¿Cuáles son las multas por incumplimiento de la Ley 21.719?

Leves: amonestación o hasta 5.000 UTM. Graves: hasta 10.000 UTM. Gravísimas: hasta 20.000 UTM. Reincidencia: hasta 4% de ingresos anuales.

¿Qué es el Modelo de Prevención de Infracciones?

Programa voluntario (Art. 49) que incluye DPO, identificación de riesgos, protocolos de prevención. Es circunstancia atenuante de sanciones (Art. 36 N°5), certificable por la Agencia con vigencia de 3 años.

Community Edition — 100% gratuita

Cumple la Ley 21.719 antes de que entre en vigencia

Name: cumple21719
Author: cumple21719

Primera plataforma gratuita para la Ley de Protección de Datos Personales de Chile. Consentimiento, derechos ARCOP, modelo de prevención y simulador de multas en un solo lugar.

Solicitar Acceso Gratuito → Simular Multas

Ley 21.719 entra en vigencia el1 de diciembre de 2026

---

Días

Horas

Min

Seg

20.000

UTM multa máxima (~USD 1.55M)

Derechos del titular (ARCOP)

30+30

Días para responder (Art. 11)

De ingresos anuales (reincidencia)

¿A quién aplica?

La Ley 21.719 aplica a más empresas de las que crees

Toda persona natural o jurídica que trate datos personales, incluidos órganos públicos (Art. 1° y 1° bis). No importa el tamaño ni el sector.

Empresas privadas

Toda empresa que recolecte, almacene o use datos de personas: clientes, empleados, proveedores. Si tienes una base con nombres, RUTs o emails, la ley te aplica.

Órganos públicos

Municipalidades, ministerios, servicios de salud. El Título IV (Art. 20-26) regula el tratamiento por órganos públicos con reglas específicas.

Empresas extranjeras

Si ofreces bienes o servicios a personas en Chile o monitoreas su comportamiento, la ley te aplica aunque no estés en Chile (Art. 1° bis c).

Sector salud

Datos de salud son sensibles (Art. 16 bis). Se prohíbe tratar datos de salud recolectados en ámbito laboral, educativo, deportivo o de seguros, salvo autorización legal expresa.

Sector financiero

Título III regula obligaciones económicas. Los responsables deberán suprimir datos de obligaciones prescritas sin necesidad de solicitud (Art. 17).

Educación

Obligación especial de proteger datos de menores (Art. 16 quáter). Tres umbrales: niños (bajo 14), adolescentes con datos sensibles (bajo 16), y 16-17 años.

Excepciones (Art. 1° incisos 3° y 4°)

Solo dos: (1) tratamiento en ejercicio de las libertades de opinión e información reguladas por el Art. 19 N°12 de la Constitución, y (2) tratamiento que efectúen personas naturales en relación con sus actividades personales.

El problema

¿Estás preparado para cumplir?

La Ley 21.719 reemplaza la Ley 19.628 de 1999 y pone a Chile al nivel del GDPR europeo.

No sabes qué datos tienes

La ley exige saber qué datos personales tratas, dónde están, para qué y bajo qué base legal (Art. 14). cumple21719 escanea tus bases de datos y genera el inventario.

No gestionas consentimiento

Art. 12 exige consentimiento libre, informado, específico, previo e inequívoco. La carga de la prueba recae en el responsable. Necesitas registro con evidencia y propagación de revocaciones.

No puedes responder solicitudes

6 derechos, 30 días corridos para responder (prorrogables por 30 más según Art. 11). Si no respondes, el titular reclama ante la Agencia.

No tienes modelo de prevención

El modelo de prevención (Art. 49) es circunstancia atenuante de sanciones (Art. 36 N°5). Sin él, no tienes atenuante. cumple21719 lo genera gratis.

La Solución

12 módulos. Toda la ley. Gratis.

Cada módulo mapeado artículo por artículo. Específico para Chile.

Data Discovery

Escanea DBs y archivos. Clasificador nativo: RUT, FONASA, AFP, biométricos.

Art. 2° f,g,k,l · Art. 16, 16 bis, 16 ter

Consent Manager

Registro inmutable. SDK web. Versionado de políticas. Revocaciones automatizadas.

Art. 12 · Art. 16 quáter

Portal ARCOP

Portal público. 6 derechos. Workflow con SLA de 30 días corridos (Art. 11).

Art. 4° al 11°

Compliance Engine

Score por artículo. Gap analysis. Simulador de multas con atenuantes y agravantes.

Art. 34 bis al 37

Modelo de Prevención

DPO, políticas, capacitación, auditoría. Circunstancia atenuante de sanciones.

Art. 49-53 · Art. 36 N°5 · Art. 51

Gestión de Brechas

Reporte a Agencia sin dilaciones indebidas. Notificación a titulares afectados.

Art. 14 sexies

Evaluación de Impacto

EIPD obligatoria para alto riesgo: sensibles, masivo, automatizado, monitoreo.

Art. 15 ter · Art. 34 quáter k)

Registro de Tratamiento

Inventario de actividades. Bases de licitud. Flujos de datos documentados.

Art. 14 · Art. 12, 13

Transferencias Intl.

Detector de flujos transfronterizos. Nivel adecuado. Cláusulas contractuales.

Art. 27-29

Decisiones Automatizadas

Inventario de algoritmos. Revisión humana. Derecho a explicación e intervención.

Art. 8° bis

Retención y Eliminación

Políticas por tipo. Supresión de obligaciones prescritas (Art. 17). Legal hold.

Art. 3° c), 7° · Art. 17

Reportería

Reportes para Agencia, directorio, auditoría. PDF, XLSX, DOCX.

Art. 30 bis · Art. 14 ter

Acceso Anticipado

Prepárate antes de diciembre 2026

Regístrate para acceso gratuito anticipado a cumple21719.

Comentario (opcional, 500 chars)

0/500

Responsable: cumple21719. Finalidad: acceso anticipado y comunicaciones del producto. Base de licitud: consentimiento del titular (Art. 12 Ley 21.719). Tus datos no serán cedidos a terceros. Derechos ARCOP: privacidad@cumple21719.cl

Simulador de Multas

¿Cuánto podrías pagar?

Calcula tu exposición según Arts. 34 bis al 37 de la Ley 21.719.

Tipo de infracción (Art. 34 bis/ter/quáter)

Tamaño empresa (Ley 20.416)

¿Reincidencia? (Art. 35 inc. 3° y 4°)

Ingresos anuales CLP (Art. 35 inc. 4°)

¿Modelo de prevención certificado? (Art. 49, 51)

¿Datos sensibles o de menores? (Art. 37 N°5)

Sobre la Ley

Ley 21.719 — Lo esencial

Publicada el 13 de diciembre de 2024 en el Diario Oficial. Vigencia diferida al 1 de diciembre de 2026 (Art. primero transitorio). Modifica íntegramente la Ley N° 19.628, sobre protección de la vida privada, que pasa a llamarse "Ley sobre protección de los datos personales". Ver texto completo en BCN.

Licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia e información, y confidencialidad. El responsable deberá ser capaz de acreditar la licitud del tratamiento de datos personales que realiza (Art. 3° a) inc. 2°).

La ley reconoce 6 derechos: Acceso (Art. 5°), Rectificación (Art. 6°), Supresión (Art. 7°), Oposición (Art. 8°), Portabilidad (Art. 9°) y Bloqueo temporal (Art. 8° ter). Son personales, intransferibles e irrenunciables, y no pueden limitarse por ningún acto o convención. En caso de fallecimiento del titular, pueden ser ejercidos por sus herederos, salvo que la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. El responsable tiene 30 días corridos para responder, prorrogable por una sola vez hasta por 30 días corridos más (Art. 11).

Libre, informado y específico en cuanto a su finalidad. Debe manifestarse en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular. Revocable en cualquier momento y sin expresión de causa. Corresponde al responsable probar que contó con el consentimiento del titular y que el tratamiento fue realizado en forma lícita, leal y transparente. Otras fuentes de licitud sin consentimiento: Art. 13 (obligación económica, obligación legal, contrato, interés legítimo, defensa de derechos).

Voluntario. El programa de cumplimiento debe contener al menos: designación de un delegado de protección de datos (Art. 50), definición de medios y facultades del delegado, identificación del tipo de información que trata, identificación de actividades o procesos riesgosos, protocolos y procedimientos de prevención, mecanismos de reporte, y sanciones administrativas internas. Constituye circunstancia atenuante de responsabilidad (Art. 36 N°5), verificable mediante certificado expedido por la Agencia (Art. 51), con vigencia de 3 años (Art. 52). En micro, pequeñas y medianas empresas, el dueño o sus máximas autoridades podrán asumir personalmente las tareas de delegado (Art. 50 inc. 3°).

Obligatoria cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto, tecnología utilizada o fines, pueda producir un alto riesgo para los derechos de los titulares. Se requerirá siempre en: evaluación sistemática y exhaustiva con decisiones automatizadas que produzcan efectos jurídicos significativos (letra a), tratamiento masivo o a gran escala (letra b), monitoreo sistemático de zona de acceso público (letra c), y tratamiento de datos sensibles en las hipótesis de excepción del consentimiento (letra d). La Agencia establecerá y publicará una lista orientativa de operaciones que requieran o no EIPD. Su incumplimiento es infracción gravísima (Art. 34 quáter k).

Infracciones leves: amonestación escrita o multa de hasta 5.000 UTM. Infracciones graves: multa de hasta 10.000 UTM. Infracciones gravísimas: multa de hasta 20.000 UTM. En caso de reincidencia (Art. 35 inc. 3°), la Agencia podrá aplicar multa de hasta tres veces el monto asignado a la infracción cometida. Para empresas distintas de las de menor tamaño (Ley 20.416) que reincidan en infracción grave o gravísima (Art. 35 inc. 4°), la multa podrá alcanzar hasta el 2% o 4% de los ingresos anuales por ventas y servicios, respectivamente. Además, el responsable deberá indemnizar el daño patrimonial y extrapatrimonial que cause a los titulares (Art. 47), con prescripción de 5 años.

FAQ

Preguntas frecuentes

El 1 de diciembre de 2026 (Art. primero transitorio). Durante los primeros 12 meses, la Agencia podrá aplicar amonestaciones en vez de multas a empresas de menor tamaño (Art. sexto transitorio). Los reglamentos deberán dictarse dentro de los 6 meses desde la publicación de la ley.

Infracciones leves (Art. 34 bis): amonestación escrita o multa hasta 5.000 UTM. Graves (Art. 34 ter): hasta 10.000 UTM. Gravísimas (Art. 34 quáter): hasta 20.000 UTM. Reincidencia (Art. 35 inc. 3°): hasta 3 veces la multa. Empresas grandes reincidentes (Art. 35 inc. 4°): hasta 2% o 4% de ingresos anuales. Adicionalmente, responsabilidad civil por daño patrimonial y extrapatrimonial (Art. 47), con prescripción de 5 años.

Sí. La Community Edition es gratuita con todos los módulos necesarios para cumplir la ley. Ofrecemos servicios opcionales de soporte, asesoría de implementación, capacitación y consultoría para empresas que necesiten acompañamiento profesional.

Programa voluntario (Art. 49) que incluye: designación de DPO (Art. 50), identificación de datos y procesos riesgosos, protocolos de prevención, mecanismos de reporte y sanciones internas. Es circunstancia atenuante de responsabilidad (Art. 36 N°5), verificable mediante certificado de la Agencia (Art. 51) con vigencia de 3 años (Art. 52). En PYMEs, el dueño puede asumir las funciones de DPO (Art. 50 inc. 3°).

No siempre. El Art. 13 establece cinco bases de licitud sin consentimiento: obligaciones económicas (conforme al Título III), obligación legal, ejecución de contrato, interés legítimo del responsable o tercero, y defensa de derechos ante tribunales. Para datos sensibles (Art. 16), se requiere consentimiento expreso. Para datos de niños bajo 14 años, se requiere consentimiento de padres o representantes legales (Art. 16 quáter).

A toda persona natural o jurídica, incluidos órganos públicos, que traten datos personales (Art. 1°). También a responsables no establecidos en Chile cuyas operaciones estén destinadas a ofrecer bienes/servicios a titulares en Chile o a monitorear su comportamiento en el territorio nacional (Art. 1° bis). Solo se excluye el ejercicio periodístico (Art. 19 N°12 Constitución) y actividades personales de personas naturales.