La Ley 21.719 artículo por artículo: qué obliga, a quién, y quién responde

La Ley 21.719 reemplaza a la Ley 19.628 después de casi tres décadas y, por primera vez en Chile, crea una autoridad con potestad para fiscalizar y sancionar el tratamiento de datos personales: la Agencia de Protección de Datos Personales. El cambio no es de forma. Es de régimen de responsabilidad. Y entra en plena vigencia el 1 de diciembre de 2026.

Para una empresa, eso significa que el incumplimiento deja de ser un riesgo reputacional difuso y pasa a ser una contingencia legal con monto. Conviene leer la ley por donde realmente obliga: sus artículos.

1. El nuevo régimen sancionatorio (Art. 35)

La ley clasifica las infracciones en tres niveles y fija el techo de cada uno: hasta 5.000 UTM las leves, hasta 10.000 UTM las graves y hasta 20.000 UTM las gravísimas. Para las empresas que no califican como de menor tamaño, la reincidencia en infracciones graves o gravísimas habilita multas de hasta el 2% o el 4%, respectivamente, de los ingresos anuales por ventas y servicios del último año calendario.

El punto que un directorio debe entender: la sanción se mide sobre ingresos, no sobre la utilidad ni sobre el daño causado.

Antes de hablar de multas hay que saber a quién se le imputan. La ley distingue al responsable del tratamiento —quien decide para qué y cómo se tratan los datos— del encargado, que los trata por cuenta del responsable. La responsabilidad legal no es intercambiable entre ambos, y los contratos de encargo deben reflejar esa distribución.

2. El deber de seguridad es una obligación legal, no una decisión de TI (Art. 14 quinquies)

El artículo 14 quinquies establece un deber de seguridad: el responsable debe adoptar medidas técnicas y organizativas apropiadas, considerando el estado de la técnica, los costos y los riesgos del tratamiento. La ley no entrega una lista cerrada de tecnologías obligatorias; fija un estándar de diligencia.

Eso tiene una consecuencia jurídica concreta: lo exigible no es "tener un software", es poder acreditar que las medidas adoptadas eran razonables frente al riesgo. La carga de demostrarlo recae en el responsable. Una medida como el cifrado de datos sensibles o el control de acceso no es, en sí misma, el cumplimiento: es la evidencia de que se actuó con la diligencia que la ley exige.

3. La notificación de vulneraciones corre contra reloj (Art. 14 sexies)

Cuando ocurre una vulneración de las medidas de seguridad que genera un riesgo razonable para los derechos de los titulares, el responsable debe comunicarlo a la Agencia dentro de las 72 horas desde que toma conocimiento. La comunicación debe hacerse en lenguaje claro y sencillo, identificando los datos afectados, las posibles consecuencias y las medidas de solución adoptadas. Cuando el riesgo para los titulares es alto, también debe notificárseles a ellos; si no es posible individualmente, mediante un aviso de difusión masiva y alcance nacional.

La omisión de estas comunicaciones, o de los registros asociados, constituye por sí misma una infracción. La obligación, en la práctica, exige dos capacidades previas: detectar la brecha y tener el procedimiento listo antes de que ocurra.

4. Derechos del titular y vías de reclamo (Art. 23 y ARCO+)

La ley reconoce los derechos ARCO+: acceso, rectificación, cancelación, oposición y portabilidad. El artículo 23 regula su ejercicio y la tutela: el procedimiento administrativo ante la Agencia y el reclamo de ilegalidad.

Los plazos importan porque su incumplimiento es sancionable. Como regla general, el responsable tiene 30 días para responder una solicitud, y un plazo acotado de 2 días hábiles para resolver el bloqueo temporal de los datos cuando el titular lo requiere. Cada solicitud no respondida en plazo es una puerta de entrada a un reclamo ante la Agencia.

5. El delegado de protección de datos y la gobernanza del dato

La ley empuja a las organizaciones hacia una función de gobernanza del dato. El delegado de protección de datos (DPO) es la figura que articula el cumplimiento: supervisa, asesora y sirve de contraparte ante la Agencia.

Acá aparece una dificultad de perfil. El cumplimiento de la 21.719 vive en la grieta entre dos lenguajes: el del derecho, que interpreta la norma, y el de los sistemas, donde la obligación efectivamente se cumple o se incumple. Un DPO —interno o externo— que solo lea uno de los dos lados deja la mitad del riesgo sin cubrir.

Por dónde seguir

La 21.719 no se cumple con un documento ni se cumple solo con código: se cumple en la intersección. La lectura legal define qué se exige; la implementación técnica define si efectivamente se cumple.

El cómo técnico —inventario de datos, cifrado, trazabilidad, un plan de adecuación con plazos— se desarrolla en el pillar de nicosteil.cl: Ley 21.719: lo que tu empresa tiene que cambiar en sus sistemas. Esta columna es el lado legal de esa misma pregunta.

Columna de ARS Abogados en colaboración con Nicolás Steil.