Ley 21.719 15 mayo 2026 · 9 min lectura Por equipo Vigía

Ley 21.719 — Las 11 obligaciones que tu empresa olvida.

La Ley 21.719 entró en vigor en 2026 y la Agencia de Protección de Datos Personales (APDP) ya está fiscalizando. La narrativa "tenemos política de privacidad y consentimiento" no alcanza: la ley exige 11 cosas documentables con artículos específicos, plazos legales y multas que llegan hasta UTM 20.000 (~USD 1.4M). Esta es la lista completa, con citas legales y consecuencias.

/// Índice del artículo
  1. Antes de las obligaciones: el contexto que la mayoría ignora
  2. 1. RAT — Registro de Actividades de Tratamiento
  3. 2. DPIA — Evaluación de Impacto obligatoria
  4. 3. Notificación de brechas a la APDP en 72 horas
  5. 4. Derechos ARCO+ del titular (SLA 30 días)
  6. 5. Encargados de tratamiento (DPA)
  7. 6. Privacy by Design & by Default
  8. 7. Continuidad para datos personales (BCP Privacy)
  9. 8. Plan Anual de Privacidad documentado
  10. 9. Cooperación con la APDP
  11. 10. Auditorías Privacy (6 tipos)
  12. 11. Bitácora inmutable de operaciones
  13. Próximo paso accionable

Antes de las obligaciones: el contexto que la mayoría ignora

La Ley 21.719 no es un "GDPR chileno". Tiene diferencias importantes: introduce el concepto de ARCO+ (con derechos extra como portabilidad y oposición a decisiones automatizadas), exige DPO obligatorio para ciertas categorías de organización, y crea una autoridad fiscalizadora con potestad de inspección presencial: la APDP.

El error más común es asumir que basta con la política de privacidad web + consentimiento al registrarse. Eso cubre quizás 2 de las 11 obligaciones. Las otras 9 son documentación interna, procesos auditables y trazabilidad operacional que la APDP puede revisar en una fiscalización sin previo aviso.

Sectores prioritarios de fiscalización 2026: Fintech con KYC biométrico, salud y seguros (datos sensibles), retail con perfilamiento de comportamiento, RRHH, SaaS B2B con transferencias internacionales, y cualquier organización que use IA para decisiones que afecten personas.

1. RAT — Registro de Actividades de Tratamiento

Art. 14 ter · 12 secciones · 67 campos

Inventario inmutable de cada actividad que toca datos personales. No es opcional: si procesas datos, tienes RAT, punto. Debe incluir: finalidad, base de licitud (art. 12), datos tratados, categorías de titulares, destinatarios internos y externos, transferencias internacionales, plazos de conservación, medidas técnicas y organizativas, evaluación de riesgo residual.

El problema típico: empresas tienen un Excel de "datos que manejamos" y creen que eso es el RAT. No lo es. El RAT real es versionado, firmado por el DPO, con audit trail por cambio. Si la APDP llega y tu RAT es un Excel sin historia, asumen que no existe.

2. DPIA — Evaluación de Impacto obligatoria

Art. 14 quater · scoring 4 dimensiones

La DPIA (también llamada EIPD) es obligatoria antes de iniciar tratamientos de alto riesgo: biometría facial o de huella, perfilamiento masivo, decisiones automatizadas con efecto jurídico sobre el titular, datos sensibles a gran escala.

La trampa: "alto riesgo" no es subjetivo, hay criterios. Si tu equipo de producto lanza una feature de "match scoring con IA" sin DPIA previa, y un titular reclama, la APDP puede multar por la omisión de la DPIA aunque el tratamiento en sí sea legítimo. La DPIA es un documento, no una opinión.

3. Notificación de brechas a la APDP en 72 horas

Art. 13 · countdown 72h

Si hay brecha de seguridad que afecte datos personales, tienes 72 horas desde que tu organización tenga conocimiento de la brecha para notificarla a la APDP. No desde que termines el análisis forense. No desde que el legal apruebe. Desde el conocimiento.

El registro de la brecha debe incluir naturaleza, categorías de datos, número aproximado de titulares afectados, medidas adoptadas. Si afecta a más de cierto umbral o categoría sensible, también debes notificar a los titulares.

4. Derechos ARCO+ del titular (SLA 30 días)

Art. 5 · Art. 8 ter · SLA 30 días

ARCO+ son seis derechos: Acceso, Rectificación, Cancelación, Oposición, Portabilidad, No decisiones automatizadas. Cuando un titular ejerce alguno, tienes 30 días corridos para responder con la información solicitada o con la fundamentación de por qué la rechazas.

Pasar el plazo sin respuesta = falta grave automática, no requiere que el titular insista. Y la APDP puede recibir el reclamo desde el día 31. Necesitas un proceso documentado de intake, verificación de identidad, identificación de RATs vinculados al titular, respuesta firmada por DPO, registro de cierre.

5. Encargados de tratamiento (DPA)

Art. 9 · sub-procesamiento documentado

Cada proveedor que procesa datos personales por tu cuenta es un "encargado de tratamiento". Requiere contrato (DPA) con cláusulas mínimas del art. 9: finalidad, duración, naturaleza, tipos de datos, obligaciones de seguridad, sub-procesamiento autorizado, devolución/eliminación al terminar el contrato.

Empresa típica tiene 30-80 proveedores procesando datos: AWS, GCP, Hubspot, Stripe, Mixpanel, Zendesk, Slack, Calendly, Mailchimp, etc. Cada uno con su propio DPA estándar (que probablemente no firmaste leyendo). La APDP puede pedirte lista completa de encargados con fecha de DPA. Si no la tienes consolidada, asume que ya te identificaron.

6. Privacy by Design & by Default

Art. 14 ter · Art. 14 quinquies

Medidas técnicas y organizativas desde el diseño y por defecto. Significa: minimización de datos en cada feature nueva, configuraciones default que protegen al titular (no que requieren opt-out), evaluaciones de privacidad ANTES del go-live, no después.

Esto se documenta como parte del SDLC: ¿qué evidencia tienes de que cada release pasó por revisión privacy antes de salir a producción? Tu equipo legal probablemente no tiene visibilidad de los releases. Eso es exactamente lo que la APDP marca como gap.

7. Continuidad para datos personales (BCP Privacy)

Art. 26 · BCP Privacy

Plan de continuidad específico para ARCO+ y datos personales post-incidente. RTO y RPO definidos, roles, procedimiento de respuesta cuando un sistema crítico falla. Distinto del BCP general ISO 27001: este se enfoca en cómo seguís respondiendo derechos del titular cuando estás caído.

Pregunta de auditor APDP típica: "Si tu CRM se cae 5 días y un titular pide acceso, ¿cuál es el procedimiento manual de respuesta para no superar los 30 días?" Si no tienes documento, no tienes BCP Privacy.

8. Plan Anual de Privacidad documentado

Art. 14 octies · 7 actividades

Calendario de 12 meses con las 7 actividades obligatorias: revisión RAT, DPIAs nuevas, simulacro de brecha, auditoría DSR, revisión de DPAs vencidos, capacitación staff, reporte ejecutivo al directorio. Firmado por DPO al inicio del año, ejecutado durante el año, archivado con evidencias al cierre.

9. Cooperación con la APDP

Art. 26 · reportes consolidados

Disponibilidad de documentación lista para fiscalización. La APDP puede inspeccionar de oficio o por reclamo. Si te piden "el RAT del proceso X de hace 6 meses", debes entregarlo en horas, no en semanas. Esto exige que tu RAT, brechas, DSR, DPIAs estén consolidados y exportables a PDF apto APDP en un click.

10. Auditorías Privacy (6 tipos)

Art. 14 octies · 6 tipos

Seis auditorías recurrentes que el DPO debe ejecutar y documentar: DPO Review (semestral), RAT Audit (anual), Breach Drill (simulacro de brecha 72h, anual), DSR Audit (revisión de respuestas ARCO+, semestral), DPA Audit (proveedores, anual), APDP Inspection (preparación para fiscalización, trimestral).

11. Bitácora inmutable de operaciones

Art. 14 ter · ISO 27701 7.5

Cada evento crítico (creación o modificación de RAT, brecha registrada, respuesta DSR, DPIA aprobada, DPA firmado) debe quedar en bitácora inmutable con actor, timestamp, payload. No puede ser un Slack o un email — debe ser sistema con audit trail no-editable.

Si tu auditor te pregunta "¿quién aprobó la DPIA #45 y cuándo?" y la respuesta es "creo que fue Juan, busquemos en email", no tienes bitácora.

Próximo paso accionable

Si tu organización procesa datos personales en Chile (lo cual incluye prácticamente cualquier empresa con clientes, empleados o leads chilenos), las 11 obligaciones aplican. La pregunta no es si te toca, sino cuándo te toca el primer reclamo o fiscalización.

Mapear estas 11 obligaciones a tu realidad operacional toma típicamente 4-8 semanas con una plataforma como Vigía, o 4-8 meses con consultor + Excel + esperanza. La diferencia es que en el segundo modelo, cuando termina el proyecto, el conocimiento se va con el consultor y el SGSI Privacy queda sin dueño.

30 min con un DPO senior, sin compromiso.

Te mostramos exactamente en cuáles de las 11 obligaciones estás cubierto, cuáles tienes a medias y cuáles literalmente no existen en tu organización. Llegás a la próxima fiscalización con datos, no con esperanza.

Evaluar mi preparación
/// Sigue leyendo

Más recursos sobre Ley 21.719:

Framework

Guía completa Ley 21.719

Plazos APDP, sectores fiscalizados, módulos Vigía para cumplir, HowTo en 7 pasos.

 Framework

Ley Marco · ANCI

Complementaria a Ley 21.719. Si eres OIV, te aplican ambas — cómo cumplir en una sola plataforma.

 Recurso

Glosario Compliance

30 términos técnicos: RAT, DPIA, ARCO+, DPA, DPO, APDP, base de licitud y más.

 Herramienta

Calculadora ROI

Multas hasta UTM 20.000 vs costo de automatizar. Multi-moneda LATAM.