Volver al blog
ley de datos personales chilesanciones ley 21719protección de datos empresascumplimiento normativoresponsabilidad directores

Sanciones por incumplir la ley de datos personales en Chile: cuánto cuesta no cumplir

Análisis completo de las multas y sanciones de la nueva ley de datos personales en Chile. Infracciones leves, graves y gravísimas, con casos prácticos.

FideliNorm | MAC Consultores

Sanciones por incumplir la ley de datos personales en Chile: cuánto cuesta no cumplir

Cuando una empresa evalúa si invertir o no en cumplimiento normativo, la pregunta que termina inclinando la balanza casi siempre es la misma: ¿qué pasa si no lo hago? En el caso de la nueva Ley de Datos Personales chilena (Ley N° 21.719), la respuesta es contundente: el costo de no cumplir puede ser varias veces superior al de implementar un buen programa de protección de datos.

En este artículo desglosamos el régimen sancionatorio de la nueva ley, explicamos qué se considera infracción leve, grave y gravísima, y revisamos casos prácticos para que entiendas, en pesos chilenos y consecuencias reales, lo que está en juego.

El nuevo régimen sancionatorio: un cambio radical

Bajo la antigua Ley 19.628, las sanciones por mal uso de datos personales eran prácticamente simbólicas: multas de hasta 50 UTM (cerca de 3,5 millones de pesos) que rara vez se aplicaban en la práctica. La nueva Ley 21.719 cambia esto de manera dramática, introduciendo un régimen comparable al de los países más exigentes de la región.

La fiscalización está a cargo de la nueva Agencia de Protección de Datos Personales, organismo autónomo con facultades para investigar, sancionar y hasta suspender tratamientos de datos. Y a diferencia del modelo anterior, ya no dependerá de que un titular afectado se querelle: la Agencia podrá actuar de oficio ante denuncias o ante hechos de público conocimiento, como una filtración de datos en redes sociales.

Clasificación de las infracciones: leves, graves y gravísimas

La ley distingue tres niveles de infracciones, cada uno con su escala de multas asociada. Veamos en detalle.

Infracciones leves

Se consideran leves aquellas que constituyen incumplimientos formales, sin daño relevante a los titulares. Por ejemplo:

  • No tener un aviso de privacidad publicado en el sitio web.
  • No designar formalmente al Delegado de Protección de Datos (DPD) cuando es obligatorio.
  • No mantener actualizado el registro de actividades de tratamiento.
  • No responder en plazo (pero sí responder eventualmente) a una solicitud ARCOPOL.

Multa: hasta 5.000 UTM, equivalente a aproximadamente 350 millones de pesos al valor actual.

Infracciones graves

Son infracciones graves los incumplimientos sustantivos que afectan derechos de los titulares o generan riesgo material:

  • Tratar datos personales sin consentimiento informado ni otra base legal.
  • No notificar brechas de seguridad dentro del plazo de 72 horas.
  • Negar injustificadamente derechos ARCOPOL.
  • Transferir datos al extranjero sin las garantías exigidas.
  • No implementar medidas de seguridad adecuadas al riesgo.
  • Realizar perfilamientos o decisiones automatizadas sin las salvaguardas legales.

Multa: hasta 10.000 UTM, cerca de 700 millones de pesos.

Infracciones gravísimas

Las infracciones gravísimas son aquellas que implican una vulneración profunda de derechos fundamentales o una conducta dolosa:

  • Tratar datos sensibles (salud, biométricos, ideológicos, de menores) sin habilitación legal.
  • Vender o ceder datos personales sin autorización del titular.
  • Reincidir en infracciones graves.
  • Obstruir la fiscalización de la Agencia.
  • Falsear información en procedimientos sancionatorios.

Multa: hasta 20.000 UTM, equivalente a aproximadamente 1.400 millones de pesos.

Sanciones accesorias

Más allá de las multas, la Agencia puede imponer sanciones accesorias que en muchos casos son aún más temibles que el monto económico:

  • Suspensión de operaciones de tratamiento de datos por hasta 30 días.
  • Eliminación de bases de datos completas.
  • Publicación de la sanción en medios de circulación nacional (efecto reputacional severo).
  • Inhabilitación temporal para ciertas actividades.

Responsabilidad de gerentes y directores

Aquí entra uno de los aspectos más subestimados de la nueva normativa. La Ley 21.719 introduce un principio de responsabilidad proactiva (accountability) que no se queda en la persona jurídica: alcanza a quienes toman decisiones dentro de la empresa.

¿Quiénes pueden ser responsables?

  • El representante legal de la empresa, en su calidad de responsable del tratamiento.
  • Los directores y gerentes generales, cuando se acredite que conocían la infracción y no actuaron.
  • El encargado del tratamiento (proveedores que procesan datos por cuenta de la empresa).
  • Eventualmente, el DPD, si se acredita negligencia grave en su rol.

Tipos de responsabilidad

  1. Administrativa: Multas a la persona jurídica (la empresa).
  2. Civil: Indemnización a los titulares afectados por daños y perjuicios.
  3. Reputacional: Publicidad de la sanción, pérdida de clientes y proveedores.
  4. Laboral: Causal de despido del DPD o gerentes que hayan incumplido.

Es importante destacar que la ley no contempla responsabilidad penal para los administradores en la mayoría de los casos, pero sí abre la puerta a acciones civiles individuales y colectivas que pueden multiplicar los costos del incumplimiento.

Casos hipotéticos: cuánto cuesta no cumplir, en concreto

Para aterrizar las cifras, veamos tres escenarios típicos que pueden enfrentar empresas chilenas.

Caso 1: Pyme retail con base de datos sin consentimiento

Una tienda online con 50.000 clientes envía email marketing sin haber obtenido consentimiento expreso. Un cliente denuncia. La Agencia investiga y detecta que la base completa fue tratada sin base legal.

  • Tipo de infracción: Grave (tratamiento sin base legal).
  • Multa estimada: 3.000 UTM ≈ 210 millones de pesos.
  • Costos adicionales: Eliminación parcial de la base, reconstrucción del consentimiento, daño reputacional.
  • Costo total estimado: 280 a 350 millones de pesos.

Caso 2: Clínica con filtración de datos sensibles

Una clínica médica sufre un ataque de ransomware. Datos de salud de 8.000 pacientes quedan expuestos. La empresa no notifica a la Agencia ni a los pacientes durante dos semanas.

  • Tipo de infracción: Gravísima (tratamiento de datos sensibles + falta de notificación de brecha).
  • Multa estimada: 12.000 UTM ≈ 840 millones de pesos.
  • Demandas civiles: Estimación de 50 a 200 demandas individuales.
  • Costo total estimado: 1.500 millones de pesos o más.

Caso 3: Empresa de servicios con DPD inexistente

Una empresa de servicios financieros con 250 trabajadores nunca designó DPD ni implementó medidas de seguridad documentadas. Una auditoría de la Agencia detecta los incumplimientos.

  • Tipo de infracción: Múltiples (leves y graves acumuladas).
  • Multa estimada: 4.500 UTM ≈ 315 millones de pesos.
  • Costo de remediación: 80 a 120 millones de pesos en consultoría e implementación.
  • Costo total estimado: 400 a 450 millones de pesos.

El cálculo: prevenir vs. remediar

Implementar un programa robusto de protección de datos empresas en Chile cuesta, dependiendo del tamaño y rubro, entre 15 y 80 millones de pesos para una pyme típica. Esto incluye diagnóstico, políticas, capacitación, herramientas técnicas y, eventualmente, certificaciones complementarias como ISO 27001 Chile.

Comparado con multas que pueden llegar a los 1.400 millones, el retorno de la inversión preventiva es brutalmente favorable. Y eso sin contar los costos invisibles del incumplimiento: pérdida de contratos con clientes corporativos que exigen estándares, dificultades para licitar con el Estado y daño reputacional difícil de cuantificar.

Atenuantes y agravantes que pueden mover la aguja

La Agencia no aplica multas en automático: pondera atenuantes y agravantes al momento de fijar el monto. Conocerlos te permite reducir significativamente la exposición.

Atenuantes

  • Tener un programa de cumplimiento documentado y operativo.
  • Haber realizado autodenuncia de la infracción.
  • Cooperar activamente con la fiscalización.
  • Implementar medidas correctivas inmediatas.
  • Indemnizar voluntariamente a los afectados.

Agravantes

  • Reincidencia en los últimos 5 años.
  • Tratar datos de menores o sensibles.
  • Obtener beneficio económico de la infracción.
  • Obstaculizar la investigación.
  • Afectar a un número significativo de titulares.

Tener un programa de cumplimiento bien documentado puede reducir multas en un 50 a 70 por ciento, según la práctica internacional comparable.

Conclusión: el costo del incumplimiento ya no es teórico

El régimen sancionatorio de la Ley 21.719 está diseñado para que cumplir sea más barato que no cumplir. Y aunque la fiscalización plena empezará en diciembre de 2026, las empresas que esperen hasta entonces para empezar a moverse llegarán tarde.

La pregunta no es si tu empresa será fiscalizada eventualmente, sino cuándo y en qué estado la encontrará esa fiscalización. Una pyme con un programa básico bien implementado puede absorber una eventual sanción menor sin riesgo de continuidad. Una empresa sin programa de cumplimiento normativo se juega su viabilidad financiera en cada infracción.

Evalúa tu exposición real al riesgo sancionatorio

En FideliNorm — MAC Consultores realizamos diagnósticos de riesgo regulatorio específicos para empresas chilenas. En 2 a 3 semanas te entregamos un informe que cuantifica tu exposición actual, prioriza acciones por costo-beneficio y proyecta una hoja de ruta hacia el cumplimiento.

Agenda una reunión exploratoria y conversemos sobre la realidad de tu empresa. Contáctanos o escríbenos a contacto@fidelinorm.cl.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →