Tienes hasta diciembre de 2026 para cumplir la nueva ley de datos. ¿Ya empezaste?

En diciembre de 2024 se publicó la Ley 21.719, la nueva Ley de Protección de Datos Personales de Chile. Entra en vigor el 1 de diciembre de 2026. Si estás pensando "ya tengo tiempo", te entiendo, pero ese razonamiento tiene un problema: los reglamentos que le dan cuerpo a la ley se están publicando durante 2025, y las transformaciones internas que necesita tu empresa no se hacen en una semana.

¿Qué tiene de nuevo esta ley?

La ley que reemplaza —la 19.628— fue diseñada en 1999. Cuando se publicó, el iPhone no existía, el streaming era ciencia ficción y la mayoría de las pymes chilenas no tenía ni página web. Usarla para regular el tratamiento de datos personales en 2025 era como circular en autopista con un reglamento hecho para calles de tierra.

La nueva ley trae obligaciones concretas que van a impactar cómo tu empresa maneja los datos de clientes, empleados y proveedores. No es solo actualizar la política de privacidad del sitio web.

Las obligaciones técnicas que más van a mover el tablero

Registro de Actividades de Tratamiento (RAT)

Es un inventario interno de todos los tratamientos de datos que realiza tu empresa: qué datos tienes, para qué los usas, quién los tiene, por cuánto tiempo, con quién los compartes. No es un documento para presentarle a la autoridad necesariamente: es para que tú sepas lo que tienes. Sorprende cuántas empresas no lo saben con claridad.

Bases de licitud del tratamiento

Ya no basta con tener los datos de alguien en tu base de datos. Cada tratamiento necesita una base legal expresa: consentimiento explícito, ejecución de un contrato, obligación legal, interés legítimo (con evaluación previa), entre otras. La práctica de acumular correos de clientes potenciales sin una base clara queda en zona de riesgo.

Notificación de brechas en 72 horas

Si tienes una filtración de datos que pueda generar riesgos para los titulares, tienes 72 horas para informar a la Agencia de Protección de Datos. Ese plazo no da mucho margen para improvisar. Sin un protocolo de respuesta documentado, 72 horas pasan muy rápido.

Derechos ARCO ampliados (incluyendo portabilidad)

Los titulares de datos tendrán derecho a Acceso, Rectificación, Cancelación, Oposición y, nuevo en Chile, Portabilidad: pueden pedirte que les entregues sus datos en un formato usable para llevarlos a otro servicio. Necesitas tener procesos claros para responder estas solicitudes.

Delegado de Protección de Datos (DPO)

Algunas organizaciones deberán designar un DPO —puede ser externo para pymes— con facultades reales y acceso a la alta dirección. Si tratas datos a escala o manejas información sensible de salud, laboral o financiera, es probable que aplique a tu empresa.

¿Aplica a todas las empresas o solo a las grandes?

A todas. No hay exención por tamaño. Si tu empresa tiene clientes, empleados o proveedores en Chile —y eso incluye prácticamente a cualquier empresa que opere aquí— la ley te aplica.

Hay un matiz importante: durante el primer año de vigencia (diciembre 2026 a diciembre 2027), las pymes solo quedan sujetas a amonestaciones, no a multas. Ese año adicional es real, pero no es para no hacer nada: es para terminar de implementar lo que debiste empezar en 2025.

Las ocho cosas que deberías empezar a hacer este año

1. Mapear todos los datos personales que maneja tu empresa: clientes, empleados, proveedores, contactos comerciales.
2. Construir el Registro de Actividades de Tratamiento (RAT). Aunque no es obligatorio publicarlo, es la base de todo lo demás.
3. Auditar las bases de consentimiento actuales: revisa formularios web, contratos, cláusulas de privacidad. En muchos casos habrá que renovar consentimientos.
4. Actualizar la política de privacidad del sitio y los contratos de servicios para reflejar los nuevos estándares.
5. Crear procesos internos de respuesta a solicitudes ARCO con plazos definidos.
6. Revisar contratos con proveedores cloud y SaaS (Microsoft 365, Google Workspace, CRM, ERP) para incorporar cláusulas de encargado de tratamiento.
7. Evaluar si tu empresa necesita designar un DPO (puede ser externo).
8. Crear un protocolo de notificación de brechas que permita actuar dentro de las 72 horas.

Diciembre de 2026 parece lejano. Pero entre levantar el mapa de datos, actualizar contratos, capacitar al equipo, revisar sistemas y definir roles, los meses se van volando. Las empresas que empiecen en 2025 van a tener un proceso ordenado. Las que esperen a 2026 van a correr contra el reloj.