Ley 21.719: Cómo Implementar la Nueva Ley de Protección de Datos en Chile
El 13 de diciembre de 2024 se publicó en el Diario Oficial la Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. Esta ley reforma íntegramente la antigua Ley N° 19.628 y entra en vigencia el 1 de diciembre de 2026, alineando a Chile con los estándares internacionales más exigentes (similares al GDPR europeo).
El plazo parece lejano, pero la preparación es un proceso progresivo: se empieza por lo organizativo y se avanza hacia lo técnico. La guía del Gobierno para el sector público ofrece una hoja de ruta replicable por cualquier organización. A continuación, la adaptamos en pasos concretos.
Paso 1: Primeros pasos (Diciembre 2025 – Enero 2026)
Tres acciones para arrancar:
- Designar un responsable de implementación: una persona con capacidad de gestión y articulación interna que coordine el cumplimiento. Opcionalmente, puede designarse un Delegado de Protección de Datos (DPO) con requisitos de autonomía e independencia.
- Constituir formalmente un proyecto: con una herramienta de gestión (carta Gantt u otra) que permita monitorear hitos, responsables y plazos.
- Comunicación interna inicial: informar a toda la organización que comienza la implementación, quién la lidera y qué viene a continuación.
Paso 2: Levantamiento de información (Enero – Abril 2026)
El corazón del proceso. Se construye una matriz de levantamiento que mapea todos los datos personales que trata la organización, incluyendo:
- Categorías de datos tratados y si son datos sensibles
- Universo de titulares y finalidad del tratamiento
- Base de legitimidad y fuente de procedencia del dato
- Destinatarios, cesiones y transferencias internacionales
- Plazos de conservación y sistemas/infraestructura donde se almacena
- Existencia de decisiones automatizadas y elaboración de perfiles
- Riesgos detectados en cada tratamiento
Conviene incluir a todas las áreas, sin olvidar unidades de soporte (legal, RR.HH., bienestar) que suelen manejar datos sensibles.
Paso 3: Informe de hallazgos (Abril 2026)
Con la matriz completa se elabora un informe que identifica conclusiones, riesgos principales y brechas de cumplimiento. El checklist de referencia es el del artículo 14 ter (deber de información y transparencia), que obliga a publicar, entre otros: la política de tratamiento, la individualización del responsable, el canal de contacto, las categorías y finalidades de datos, las medidas de seguridad, los derechos del titular (acceso, rectificación, supresión, oposición y portabilidad) y la existencia de decisiones automatizadas.
Paso 4: Comité Ejecutivo (Abril 2026)
Se conforma un comité que prioriza acciones y aprueba instrumentos. Debe incluir representación de la jefatura, el responsable de implementación, y las áreas legal, tecnología, control de gestión y las áreas de negocio que tratan más datos. Se recomienda sesionar dos veces al mes.
Paso 5: Catálogo de datos (Mayo – Junio 2026)
Primer instrumento formal. Aunque la ley chilena no exige expresamente un Registro de Actividades de Tratamiento (RAT), el catálogo facilita cumplir el artículo 14 ter. Debe contener categorías de datos, universo de titulares, destinatarios, finalidades, base de legitimidad, plazo de conservación y fuente de los datos.
Paso 6: Política de tratamiento de datos (Julio 2026)
Documento público que describe fines, base de legitimidad, medidas de seguridad, cesiones a terceros, política de conservación, derechos de los titulares y el canal para ejercerlos, además de su vigencia y versionado.
Paso 7: Protocolos, reglas y procedimientos (Agosto – Noviembre 2026)
Etapa técnica: se establecen controles concretos priorizando los mayores riesgos — control de acceso a datos, respuesta a requerimientos de autoridades, reglas para herramientas en la nube, manejo de información sensible, anonimización y cifrado. Forman parte del modelo de prevención (voluntario, pero altamente recomendable).
Cronograma resumido
| Etapa | Plazo sugerido |
|---|---|
| Primeros pasos | Dic 2025 – Ene 2026 |
| Levantamiento de información | Ene – Abr 2026 |
| Informe de hallazgos | Abr 2026 |
| Constitución del Comité | Abr 2026 |
| Catálogo de datos | May – Jun 2026 |
| Política de tratamiento | Jul 2026 |
| Protocolos y procedimientos | Ago – Nov 2026 |
| Entrada en vigencia | 1 dic 2026 |
Cómo Ayuda Idesify
La Ley 21.719 pone foco especial en datos biométricos, decisiones automatizadas y verificación de identidad, áreas donde Idesify aporta directamente:
- Verificación de identidad conforme a los nuevos estándares chilenos
- Registro de auditoría de todas las actividades de tratamiento
- Manejo trazable de datos sensibles y biométricos
- Soporte para informar la lógica de decisiones automatizadas a los titulares
¿Necesitas preparar tu organización para la Ley 21.719 antes de diciembre de 2026? Contacta a nuestro equipo para una consulta.
