

    Para atender estos derechos, las empresas deben disponer de canales claros de comunicación y responder a las solicitudes en un plazo de 30 días naturales prorrogables hasta 30 días más, que empiezan a contar desde la fecha de ingreso de la solicitud. Sin embargo, encontramos una particularidad cuando junto con la solicitud de rectificación, supresión u oposición, se pide el bloqueo temporal de sus datos o del tratamiento, y es que, la empresa dispone de 2 días hábiles para resolver la solicitud de bloqueo temporal. Mientras no exista una resolución sobre esta solicitud, los datos afectados no pueden seguir siendo tratados. Si el responsable deniega total o parcialmente la solicitud, el titular puede presentar una reclamación ante la Agencia de Protección de Datos Personales. 

  1. Obligaciones de transparencia e información 
    El principio de transparencia exige que el responsable entregue al titular toda la información necesaria para el ejercicio de sus derechos, manteniendo sus políticas y prácticas de tratamiento permanentemente accesibles de forma precisa, clara y gratuita. 

    El responsable debe mantener en su página web a disposición de los usuarios la siguiente información mínima: 
  • la política de tratamiento de datos personales que haya adoptado
  • la individualización del responsable de datos y su representante de datos
  • domicilio, dirección de correo electrónico, el formulario de contacto o la identificación del medio tecnológico equivalente de uso común y fácil acceso mediante el cual se le notifican las solicitudes
  • las categorías, clases o tipos de datos que trata, los destinatarios y las finalidades de los tratamientos
  • la política y medidas de seguridad adoptadas para la protección de las bases de datos personales
  • derecho de solicitud de los derechos ARSOP
  • derecho de recurrir ante la Agencia 
  • la posible transferencia de datos personales a un tercer país u organización internacional
  • el período de conservación 
  • fuente de la cual provienen los datos 
  • existencia del derecho a retirar el consentimiento en cualquier momento
  • existencia de decisiones automatizadas, incluida la elaboración de perfiles. 

  1. Obligaciones de seguridad
    El principio de seguridad obliga al responsable a garantizar estándares adecuados de protección contra el tratamiento no autorizado, pérdida, filtración o destrucción accidental de los datos. 

    Esto se puede conseguir mediante: 
  • medidas técnicas y organizativas que pueden ser la seudonimización o el cifrado de datos
  • evaluaciones continuas mediante un proceso de verificación y valoración regular de la eficacia de las medidas de seguridad adoptadas
  • protección desde el diseño y por defecto, por lo tanto, las medidas de seguridad deben aplicarse desde antes de iniciar el tratamiento y garantizar que, por defecto, solo se procesen los datos estrictamente necesarios para la finalidad específica.

    Ante una falta de seguridad que represente un riesgo para los derechos de los titulares, el responsable debe informar a la Agencia de Protección de Datos Personales. De acuerdo con la Ley 21719, no establece un plazo concreto para reportar vulneraciones de las medidas de seguridad y solo se menciona que el responsable debe informar a la Agencia “por los medios más expeditos posibles y sin dilaciones indebidas”.

La Agencia de Protección de Datos Personales (APDP) y sus facultades

Otra novedad que lleva consigo la Ley 21.719 es la creación de la Agencia de Protección de Datos Personales. La APDP es una corporación autónoma de derecho público independiente que tiene la misión de velar por la efectiva protección de los derechos y los datos personales de las personas. 

De entre todas las facultades, se pueden distinguir las siguientes:

  1. Potestad regulatoria e interpretativa
  • Tiene la atribución de emitir normas generales y obligatorias para regular las operaciones de tratamiento de datos, previa consulta pública en su sitio web. 
  • Puede interpretar las disposiciones legales, reglamentarias e instrucciones que ella misma dicte en materia de protección de datos. 
  • Puede proponer al Presidente de la República o al Congreso Nacional nuevas leyes o reglamentos que perfeccionen la regulación. 

  1. Fiscalización y supervisión 
  • Requerimiento de información. Puede exigir a cualquier responsable de datos la entrega de documentos, libros o antecedentes necesarios para sus labores de fiscalización.
  • Puede determinar infracciones y citar a declarar cualquier persona con conocimientos relevantes sobre los hechos. 
  • Debe certificar y supervisar los modelos de prevención de infracciones y programas de compliance que las empresas adopten voluntariamente. 

  1. Potestad sancionadora y de tutela
  • Aplica las multas correspondientes sobre las personas naturales o jurídicas que infrinjan esta ley.
  • Resuelve las solicitudes y reclamaciones presentadas por los titulares de datos cuando sus derechos son vulnerados
  • En los casos de infracciones gravísimas se puede ordenar la suspensión total o parcial de las operaciones de tratamiento de datos hasta 30 días. 

