Volver al blog
Ley 21.719multassancionesdatos personalesChilecumplimientoAgencia de Protección de Datos

Multas Ley 21.719: hasta 20.000 UTM y cómo se calculan

Régimen sancionatorio de la Ley 21.719: clasificación de infracciones leves, graves y gravísimas, criterios de graduación, atenuantes, reincidencia y procedimiento ante la APDP.

Equipo FideliNorm
Multas Ley 21.719: hasta 20.000 UTM y cómo se calculan

La pregunta que aparece en cada comité gerencial cuando se habla de la Ley 21.719 es siempre la misma: "¿cuánto me pueden multar?".

La respuesta corta son 20.000 UTM, más de $1.300 millones al valor actual. La larga, y la que importa para gestionar el riesgo, es entender cómo clasifica la APDP las infracciones, qué la atenúa y qué la agrava.

Acá te resumimos el régimen sancionatorio en lenguaje operativo para directores, gerentes y compliance officers que necesitan dimensionar el riesgo antes de aprobar el presupuesto.

El régimen ya no es simbólico

La Ley 21.719 abandona el modelo casi simbólico de la antigua Ley 19.628, que apenas contemplaba indemnizaciones civiles. Lo reemplaza por un régimen administrativo escalonado muy similar al GDPR europeo.

La APDP investiga, instruye y resuelve, con multas en Unidades Tributarias Mensuales (UTM). Las infracciones se clasifican en tres niveles:

  • Leves: hasta 5.000 UTM.
  • Graves: desde 5.001 hasta 10.000 UTM.
  • Gravísimas: desde 10.001 hasta 20.000 UTM.

Adicionalmente, la APDP puede imponer sanciones accesorias: amonestación pública, suspensión temporal de operaciones de tratamiento e incluso prohibición de tratamiento en infracciones gravísimas reiteradas.

Qué cuenta como infracción leve

Son los incumplimientos formales o de baja afectación al titular. Algunos ejemplos típicos:

  • No mantener actualizado el Registro de Bancos de Datos.
  • No publicar política de privacidad o publicarla incompleta.
  • No designar DPO cuando corresponde.
  • No responder solicitudes ARCO en plazo, sin que ello cause perjuicio sustancial.
  • Falta de capacitación documentada del personal.

Una empresa mediana sin daño a titulares y con cooperación activa puede salir con multas en torno a las 500 UTM si la APDP aplica el piso del tramo.

Qué cuenta como infracción grave

Acá ya hablamos del núcleo de los principios y derechos. Por ejemplo:

  • Tratar datos sin base de licitud válida (consentimiento mal obtenido o inexistente).
  • Incumplir derechos ARCO de forma reiterada o causando perjuicio.
  • Realizar transferencias internacionales sin las garantías exigidas.
  • No suscribir contrato de encarguía con un proveedor que trata datos por cuenta tuya.
  • Conservar datos más allá del plazo necesario.
  • Omitir la notificación de una brecha de seguridad cuando correspondía.

Una empresa con CRM mal gestionado, marketing automatizado sin consentimiento o cloud de un proveedor sin cláusulas tipo cae fácilmente acá.

Qué cuenta como infracción gravísima

Vulneraciones graves y dolosas o con afectación masiva. Ejemplos:

  • Tratar datos sensibles (salud, biométricos, origen étnico, opinión política, vida sexual) sin consentimiento expreso ni habilitación legal.
  • Comercializar bases de datos sin el consentimiento de los titulares.
  • Realizar decisiones automatizadas o perfilamiento que produzcan efectos jurídicos sin garantías mínimas.
  • Obstaculizar deliberadamente una fiscalización de la APDP.
  • Filtrar masivamente datos personales por fallas evitables y omitir su notificación.
  • Reincidir en infracciones graves dentro de un período corto.

Acá una multa techo de 20.000 UTM equivale a $1.300 millones. Para una pyme, esa cifra es la diferencia entre seguir operando o cerrar.

Por qué dos empresas pagan multas distintas por lo mismo

Dentro de cada tramo, la APDP no aplica el máximo de manera automática. La ley fija criterios que el órgano debe ponderar y motivar en su resolución. Estos son los diez:

  1. Naturaleza, gravedad y duración de la infracción.
  2. Carácter intencional o negligente de la conducta.
  3. Cantidad de titulares afectados y grado del daño causado.
  4. Tipo de datos involucrados (sensibles, de menores, financieros).
  5. Beneficio económico obtenido por el infractor.
  6. Medidas adoptadas para mitigar el daño.
  7. Grado de cooperación con la APDP durante la investigación.
  8. Medidas técnicas y organizativas implementadas previamente.
  9. Existencia de un Modelo de Prevención de Infracciones certificado.
  10. Reincidencia en los últimos tres años.

Esta lista importa más de lo que parece. Dos empresas que cometen la misma infracción pueden recibir multas muy diferentes según cómo gestionaron el incidente y qué tenían armado antes de que ocurriera.

Atenuantes que bajan la multa

Las cinco principales palancas para reducir una multa:

  • Reconocimiento espontáneo de la infracción ante la APDP.
  • Reparación oportuna del daño al titular.
  • Cooperación activa durante la fiscalización.
  • Existencia y operación efectiva de un MPI certificado.
  • Implementación previa de un sistema de gestión alineado con ISO 27001.

Agravantes que la suben

Y los principales factores que la agravan:

  • Reincidencia en los últimos tres años.
  • Conducta dolosa o gravemente negligente.
  • Obstrucción de la fiscalización.
  • Afectación a colectivos vulnerables (menores, pacientes, consumidores financieros).
  • Beneficio económico significativo derivado de la infracción.

La diferencia entre una multa máxima y una mínima dentro del mismo tramo puede ser de un orden de magnitud: 5.000 versus 500 UTM en infracciones leves, 10.000 versus 5.001 en graves, 20.000 versus 10.001 en gravísimas. La gestión activa de atenuantes es, literalmente, el ejercicio más rentable de cumplimiento que existe.

Cómo es el procedimiento sancionatorio

El flujo típico ante la APDP tiene seis etapas:

  1. Inicio: por reclamo de un titular, denuncia de tercero, fiscalización de oficio o cruce de información con otras autoridades (SII, CMF, Sernac).
  2. Formulación de cargos: la APDP comunica al presunto infractor los hechos y la calificación tentativa.
  3. Descargos: la empresa tiene cerca de 15 días hábiles para presentar defensa, prueba documental, testimonial o pericial.
  4. Investigación: la APDP puede solicitar información adicional, realizar inspecciones e incluso ordenar medidas provisionales.
  5. Resolución: se dicta el acto administrativo que absuelve o sanciona, con motivación expresa.
  6. Recursos: reposición ante la propia APDP y reclamación de ilegalidad ante la Corte de Apelaciones competente.

El procedimiento es íntegramente electrónico y los plazos corren contra el infractor. Cada día de retraso en presentar defensa es un día menos para construir argumentos.

La multa es solo la punta del iceberg

El costo real de una sanción incluye varias capas que rara vez se calculan en el comité:

  • Indemnización civil al titular afectado, demandable en sede judicial paralela.
  • Daño reputacional: las resoluciones de la APDP serán públicas.
  • Pérdida de contratos B2B con clientes corporativos, especialmente con casa matriz extranjera.
  • Costos de remediación: peritos, abogados, comunicaciones, cambios técnicos.
  • Imposibilidad de licitar con el Estado en ciertos casos.
  • Aumento de primas de seguros cyber.

En empresas medianas, la suma de estos costos colaterales suele superar a la propia multa en uno o dos múltiplos.

Cuándo prescribe la posibilidad de sancionarte

Las infracciones leves prescriben a los dos años, las graves a los tres años y las gravísimas a los cuatro años, contados desde la fecha de comisión o, en infracciones permanentes, desde el cese de la conducta. La sanción ya impuesta prescribe a los tres años desde que la resolución quedó firme.

Una empresa puede ser sancionada por hechos ocurridos varios años atrás si la APDP recibe el reclamo dentro del plazo. No basta con "ya no estamos haciendo eso": la trazabilidad histórica importa.

Cómo bajar el riesgo de manera estructural

  1. Implementar un MPI y, si es posible, certificarlo. Es el atenuante más fuerte que reconoce la ley.
  2. Designar un DPO competente, aunque la obligación legal no aplique a tu empresa: actúa como atenuante de diligencia.
  3. Mapear bancos de datos e inscribirlos antes del vencimiento del plazo.
  4. Suscribir contratos de encarguía con todos los proveedores que tratan datos por cuenta tuya.
  5. Capacitar formalmente al personal y conservar registros de asistencia.
  6. Implementar un sistema de gestión de seguridad de la información alineado con ISO 27001.
  7. Construir un protocolo de respuesta ante brechas y entrenarlo al menos una vez al año.
  8. Auditar transferencias internacionales y firmar cláusulas contractuales tipo cuando corresponda.
  9. Documentar todo. La carga de la prueba en accountability recae sobre el responsable.

El régimen sancionatorio de la Ley 21.719 convierte la protección de datos en un riesgo regulatorio de primer orden. Entre una multa leve y una gravísima hay diferencias de cien veces; entre una máxima y una mínima dentro del mismo tramo, hay diferencias de diez veces. Toda esa horquilla la define el comportamiento de la empresa antes, durante y después del incidente.

¿Quieres dimensionar tu exposición regulatoria bajo la Ley 21.719? Conversemos y construyamos juntos el expediente de atenuantes que necesitarás si la APDP llega a tu puerta.

Artículos relacionados

Newsletter FideliNorm

Cumplimiento normativo en tu correo, una vez al mes.

Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.

Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →