Volver al blog
ley de datos personales chileprotección de datos empresascumplimiento normativopymes chileley 21719

¿Mi pyme necesita cumplir con la ley de datos personales? Guía 2025

Guía 2025 para pymes chilenas sobre la nueva ley de datos personales. Quiénes están obligados, plazos, umbrales y primeros pasos para cumplir.

FideliNorm | MAC Consultores
¿Mi pyme necesita cumplir con la ley de datos personales? Guía 2025

¿Mi pyme necesita cumplir con la ley de datos personales? Guía 2025

Si eres dueño o gerente de una pequeña o mediana empresa en Chile, probablemente has escuchado hablar de la nueva Ley de Datos Personales (Ley N° 21.719) y te has hecho la pregunta del millón: ¿esto me afecta a mí? La respuesta corta es sí, casi con seguridad. La respuesta larga, que es la que importa, requiere entender qué empresas están obligadas, desde cuándo y qué tan profundo deben llegar las medidas de cumplimiento.

En esta guía te explicamos, sin tecnicismos innecesarios, todo lo que tu pyme necesita saber para llegar preparada al 2026, año en que la ley entra en plena vigencia.

Qué es la nueva ley de datos personales en Chile

La Ley N° 21.719, publicada en el Diario Oficial el 13 de diciembre de 2024, moderniza por completo el marco de protección de datos en Chile, reemplazando a la antigua Ley 19.628 de 1999, que ya estaba absolutamente desactualizada frente a la realidad digital.

La nueva normativa se inspira fuertemente en el Reglamento General de Protección de Datos europeo (GDPR) y posiciona a Chile entre los países latinoamericanos con estándares más altos en esta materia. Crea además la Agencia de Protección de Datos Personales, organismo autónomo con facultades fiscalizadoras y sancionatorias que será el principal interlocutor de las empresas.

Entre los cambios más relevantes están:

  • Nuevos derechos para los titulares (los llamados derechos ARCOPOL: Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación).
  • Obligación de obtener consentimiento informado, expreso y libre para tratar datos.
  • Régimen de sanciones económicas que puede llegar a montos de varios miles de UTM.
  • Obligaciones de seguridad, registro de actividades y, en ciertos casos, designación de un Delegado de Protección de Datos (DPD).

¿Qué empresas están obligadas a cumplir?

Aquí va la primera gran sorpresa para muchos empresarios: la ley no distingue por tamaño de empresa. No existe un umbral de trabajadores ni de ingresos que te exima de cumplir con sus obligaciones principales.

La ley aplica a toda persona natural o jurídica, pública o privada, que trate datos personales, ya sea de manera total o parcialmente automatizada. Esto significa que incluso una pyme con cinco empleados que guarde una planilla Excel con los correos de sus clientes ya está realizando un tratamiento de datos personales y, por lo tanto, está sujeta a la ley.

Específicamente, tu empresa está obligada si:

  • Tienes una base de datos de clientes (CRM, planillas, sistemas contables).
  • Manejas datos de empleados (que es prácticamente cualquier empresa con contrato de trabajo).
  • Capturas leads desde tu sitio web mediante formularios.
  • Envías email marketing o campañas por WhatsApp.
  • Usas cámaras de seguridad en tus instalaciones.
  • Procesas datos de proveedores personas naturales.

En la práctica, prácticamente cualquier empresa formal en Chile cae dentro del ámbito de aplicación de la ley.

El mito del "umbral mínimo"

Muchos consultores poco rigurosos están vendiendo la idea de que existe un umbral mínimo (por ejemplo, "menos de 10 trabajadores") que exime del cumplimiento. Esto es falso. Lo que sí existe son proporcionalidades en cuanto al nivel de medidas exigibles, pero la obligación general aplica a todos.

Diferencias por tamaño: lo que sí cambia

Aunque todas las empresas están obligadas, la ley contempla un principio de proporcionalidad que considera el tamaño, el riesgo y el volumen de datos tratados. Esto se traduce en algunas diferencias prácticas:

Microempresas y pequeñas empresas (hasta 49 trabajadores)

  • Deben cumplir con todas las obligaciones sustantivas (consentimiento, derechos del titular, seguridad).
  • No están obligadas a designar Delegado de Protección de Datos, salvo que traten datos sensibles a gran escala.
  • Las medidas técnicas pueden ser proporcionales al riesgo (no se les exige una infraestructura de empresa grande).

Medianas empresas (50 a 199 trabajadores)

  • Aplican todas las obligaciones anteriores.
  • Si tratan datos sensibles, datos de menores o realizan perfilamiento sistemático, deben designar DPD.
  • Mayor exigencia en políticas formales, registro de actividades y respuesta a solicitudes ARCOPOL.

Grandes empresas (200+ trabajadores) o tratamientos a gran escala

  • DPD obligatorio.
  • Evaluaciones de impacto (DPIA) para tratamientos de alto riesgo.
  • Registro detallado de actividades de tratamiento.
  • Auditorías periódicas y políticas formales documentadas.

Datos sensibles: la categoría que cambia las reglas

Independientemente del tamaño de tu empresa, si tratas datos sensibles las obligaciones se intensifican significativamente. La ley considera datos sensibles aquellos relativos a:

  • Origen racial o étnico.
  • Afiliación política, sindical o religiosa.
  • Estado de salud y datos biométricos.
  • Vida y orientación sexual.
  • Datos de niños, niñas y adolescentes.
  • Datos de geolocalización.

Si tu pyme es, por ejemplo, una clínica dental, un gimnasio que toma datos biométricos, un colegio o un laboratorio, estás tratando datos sensibles y debes implementar medidas reforzadas sin importar tu tamaño.

Plazos: cuándo entra en vigencia

Aquí está la buena noticia: tienes tiempo para prepararte, pero menos del que crees.

La Ley N° 21.719 establece una vacancia legal de 24 meses desde su publicación, lo que significa que su plena vigencia comienza en diciembre de 2026. Sin embargo, hay matices importantes:

  • 2024-2025: Período de implementación de la Agencia de Protección de Datos. Las empresas deberían estar diseñando su programa de cumplimiento.
  • 2026 (primer semestre): Fase de adecuación final. La Agencia comenzará operaciones plenas.
  • Diciembre 2026 en adelante: Plena fiscalización y régimen sancionatorio activo.

Nuestra recomendación es no esperar a 2026 para empezar. Construir un programa de cumplimiento toma típicamente entre 6 y 12 meses, y los proveedores especializados ya están con agendas saturadas para 2025.

Las 5 obligaciones mínimas que tu pyme debe abordar este año

Si tienes que priorizar y partir por algo concreto, estos son los cinco frentes que toda pyme debería estar trabajando durante 2025:

  1. Inventario de datos: Levantar un mapa completo de qué datos personales tratas, dónde están almacenados, quién accede a ellos y por qué los necesitas.

  2. Bases de licitud: Para cada tratamiento, identificar la base legal (consentimiento, contrato, obligación legal, interés legítimo).

  3. Avisos de privacidad: Actualizar políticas de privacidad de tu sitio web, formularios de contacto y contratos laborales con cláusulas claras y comprensibles.

  4. Procedimiento ARCOPOL: Definir cómo recibirás y responderás a las solicitudes de los titulares de datos (los plazos legales son cortos: 30 días).

  5. Medidas de seguridad: Cifrado de respaldos, control de accesos, política de contraseñas y un protocolo básico para brechas de seguridad (debes notificarlas a la Agencia en 72 horas).

El factor diferenciador: ISO 27001 y los sistemas de gestión

Una manera eficiente de cumplir con la ley sin reinventar la rueda es apoyarse en estándares internacionales como ISO 27001 Chile, que es la norma de gestión de seguridad de la información. Una empresa certificada en ISO 27001 ya tiene buena parte del trabajo de cumplimiento avanzado, especialmente en lo relativo a medidas técnicas y organizativas.

Cubriremos esto en profundidad en otro artículo de esta serie, pero la idea central es: norma + ley van de la mano. La norma da el cómo; la ley exige el qué.

Conclusión: empezar hoy es la decisión más rentable

Tu pyme necesita cumplir con la nueva ley de datos personales en Chile. No es opcional, no depende de tu tamaño y los plazos son más cortos de lo que parecen. Pero, lejos de ser una carga burocrática, un buen programa de cumplimiento normativo es una oportunidad para profesionalizar tu empresa, generar confianza con tus clientes y diferenciarte en el mercado.

Las empresas que lleguen a 2026 con su programa de protección de datos implementado tendrán ventajas competitivas claras frente a quienes lleguen apurando los últimos plazos —y a quienes les pille la primera fiscalización con todo por hacer.

¿Necesitas ayuda para que tu pyme cumpla con la ley de datos personales?

En FideliNorm — MAC Consultores somos especialistas en cumplimiento normativo y protección de datos para empresas chilenas. Hemos acompañado a pymes de distintos rubros en la implementación de programas adaptados a su tamaño, presupuesto y nivel de riesgo, sin sobre-ingeniería ni soluciones genéricas.

Agenda un diagnóstico gratuito y te diremos exactamente qué te falta y cuánto te tomaría llegar al 2026 con todo en orden. Contáctanos aquí o escríbenos a contacto@fidelinorm.cl.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →