Volver al blog
Ley 21.719multassancionesdatos personalesChilecumplimientoAgencia de Protección de Datos

Multas Ley 21.719: hasta 20.000 UTM y cómo se calculan las sanciones

Régimen sancionatorio de la Ley 21.719 de Protección de Datos Personales en Chile: clasificación de infracciones leves, graves y gravísimas, criterios de graduación, atenuantes, reincidencia y procedimiento ante la Agencia de Protección de Datos Personales.

Equipo FideliNorm
Multas Ley 21.719: hasta 20.000 UTM y cómo se calculan las sanciones

La pregunta que más rápido aparece en cualquier comité gerencial cuando se habla de la Ley 21.719 de Protección de Datos Personales es la misma: "¿cuánto me pueden multar?". La respuesta corta es hasta 20.000 UTM, equivalente a más de MM$1.300 millones al valor actual de la UTM. La respuesta larga, y la que realmente importa para gestionar el riesgo, es entender cómo se clasifican las infracciones, qué criterios usa la nueva Agencia de Protección de Datos Personales (APDP) para graduar la sanción, qué atenúa la multa y qué la agrava. Esta guía resume el régimen sancionatorio en lenguaje operativo para directores, gerentes y compliance officers.

⚖️ La estructura del régimen sancionatorio

La Ley 21.719 abandona el modelo casi simbólico de la antigua Ley 19.628 (que apenas contemplaba indemnizaciones civiles) y lo reemplaza por un régimen administrativo escalonado muy similar al GDPR europeo. La APDP investiga, instruye y resuelve, con multas expresadas en Unidades Tributarias Mensuales (UTM).

Las infracciones se clasifican en tres niveles:

  • Leves: hasta 5.000 UTM.
  • Graves: desde 5.001 hasta 10.000 UTM.
  • Gravísimas: desde 10.001 hasta 20.000 UTM.

Adicionalmente, la APDP puede imponer sanciones accesorias: amonestación pública, suspensión temporal de operaciones de tratamiento e incluso prohibición de tratamiento en infracciones gravísimas reiteradas.

🔎 Qué califica como infracción leve, grave o gravísima

Infracciones leves

Son los incumplimientos formales o de baja afectación al titular. Por ejemplo:

  • No mantener actualizado el Registro de Bancos de Datos.
  • No publicar política de privacidad o publicarla incompleta.
  • No designar Delegado de Protección de Datos (DPO) cuando corresponde.
  • No responder solicitudes ARCO en plazo, sin que ello cause perjuicio sustancial.
  • Falta de capacitación documentada del personal.

Infracciones graves

Tocan el núcleo de los principios y derechos. Por ejemplo:

  • Tratar datos sin base de licitud válida (consentimiento mal obtenido o inexistente).
  • Incumplir derechos ARCO de forma reiterada o causando perjuicio.
  • Realizar transferencias internacionales sin las garantías exigidas.
  • No suscribir contrato de encarguía con un proveedor que trata datos por tu cuenta.
  • Conservar datos más allá del plazo necesario.
  • Omitir la notificación de una brecha de seguridad cuando correspondía.

Infracciones gravísimas

Constituyen vulneraciones graves y dolosas o con afectación masiva. Por ejemplo:

  • Tratar datos sensibles (salud, biométricos, origen étnico, opinión política, vida sexual) sin consentimiento expreso ni habilitación legal.
  • Comercializar bases de datos sin el consentimiento de los titulares.
  • Realizar decisiones automatizadas o perfilamiento que produzcan efectos jurídicos sin garantías mínimas.
  • Obstaculizar deliberadamente una fiscalización de la APDP.
  • Filtrar masivamente datos personales por fallas evitables y omitir su notificación.
  • Reincidir en infracciones graves dentro de un período corto.

📐 Criterios de graduación de la multa

Dentro de cada tramo, la APDP no aplica el máximo automáticamente. La ley fija criterios de graduación que el órgano debe ponderar y motivar en su resolución:

  1. Naturaleza, gravedad y duración de la infracción.
  2. Carácter intencional o negligente de la conducta.
  3. Cantidad de titulares afectados y el grado del daño causado.
  4. Tipo de datos involucrados (sensibles, de menores, financieros).
  5. Beneficio económico obtenido por el infractor.
  6. Medidas adoptadas para mitigar el daño.
  7. Grado de cooperación con la APDP durante la investigación.
  8. Medidas técnicas y organizativas implementadas previamente.
  9. Existencia de un Modelo de Prevención de Infracciones certificado.
  10. Reincidencia en los últimos tres años.

Esta lista importa: significa que dos empresas cometiendo la misma infracción pueden recibir multas muy diferentes según cómo gestionaron el incidente y qué tenían armado antes de que ocurriera.

➕ Agravantes y atenuantes

Atenuantes principales

  • Reconocimiento espontáneo de la infracción ante la APDP.
  • Reparación oportuna del daño al titular.
  • Cooperación activa durante la fiscalización.
  • Existencia y operación efectiva de un Modelo de Prevención de Infracciones (MPI) certificado.
  • Implementación previa de un sistema de gestión alineado con estándares como ISO 27001.

Agravantes principales

  • Reincidencia en los últimos tres años.
  • Conducta dolosa o gravemente negligente.
  • Obstrucción de la fiscalización.
  • Afectación a colectivos vulnerables (menores, pacientes, consumidores financieros).
  • Beneficio económico significativo derivado de la infracción.

La diferencia entre una multa máxima y una mínima dentro del mismo tramo puede ser de un orden de magnitud: 5.000 vs 500 UTM en infracciones leves, 10.000 vs 5.001 en graves, 20.000 vs 10.001 en gravísimas. La gestión activa de atenuantes es, literalmente, el ejercicio más rentable de cumplimiento que existe.

🏛️ El procedimiento sancionatorio en detalle

El flujo típico ante la APDP es el siguiente:

  1. Inicio: por reclamo de un titular, denuncia de tercero, fiscalización de oficio o cruce de información con otras autoridades (SII, CMF, Sernac).
  2. Formulación de cargos: la APDP comunica al presunto infractor los hechos y la calificación tentativa.
  3. Descargos: la empresa tiene un plazo (en torno a 15 días hábiles) para presentar defensa, prueba documental, testimonial o pericial.
  4. Investigación: la APDP puede solicitar información adicional, realizar inspecciones e incluso ordenar medidas provisionales.
  5. Resolución: se dicta el acto administrativo que absuelve o sanciona, con motivación expresa.
  6. Recursos: reposición ante la propia APDP y reclamación de ilegalidad ante la Corte de Apelaciones competente.

El procedimiento es íntegramente electrónico y los plazos corren contra el infractor: cada día de retraso en presentar defensa es un día menos para construir argumentos.

💰 Costos colaterales más allá de la multa

La multa administrativa es solo la parte visible. El costo real de una sanción incluye:

  • Indemnización civil al titular afectado, demandable en sede judicial paralela.
  • Daño reputacional: las resoluciones de la APDP serán públicas.
  • Pérdida de contratos B2B: clientes corporativos (especialmente con casa matriz extranjera) exigen historial limpio.
  • Costos de remediación: peritos, abogados, comunicaciones, cambios técnicos.
  • Imposibilidad de licitar con el Estado en ciertos casos.
  • Aumento de primas de seguros cyber.

En empresas medianas, la suma de estos costos colaterales suele superar a la propia multa en uno o dos múltiplos.

⏰ Prescripción

Las infracciones leves prescriben a los dos años, las graves a los tres años y las gravísimas a los cuatro años, contados desde la fecha de comisión o, en infracciones permanentes, desde el cese de la conducta. La sanción ya impuesta prescribe a los tres años desde que la resolución quedó firme.

Esto implica que una empresa puede ser sancionada por hechos ocurridos varios años atrás si la APDP recibe el reclamo dentro del plazo de prescripción. No basta con "ya no estamos haciendo eso": la trazabilidad histórica importa.

💡 Cómo reducir el riesgo de manera estructural

  1. Implementar un MPI y, si es posible, certificarlo. Es el atenuante más fuerte que reconoce la ley.
  2. Designar un DPO competente, aunque la obligación legal no aplique a tu empresa: actúa como atenuante de diligencia.
  3. Mapear bancos de datos e inscribirlos antes del vencimiento del plazo.
  4. Suscribir contratos de encarguía con todos los proveedores que tratan datos por cuenta tuya.
  5. Capacitar formalmente al personal y conservar registros de asistencia.
  6. Implementar un sistema de gestión de seguridad de la información, idealmente alineado con ISO 27001.
  7. Construir un protocolo de respuesta ante brechas y entrenarlo al menos una vez al año.
  8. Auditar transferencias internacionales y firmar cláusulas contractuales tipo cuando corresponda.
  9. Documentar todo. La carga de la prueba en accountability recae sobre el responsable.

📌 Conclusión

El régimen sancionatorio de la Ley 21.719 convierte la protección de datos en un riesgo regulatorio de primer orden para empresas chilenas. Entre una multa leve y una gravísima hay diferencias de cien veces; entre una multa máxima y una mínima dentro del mismo tramo hay diferencias de diez veces. Toda esa horquilla la define el comportamiento de la empresa antes, durante y después del incidente.

Las organizaciones que llegan al cierre de 2026 con un programa de cumplimiento documentado, con DPO operativo, con MPI vigente y con cultura interna entrenada no eliminan el riesgo, pero lo bajan en un orden de magnitud. Las que improvisan lo descubrirán en su primera resolución sancionatoria, ya con la multa publicada.

🚀 ¿Quieres dimensionar tu exposición regulatoria bajo la Ley 21.719?

En FideliNorm ayudamos a empresas chilenas a hacer un diagnóstico de riesgo sancionatorio, identificar las brechas críticas, priorizar inversiones y construir el expediente de atenuantes que necesitarás si la APDP llega a tu puerta. Conversemos antes de que el escenario sea reactivo.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →