Checklist Ley 21.719:
30 obligaciones para tu empresa en Chile

1. Contexto rápido

La Ley 21.719 reemplaza a la Ley 19.628 y entra en plena fiscalización en 2026 por la Agencia de Protección de Datos Personales (APDP). Aplica a toda empresa que trate datos personales de personas en Chile, sin importar el país de origen.

Sanciones máximas

• Infracciones leves: hasta 5.000 UTM (~CLP 320M)
• Infracciones graves: hasta 10.000 UTM (~CLP 640M)
• Gravísimas: hasta 20.000 UTM (~CLP 1.280M) o 4% de ingresos anuales globales

2. Plazos críticos que no puedes ignorar

• 72 horas brecha Notificar a APDP toda brecha de seguridad que afecte datos personales.
• 30 días ARCO+ Responder solicitudes de acceso, rectificación, cancelación, oposición + portabilidad y opt-out automatizado.
• 12 semanas DPIA Evaluar impacto antes de tratamientos de alto riesgo (IA, perfilamiento, datos sensibles).
• Anual RAT Actualizar Registro de Actividades de Tratamiento y revisar políticas.
• Inmediato DPO Designar Delegado de Protección de Datos si tratas datos sensibles o haces tratamiento sistemático a gran escala.

3. Checklist · 30 obligaciones priorizadas

Gobernanza y rol (P0 — primero)

1. P0 Designar formalmente al DPO (Delegado de Protección de Datos) con contrato/acta.
2. P0 Publicar contacto del DPO en sitio web y políticas internas.
3. P0 Documentar política general de privacidad firmada por dirección.
4. P0 Levantar mapa de procesos que tratan datos personales (interno + proveedores).

Registro de Actividades (RAT) — Art. 15

5. P0 Crear RAT con: finalidades, bases legales, categorías de datos, plazos retención, transferencias.
6. P0 Identificar tratamientos de datos sensibles (salud, biometría, ideología, sexualidad).
7. P1 Marcar tratamientos de alto riesgo que requieren DPIA.
8. P1 Revisar y firmar RAT al menos anualmente.

Derechos del titular (ARCO+) — Art. 16-22

9. P0 Habilitar canal de contacto (email, formulario web) para ejercer derechos.
10. P0 Procedimiento documentado para responder en máximo 30 días corridos.
11. P1 Implementar portabilidad de datos (entregar en formato estructurado).
12. P1 Permitir opt-out de decisiones automatizadas / perfilamiento.
13. P2 Registrar y trazar todas las solicitudes ARCO+ (auditoría futura APDP).

Consentimiento y bases legales — Art. 12-14

14. P0 Obtener consentimiento libre, específico, informado e inequívoco (no checkboxes preseleccionados).
15. P0 Demostrar que se obtuvo consentimiento (logs, fecha, contenido aceptado).
16. P1 Mecanismo simple para retirar consentimiento (1 clic mínimo).
17. P1 Documentar bases legales alternativas cuando no aplique consentimiento (contrato, ley, interés legítimo).

Brechas y notificaciones — Art. 38

18. P0 Procedimiento de detección y clasificación de brechas (severidad, datos afectados).
19. P0 Plantilla de notificación a APDP en menos de 72 horas (causa, impacto, mitigación).
20. P1 Comunicación a titulares afectados sin demora cuando hay alto riesgo.
21. P1 Registro interno de todas las brechas (incluso las no notificables).

DPIA — Evaluaciones de Impacto — Art. 25

22. P1 Aplicar DPIA antes de: IA, perfilamiento, datos sensibles a gran escala, vigilancia, decisiones automatizadas.
23. P1 Documentar riesgos identificados, medidas mitigantes y residuales.
24. P2 Consultar a APDP cuando el DPIA muestra riesgo alto no mitigable.

Transferencias internacionales — Art. 27

25. P1 Identificar todas las transferencias fuera de Chile (cloud US, EU, India, etc).
26. P1 Validar nivel adecuado de protección o cláusulas contractuales tipo.

Proveedores y encargados — Art. 24

27. P0 Firmar DPA (Data Processing Agreement) con todo encargado del tratamiento.
28. P1 Inventario de proveedores con acceso a datos y nivel de criticidad.

Medidas técnicas y organizativas — Art. 19

29. P0 Implementar controles de seguridad proporcionales (cifrado, control accesos, backups, logging).
30. P1 Programa de awareness y capacitación al personal (al menos anual).

4. Sectores con foco APDP 2026

• Salud y prestadores — datos sensibles, alto volumen, brechas frecuentes.
• Retail y e-commerce — perfilamiento, cookies, marketing comportamental.
• Fintech y banca — scoring crediticio, decisiones automatizadas, sensibilidad financiera.
• Edtech — datos de menores, requiere consentimiento de representante legal.
• Empresas con IA — DPIA obligatorio si hay decisiones automatizadas con impacto.
• Servicios públicos / OIV — operadores de importancia vital con régimen reforzado.

5. Plan 7 pasos para cumplir antes de fiscalización

1. Semana 1-2: Designar DPO, mapa de procesos, kickoff con dirección.
2. Semana 3-4: Levantar RAT completo, identificar tratamientos sensibles y de alto riesgo.
3. Semana 5-6: Redactar política de privacidad, procedimientos ARCO+ y brechas.
4. Semana 7-8: Firmar DPAs con proveedores críticos, mapear transferencias internacionales.
5. Semana 9-10: DPIAs para tratamientos identificados como alto riesgo.
6. Semana 11: Capacitación al personal, simulacro de brecha (notificación 72h).
7. Semana 12: Auditoría interna, ajustes, firma final por dirección. Operación normal.