  1. Gestión de registros y transparencia
  • Administra el Registro Nacional de Sanciones y Cumplimiento donde se consignan las sanciones impuestas y los responsables que cuentan con modelos de prevención certificados. 
  • Determina qué países proporcionan los niveles adecuados de protección para poder permitir transferencias de datos. 

¿Qué tiene que tener mi web para cumplir con la Ley 21.719?

Para asegurar que tu web cumpla con los estándares de la Ley 21719 es necesario implementar cambios estructurales en la interfaz y en los procesos internos de la gestión de datos. 

  1. Consentimiento mediante acción afirmativa
    Se debe eliminar cualquier forma de consentimiento implícito, sin casillas premarcadas y mediante un mecanismo sencillo, gratuito y permanentemente disponible para que el usuario retire su permiso con la misma facilidad que lo otorgó. 

  2. Política de privacidad permanentemente accesible, clara y gratuita que informe sobre la identificación, los canales de comunicación, la gestión del tratamiento y las decisiones automatizadas. 

  3. Ofrecer canales para ejercer los derechos ARSOPB

  4. Mantener una seguridad desde el diseño y por defecto. Recoger solo los datos estrictamente necesarios para la finalidad específica e implementar protocolos de seudonimización o cifrado de la información. 

  5. Banner de cookies que cumpla con las recomendaciones del SERNAC, con un modelo opt-in, con privacidad por defecto. Te lo explicamos a continuación.

La gestión de las cookies

La Ley 21.719 exige un consentimiento libre, informado, específico e inequívoco. Por este motivo, el responsable de la web de tu e-commerce debe informar claramente sobre la finalidad de cada cookie, el tiempo de conservación de la información y si los datos se comunican a terceros. Además, la ley impone el deber de garantizar que, por defecto, solo se traten los datos estrictamente necesarios para la actividad específica. 

¿Cómo debe ser un banner de cookies en Chile para cumplir con la Ley 21.719?

El SERNAC realizó un experimento que demuestra que el diseño del banner de cookies afecta de manera significativa la privacidad de los usuarios. A partir de esos resultados, ofrece las siguientes recomendaciones:

  1. Privacidad por defecto – Opt-in. Las cookies que no sean necesarias deben requerir una manifestación activa del consentimiento. Por defecto, las cookies adicionales estarán desactivadas.
  2. Patrones claros (no oscuros). Para facilitar el rechazo de las cookies adicionales.
  3. Lenguaje simple y claro. La información sobre el uso y la finalidad de las cookies debe utilizar un lenguaje que cualquier consumidor pueda entender sin conocimientos técnicos.
  4. Información sobre el tipo y la finalidad.

A partir de estas recomendaciones, el SERNAC sugiere dos diseños de banners de cookies según lo que se ha mostrado más efectivo para proteger su privacidad. 

  • En la primera interacción, se presentan dos botones “configurar” y “rechazar”. En el caso de pulsar configurar, se tiene que abrir un sistema de opt-in en que se presenten las casillas desmarcadas por defecto. Pero, en el caso de pulsar “rechazar” se tiene que tratar de un botón resaltado. 
  • Se presenta directamente la lista de cookies en una única interacción donde el usuario puede seleccionar cuáles quieren activar, pero todas las cookies adicionales aparecen desactivadas por defecto.

¿Cuáles son las sanciones en caso de incumplimiento de la Ley 21.719?

La ley clasifica las infracciones en tres niveles dependiendo de la naturaleza del incumplimiento y el riesgo para los titulares. 

  • Infracciones leves. Incluyen el incumplimiento parcial del deber de transparencia, omitir respuestas a solicitudes de titulares fuera de plazo o no enviar comunicaciones obligatorias a la Agencia.
    • Amonestación escrita o multa de hasta 5.000 UTM.
  • Infracciones graves. Contemplan el tratamiento de datos sin consentimiento o base legal, la vulneración del deber de secreto, la adopción de medidas de seguridad insuficientes, la obstrucción del ejercicio de los derechos ARCO y el tratamiento ilícito de datos de menores de edad.
    • Multa de hasta 10.000 UTM.
  • Infracciones gravísimas. Se refieren al tratamiento fraudulento de datos, la comunicación deliberada de información falsa, la omisión maliciosa de reportes de brechas de seguridad, el tratamiento de datos sensibles en contravención a la ley y el incumplimiento reiterado de las resoluciones de la Agencia.
    • Multa de hasta 20.000 UTM.

Se consideran atenuantes la autodenuncia, la colaboración en la investigación, la reparación del daño de forma voluntaria y contar con un modelo de prevención de infracciones certificado.

¿En qué podemos ayudarte?
Si tienes dudas, nuestros especialistas te ayudarán siempre que lo necesites.
Chat en vivo
Compartir artículo
Blog

Consulta artículos relacionados

Las empresas confían en Lawwwing para asegurar su cumplimiento legal, manteniendo sus documentos actualizados y evitando sanciones.
cross