¿Cuándo entra en vigencia la Ley 21.719 de protección de datos personales en Chile?

La Ley 21.719 fue publicada el 13 de diciembre de 2024 y entra en vigencia el 1 de diciembre de 2026, tras un período de vacancia legal de 24 meses. A partir de esa fecha, la Agencia de Protección de Datos Personales podrá fiscalizar y aplicar sanciones a las organizaciones que no cumplan con la normativa.

¿Cuáles son las multas por no cumplir con la Ley 21.719?

Las multas se clasifican en tres niveles: infracciones leves (1 a 100 UTM), graves (101 a 5.000 UTM o hasta el 2% de los ingresos anuales) y gravísimas (5.001 a 10.000 UTM o hasta el 4% de los ingresos anuales, con tope de 20.000 UTM). Además, la Agencia puede suspender operaciones de tratamiento de datos por hasta 30 días en casos de infracciones gravísimas reiteradas.

¿Qué medidas técnicas de seguridad exige la Ley 21.719 para la infraestructura TI?

La ley exige medidas proporcionales al riesgo del tratamiento, incluyendo cifrado de datos en tránsito y en reposo (TLS 1.3 o superior, AES-256), control de acceso basado en roles con autenticación multifactor, segmentación de redes, registro y monitoreo continuo de actividades, gestión de vulnerabilidades, respaldos cifrados y planes de respuesta a incidentes con notificación obligatoria.

¿Necesito un Delegado de Protección de Datos para cumplir con la Ley 21.719?

Sí, en muchos casos. La ley establece la figura del Delegado de Protección de Datos (DPO), quien actúa como enlace entre la organización y la Agencia de Protección de Datos Personales. Es especialmente relevante para empresas que realizan tratamiento de datos a gran escala, manejan datos sensibles o ejecutan perfilamiento sistemático de personas.

Ley 21.719: Prepara tu infraestructura TI para 2026

En resumen: La Ley 21.719 de protección de datos personales entra en vigencia el 1 de diciembre de 2026 y exige que toda organización en Chile implemente cifrado, controles de acceso, auditoría continua y planes de respuesta a incidentes. Las multas llegan hasta el 4% de los ingresos anuales o 20.000 UTM. Quedan menos de 8 meses para adecuar tu infraestructura TI: este artículo cubre exactamente qué necesitas implementar, con qué prioridad y a qué costo estimado.

La protección de datos personales en Chile dejó de ser una recomendación. Con la publicación de la Ley 21.719 en diciembre de 2024, el país alineó su legislación con estándares internacionales como el GDPR europeo, y creó la Agencia de Protección de Datos Personales con facultades reales de fiscalización y sanción.

El contexto no podría ser más urgente. Según datos de Fortinet, Chile sufrió 27.600 millones de intentos de ciberataques en 2024, casi cuatro veces más que el año anterior. Y no se trata solo de volumen: el 55% de las empresas chilenas reportó haber sufrido un ataque de ransomware durante ese mismo período.

La ley no solo exige proteger los datos. Exige demostrar que los proteges. Eso cambia radicalmente lo que tu infraestructura TI necesita hacer.

¿Qué es la Ley 21.719 y por qué importa ahora?

La Ley 21.719 reemplaza la legislación de protección de datos que Chile tenía desde 1999, una norma que durante más de dos décadas careció de un órgano fiscalizador con dientes. Eso se acabó.

La nueva ley, publicada el 13 de diciembre de 2024 en el Diario Oficial, establece un marco completo que incluye:

Derechos ARCO ampliados: acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de datos. Los titulares pueden ejercerlos de forma gratuita y las organizaciones deben responder en un máximo de 30 días hábiles.
Agencia de Protección de Datos Personales: un organismo autónomo con facultades de fiscalización, auditoría, interpretación normativa y sanción. Según la Guía Práctica de la Secretaría de Gobierno Digital, comenzará a operar en paralelo con la entrada en vigencia de la ley.
Principio de responsabilidad demostrada: no basta con cumplir. Hay que poder probar que se cumple, con evidencia documental, registros técnicos y evaluaciones de impacto.
Evaluaciones de impacto en privacidad (DPIA): obligatorias para tratamientos de alto riesgo, como el uso de datos sensibles, perfilamiento automatizado o monitoreo sistemático a gran escala.
Notificación de brechas: obligación de informar incidentes de seguridad que afecten datos personales tanto a la Agencia como a los titulares afectados.

La fecha límite es el 1 de diciembre de 2026. A partir de ese día, la Agencia puede fiscalizar, auditar y sancionar.

¿Cuáles son las multas y sanciones por incumplimiento?

Las sanciones de la Ley 21.719 están diseñadas para que el incumplimiento duela financieramente. El esquema es progresivo y tiene tres niveles:

Tipo de infracción	Rango de multa (UTM)	Multa para grandes empresas	Ejemplos
Leve	1 a 100 UTM	Hasta 100 UTM	No informar actualizaciones al registro de bases de datos
Grave	101 a 5.000 UTM	Hasta el 2% de ingresos anuales	Tratar datos sin base legal, no atender derechos ARCO en plazo
Gravísima	5.001 a 10.000 UTM	Hasta el 4% de ingresos anuales (tope 20.000 UTM)	Tratar datos sensibles sin consentimiento, omitir brechas de seguridad

Para dimensionar: una UTM en Chile equivale a aproximadamente CLP $66.000 (abril 2026). Eso significa que una infracción gravísima podría superar los CLP $1.300 millones (cerca de USD 1,3 millones), según los rangos publicados en el texto oficial de la ley.

Pero las multas no son la única consecuencia. La Agencia también puede:

Suspender operaciones de tratamiento de datos por hasta 30 días en caso de infracciones gravísimas reiteradas dentro de un período de 24 meses.
Inscribir a la organización en el Registro Nacional de Sanciones, que es de carácter público. El daño reputacional puede ser peor que la multa misma.

¿Qué exige la ley a nivel de infraestructura TI?

Aquí es donde la ley pasa de lo jurídico a lo técnico. La Ley 21.719 exige implementar medidas de seguridad “técnicas y organizativas” proporcionales al nivel de riesgo del tratamiento. Según el análisis de BigID sobre la Ley 21.719, esto se traduce en requisitos concretos de infraestructura.

Cifrado de datos en tránsito y en reposo

Toda comunicación que involucre datos personales debe estar cifrada con TLS 1.3 o superior. Los datos almacenados (en bases de datos, sistemas de archivos y respaldos) deben usar cifrado AES-256 como mínimo. Esto aplica a servidores on-premise, servicios en la nube y backups.

Además, las organizaciones necesitan un sistema de gestión de llaves criptográficas (KMS) que incluya rotación periódica de llaves, separación de funciones y, en casos de datos sensibles, módulos de seguridad por hardware (HSM).

Control de acceso basado en roles (RBAC) y autenticación multifactor

La ley exige que solo las personas autorizadas accedan a datos personales, y que ese acceso quede registrado. En la práctica, eso significa:

Directorio centralizado (Active Directory, LDAP o equivalente) con políticas de acceso por rol
Autenticación multifactor (MFA) para todo acceso a sistemas que procesen datos personales
Revisión periódica de privilegios y desactivación inmediata de cuentas inactivas

Segmentación de redes

Los sistemas que procesan datos personales deben estar aislados del resto de la red. Eso implica VLANs dedicadas, firewalls internos con reglas explícitas y monitoreo del tráfico entre segmentos. Un servidor de base de datos con información de clientes no puede estar en la misma subred que el Wi-Fi de invitados. Una arquitectura Zero Trust con Fortinet o Cisco facilita la implementación de esta segmentación con verificación continua de cada acceso.

Registro, monitoreo y auditoría continua

Todo acceso a datos personales debe quedar registrado con detalle suficiente para una auditoría: quién accedió, cuándo, a qué datos y qué operación realizó. Esto requiere un sistema centralizado de logs (SIEM), retención de registros por períodos definidos y alertas automatizadas ante accesos anómalos.

Respaldos cifrados y plan de continuidad

Los respaldos deben estar cifrados con el mismo nivel de protección que los datos de producción. La ley implica que debes poder restaurar datos en caso de incidente y demostrar que tus procesos de backup funcionan mediante pruebas documentadas. Si necesitas estructurar esta capacidad desde cero, consulta nuestro checklist de continuidad operacional TI para 2026 con un framework de 7 fases.

¿Cómo priorizar la adecuación de tu infraestructura?

Con menos de 8 meses antes de la entrada en vigencia, la priorización es crítica. No puedes hacer todo al mismo tiempo. Aquí va una hoja de ruta en cuatro fases, basada en lo que recomienda la Guía Práctica de Gobierno Digital y adaptada a la realidad de infraestructura empresarial en Chile:

Fase 1: Inventario y clasificación (mes 1-2)

Antes de proteger datos, necesitas saber dónde están. Esto implica:

Mapear todos los sistemas que almacenan o procesan datos personales (servidores, bases de datos, aplicaciones, servicios cloud, respaldos)
Clasificar los datos según sensibilidad: datos personales generales, datos sensibles (salud, biométricos, financieros) y datos de menores
Documentar las transferencias de datos a terceros o al extranjero
Identificar las bases legales del tratamiento para cada flujo de datos

Punto clave: Si no puedes listar hoy todos los sistemas que contienen datos personales en tu organización, esa es tu primera tarea. Sin inventario, todo lo demás es adivinar.

Fase 2: Brechas críticas de seguridad (mes 2-4)

Con el inventario listo, cierra primero las brechas que generan mayor riesgo de sanción:

Implementar cifrado en tránsito (TLS) en todas las conexiones a bases de datos y aplicaciones que manejen datos personales
Activar cifrado en reposo para bases de datos y respaldos
Configurar autenticación multifactor para administradores de sistemas y acceso remoto
Segmentar la red para aislar los sistemas con datos personales

Fase 3: Controles de acceso y auditoría (mes 4-6)

Desplegar control de acceso basado en roles vinculado al directorio corporativo
Implementar sistema de logs centralizado (SIEM) con retención mínima de 12 meses
Configurar alertas ante accesos no autorizados o patrones anómalos
Establecer proceso de revisión trimestral de privilegios

Fase 4: Documentación y pruebas (mes 6-8)

Documentar todas las medidas implementadas con evidencia técnica
Realizar evaluaciones de impacto en privacidad (DPIA) para tratamientos de alto riesgo
Ejecutar pruebas de restauración de respaldos y documentar los resultados
Preparar el plan de respuesta a incidentes con tiempos de notificación definidos
Designar al Delegado de Protección de Datos (DPO) si corresponde

¿Cuánto cuesta adecuar la infraestructura para cumplir?

El costo depende del tamaño de la organización y del estado actual de su infraestructura. Según datos de Secure Privacy sobre costos de cumplimiento GDPR (la referencia más cercana al esquema de la Ley 21.719), los rangos son:

Tamaño de empresa	Inversión estimada año 1	Costo anual recurrente	Componentes principales
Pequeña (hasta 50 empleados)	USD 5.000 - 30.000	USD 3.000 - 12.000	Cifrado, MFA, políticas, capacitación
Mediana (50-500 empleados)	USD 30.000 - 100.000	USD 10.000 - 30.000	SIEM, segmentación, RBAC, DPO parcial
Grande (500+ empleados)	USD 100.000 - 500.000+	USD 50.000 - 150.000+	Plataforma de privacidad, DPO dedicado, HSM, auditorías externas

Parece mucho. Pero compáralo con una multa gravísima de hasta el 4% de tus ingresos anuales, más la suspensión de operaciones por 30 días, más el daño reputacional de aparecer en el Registro Nacional de Sanciones. La inversión en cumplimiento es una fracción del costo de no cumplir.

Dónde concentrar el presupuesto según prioridad

Cifrado y respaldos: es la base de todo. Sin cifrado, cualquier brecha de datos es automáticamente una infracción grave o gravísima. Si necesitas renovar servidores que no soportan cifrado por hardware, en Elite Center trabajamos con servidores Dell PowerEdge y HPE ProLiant que incluyen soporte nativo para TPM 2.0, cifrado de discos por hardware y arranque seguro.
Control de acceso y MFA: segundo en prioridad. La mayoría de las brechas de datos comienzan con credenciales comprometidas.
Monitoreo y SIEM: tercero. Sin logs, no puedes demostrar cumplimiento ni detectar incidentes a tiempo.
Consultoría legal y DPO: necesario, pero no requiere inversión en hardware.

La comparación con el GDPR es inevitable porque la Ley 21.719 se inspiró directamente en el reglamento europeo. Sin embargo, hay diferencias relevantes para la planificación de infraestructura, según el análisis de Future of Privacy Forum (FPF):

Aspecto	Ley 21.719 (Chile)	GDPR (Unión Europea)
Multa máxima	4% de ingresos anuales o 20.000 UTM	4% de facturación global o EUR 20 millones
Plazo respuesta derechos	30 días hábiles (prorrogable 30 más)	1 mes (prorrogable 2 más)
DPO obligatorio	Según tipo de tratamiento	Obligatorio en casos específicos
Notificación de brechas	A la Agencia y a titulares	72 horas a la autoridad
Transferencia internacional	Países con nivel adecuado o garantías	Decisiones de adecuación o cláusulas tipo
Evaluación de impacto	Tratamientos de alto riesgo	Tratamientos de alto riesgo
Órgano fiscalizador	Agencia de Protección de Datos Personales	Autoridades nacionales de cada país

La similitud estructural significa que si tu infraestructura ya cumple con GDPR, buena parte del camino está recorrido. Si no, la Ley 21.719 es tu primer punto de referencia para ponerte al día.

¿Qué pasa si tus servidores actuales no soportan los requisitos?

Esta es una pregunta que muchas empresas en Chile enfrentan hoy. Servidores con más de 5 años frecuentemente carecen de soporte para TPM 2.0 (necesario para cifrado por hardware), no permiten cifrado nativo de discos sin degradar el rendimiento, tienen controladoras RAID que no soportan Self-Encrypting Drives (SED), no reciben actualizaciones de firmware de seguridad del fabricante y no cuentan con capacidad de procesamiento suficiente para correr un agente SIEM sin impactar la producción.

Si tu infraestructura está en esa situación, renovar servidores no es un gasto discrecional. Es una inversión en cumplimiento regulatorio.

En Elite Center trabajamos con empresas chilenas que están exactamente en este proceso de adecuación. Nuestra recomendación varía según el caso:

Para producción y datos sensibles: servidores nuevos Dell PowerEdge 16G o HPE ProLiant Gen11 con TPM 2.0, cifrado SED nativo y soporte completo de firmware. Los puedes encontrar en nuestro catálogo de servidores.
Para ambientes de desarrollo, testing o respaldo: servidores reacondicionados certificados de generaciones recientes (Dell 14G/15G, HPE Gen10/Gen10+), disponibles en Reborn by Elite Center, que ya incluyen soporte TPM 2.0 y capacidades de cifrado adecuadas.
Para monitoreo y SIEM: un servidor dedicado dimensionado para almacenar y procesar logs. Dependiendo del volumen, puede ser un equipo rack 2U con almacenamiento expandible.

¿Qué otros requisitos organizacionales debes considerar?

La infraestructura TI es el pilar técnico del cumplimiento, pero la Ley 21.719 también exige medidas organizativas que impactan directamente en cómo operas:

Delegado de Protección de Datos (DPO)

La ley establece la figura del DPO como enlace entre la organización y la Agencia. Según la guía de Prey Project sobre la Ley 21.719, el DPO trabaja en conjunto con los equipos de TI para identificar riesgos, mejorar procesos y garantizar el manejo seguro de datos personales. No necesita ser un empleado a tiempo completo: puede ser un rol compartido o externalizado.

Capacitación del personal

Todo colaborador que acceda a datos personales debe recibir capacitación sobre la ley, las políticas internas y los procedimientos de reporte de incidentes. Esto no es opcional: forma parte de las medidas organizativas que la Agencia puede verificar en una auditoría.

Contratos con encargados de tratamiento

Si externalizas el procesamiento de datos (proveedores de hosting, ERP en la nube, servicios de nómina), necesitas contratos que establezcan explícitamente las obligaciones de seguridad del encargado, los mecanismos de auditoría y las condiciones de subcontratación.

Plan de respuesta a incidentes

Debes contar con un plan documentado que defina roles, tiempos de respuesta, procedimientos de contención, análisis forense y notificación a la Agencia y a los titulares afectados. La improvisación ante una brecha de datos es exactamente lo que genera infracciones gravísimas. Ten en cuenta que la Ley 21.663 de Ciberseguridad exige además reportar incidentes a la ANCI en un plazo de 3 horas si tu organización es Operador de Importancia Vital.

Siguiente paso: evalúa tu infraestructura actual

La Ley 21.719 no es un proyecto que puedas dejar para septiembre. Los plazos de implementación de cifrado, segmentación de redes, sistemas SIEM y control de acceso son de meses, no de semanas. Y el 1 de diciembre de 2026 no se negocia.

En Elite Center llevamos desde 2008 trabajando con empresas chilenas en infraestructura de servidores, redes y seguridad. Como Gold Partner de Dell Technologies y Partner de HPE, Cisco y Fortinet, podemos ayudarte a evaluar el estado actual de tu infraestructura frente a los requisitos de la ley, dimensionar los componentes que necesitas renovar o implementar, cotizar servidores nuevos o reacondicionados con las capacidades de seguridad requeridas e implementar las soluciones con soporte local en Chile.

Si necesitas un diagnóstico de tu infraestructura, contacta a nuestro equipo técnico sin costo. También puedes explorar servidores con soporte de cifrado nativo o revisar opciones en nuestra tienda online.

El cumplimiento no es solo un tema legal. Es un tema de infraestructura. Y la infraestructura se planifica hoy, no el día antes de la fiscalización.