LEY 21.719 · PROTECCIÓN DE DATOS PERSONALES
Del cumplimiento en papel a la protección real, controlada y sostenible.
Sistema integral que resuelve el desafío del cumplimiento de la Ley mediante cuatro pilares estratégicos, soportados en una plataforma digital que automatiza el control y libera la carga administrativa crítica de su equipo.
Transafety
Un Sistema de Cumplimiento Integral
Cuatro pilares estratégicos vinculados en un sistema integrado que garantiza el cumplimiento integral de la Ley.
Jurídico
Estructura legal exigida por la Ley, cláusulas modelo para contratos, base legal para consentimientos, política de protección de datos, entre otros.
Normativo
Documentos y evidencias organizados, vigentes y disponibles ante fiscalizaciones o derechos ARCOP.
Tecnológico
Plataforma diseñada para vincular RAT, consentimientos, base legal y políticas con trazabilidad de punta a punta, canal de denuncias y portal de titulares para gestionar consentimientos.
Cultura organizacional
Sensibilización de colaboradores para un cumplimiento sostenido y genuino en el tiempo.
EL DESAFÍO
El enfoque solo jurídico no es suficiente
La Ley 21.719 entrega facultades a la Agencia de Protección de Datos Personales para fiscalizar y sancionar con multas económicas elevadas (hasta MM$1.400). Cumplir requiere evidencia y trazabilidad, no sólo documentos.
SOLO JURÍDICO
¿Qué debo cumplir? Documentos y contratos sin garantía de ejecución real, operación en silos y sin control sobre los sistemas.
ENFOQUE INTEGRAL
¿Cómo lo implemento, controlo y sostengo en el tiempo? Políticas aplicadas en sistemas, procesos y personas, con evidencia auditable.
Preguntas Frecuentes
1. ¿Qué es la Ley 21.719 y cuándo entra en vigencia?
Es la nueva normativa chilena que regula el tratamiento de datos personales y reemplaza el régimen de la Ley 19.628 de 1999. Fue publicada en el Diario Oficial el 13 de diciembre de 2024 y entra en vigencia el 1 de diciembre de 2026, con un período de transición de 24 meses para que las organizaciones se adecúen.
2. ¿A quién aplica la ley?
Aplica a personas naturales o jurídicas, públicas y privadas, que realicen tratamiento de datos personales en Chile o que ofrezcan bienes o servicios dirigidos a personas en Chile y traten sus datos en ese contexto. Tiene alcance extraterritorial similar al GDPR.
3. ¿Qué es un dato personal y qué es un dato sensible?
Un dato personal es cualquier información que identifica o hace identificable a una persona (nombre, RUT, correo, IP, dirección). Un dato sensible es información que requiere mayor protección por su impacto en la privacidad, como datos de salud, biométricos, vida sexual o convicciones políticas. El tratamiento de estos últimos tiene restricciones mucho más severas y por regla general exige consentimiento expreso.
4. ¿Qué derechos tienen los titulares de los datos?
La ley refuerza los derechos ARCOP (Acceso, Rectificación, Cancelación, Oposición y Portabilidad) e introduce nuevos derechos como la Portabilidad de los datos y el derecho a no ser objeto de decisiones automatizadas sin intervención humana. En la práctica las empresas deben tener canales y procedimientos para responder estas solicitudes en plazos definidos por la Ley.
5. ¿Qué multas y sanciones contempla la ley?
Las infracciones se clasifican en tres niveles. Infracciones leves hasta 5.000 UTM, graves hasta 10.000 UTM y gravísimas hasta 20.000 UTM. En caso de reincidencia en infracciones graves o gravísimas, la multa puede alcanzar el 2% o 4% de los ingresos anuales por ventas y servicios en Chile. Estas sanciones se inscriben además en un Registro Nacional de Sanciones y Cumplimiento de carácter público, con impacto reputacional.
6. ¿Qué se entiende por consentimiento válido?
El consentimiento bajo la Ley 21.719 debe ser libre, específico, informado e inequívoco. La ley requiere que el consentimiento se obtenga mediante una acción afirmativa clara y prohíbe el uso de casillas premarcadas o mecanismos de consentimiento implícito. Los responsables del tratamiento deben poder demostrar que se obtuvo un consentimiento válido y deben proporcionar medios sencillos para que las personas retiren su consentimiento en cualquier momento.
7. ¿Es obligatorio designar un Delegado de Protección de Datos (DPO)?
La ley contempla la figura del DPO y su designación puede ser exigible según el tamaño, la naturaleza de los tratamientos o el riesgo. Aun cuando no sea obligatorio, nombrar un DPO interno o externo es una buena práctica para coordinar cumplimiento, formación, DPIA, DSAR, incidentes y relación con la autoridad. Para PYMEs se admite que el propietario asuma el rol.
8. ¿Qué obligaciones hay frente a una brecha o filtración de datos?
Existe deber de notificación a la Agencia y, en ciertos casos, a los titulares afectados. La Ley 21.719 exige notificación «sin dilaciones indebidas» pero no fija un plazo numérico como el GDPR (72 horas). Se recomienda apuntar a las primeras 48 a 72 horas desde la confirmación de la brecha para demostrar diligencia. La notificación directa es obligatoria cuando la brecha compromete datos personales sensibles, información financiera o bancaria, o datos de niños, niñas o adolescentes menores de 14 años.
9. ¿Qué es el Modelo de Prevención de Infracciones (MPI) y por qué importa?
Es un programa de compliance específico para datos personales. No es obligatorio, pero su certificación opera como atenuante formal ante sanciones que pueden alcanzar las 20.000 UTM o el 2-4% de los ingresos anuales. Contempla 9 elementos mínimos: DPD, RAT, matriz de riesgo, protocolos, canales de reporte, régimen sancionatorio interno, obligaciones contractuales y capacitación. Su implementación toma entre 6 y 12 meses.
10. ¿Cómo se prepara una empresa para cumplir antes de diciembre 2026?
La ruta de adecuación habitual parte por un diagnóstico de brechas (gap analysis), un inventario de tratamientos y mapa de datos, una matriz de riesgos, y la actualización de contratos con proveedores (DPAs). La ley no fiscaliza políticas, fiscaliza evidencia operativa — logs, inventarios y registros datados. Conviene además revisar la articulación con la Ley 21.663 Marco de Ciberseguridad, ya que se complementan.
QUÉ NOS DIFERENCIA
Cumplimiento que se opera, no que se archiva
Plataforma digital única
RAT, consentimientos, derechos ARCOP, políticas y canales vinculados. Automatizando el control y libera carga administrativa.
Equipo multidisciplinario
Abogados, consultores TI, arquitectos de seguridad y especialistas de procesos integrados en una sola mesa de trabajo.
Operación local en Chile
Conocimiento directo de la Agencia de Protección de Datos Personales y del ecosistema regulatorio nacional.
Enfoque Integral
Cumplimiento integral de Ley de manera permanente en el tiempo gracias a su enfoque multidimensional.