Ley de datos en Chile: qué deben hacer las pymes
Guía 2026 para pymes chilenas frente a la Ley 21.719 de datos personales: qué obligaciones tienes, qué riesgos corres y cómo cumplir paso a paso.
Ley de datos en Chile: qué deben hacer las pymes
¿Tienes una planilla con correos de clientes, cámaras de seguridad o un CRM con datos de empleados? La nueva Ley 21.719 te aplica. No importa si tu pyme tiene 5 trabajadores o 50: la ley no distingue por tamaño, y desde diciembre de 2026 las multas pueden llegar a montos que liquidan a una empresa pequeña.
Hoy en día muchos dueños de pyme creen que esto es problema de bancos, retailers grandes o startups tecnológicas. La realidad es otra. Una panadería con base de clientes en WhatsApp, una clínica dental con fichas digitales o una constructora con datos de proveedores ya está tratando datos personales. Eso significa que la ley les aplica directamente.
En esta guía te explicamos qué dice la ley sin tecnicismos legales innecesarios. También vemos qué obligaciones tienes según el tamaño de tu empresa y los pasos concretos para llegar al 2026 sin sustos.
Qué dice la Ley 21.719 sin tecnicismos
La Ley 21.719 fue publicada en diciembre de 2024 y reemplaza a la antigua Ley 19.628 de 1999, que ya estaba completamente desactualizada. La nueva normativa se inspira en el GDPR europeo. Y crea la Agencia de Protección de Datos Personales, un organismo con facultades para fiscalizar y aplicar multas.
En lo concreto, la ley dice tres cosas. Primero: necesitas consentimiento informado y verificable para tratar datos personales. Segundo: las personas tienen derechos sobre sus datos (acceso, rectificación, eliminación, portabilidad) y tu empresa debe responder en 30 días. Tercero: si tienes una brecha de seguridad, tienes 72 horas para notificarla.
La fiscalización plena empieza en diciembre de 2026. Pero ojo con los plazos. Construir un programa básico de cumplimiento toma entre 6 y 10 meses, y los proveedores especializados ya tienen agendas saturadas para 2025.
Qué tiene que hacer una pyme en concreto
La buena noticia es que la ley contempla un principio de proporcionalidad. Esto significa que las medidas exigibles a una pyme son distintas que las de un banco o una multitienda. Pero las obligaciones sustantivas aplican igual.
Estas son las obligaciones mínimas para una pyme chilena:
- Tener una política de privacidad clara publicada en tu sitio web y en formularios de captura de datos
- Obtener consentimiento expreso antes de enviar email marketing o campañas WhatsApp
- Mantener un registro básico de qué datos tratas, dónde están y para qué los usas
- Tener un canal definido para responder solicitudes de los titulares en 30 días
- Implementar medidas técnicas razonables: contraseñas robustas, respaldos, control de accesos
- Tener un protocolo simple para notificar brechas de seguridad en 72 horas
Las pymes con menos de 50 trabajadores no están obligadas a designar un Delegado de Protección de Datos formal. La excepción: cuando traten datos sensibles a gran escala. Si tienes una clínica, un colegio, un gimnasio con datos biométricos o un laboratorio, la cosa cambia. Ahí sí o sí necesitas DPD y medidas reforzadas, sin importar tu tamaño.
Un caso real: la distribuidora de Quilicura
Veamos un caso concreto. Una distribuidora de productos de aseo industrial en Quilicura, con 28 empleados y unos 800 clientes B2B, opera así. Lleva 12 años trabajando con una base Excel donde guarda RUT, dirección, teléfonos y datos de contacto de cada cliente.
El gerente comercial usa esa base todos los lunes para enviar promociones por WhatsApp y email. Nunca pidió consentimiento explícito, pero "siempre se ha hecho así". La empresa no tiene política de privacidad publicada, no tiene registro de tratamiento, y los respaldos están en un disco externo sin cifrado.
¿Cuál es el riesgo real? Si un cliente molesto presenta una denuncia, la Agencia puede abrir una fiscalización. La empresa estaría enfrentando, como mínimo, una infracción grave por tratamiento sin base legal y una infracción leve por falta de aviso de privacidad. El monto de las multas en este escenario puede ir de 2.000 a 5.000 UTM. Eso son entre 140 y 350 millones de pesos al valor actual.
Para una distribuidora con margen de 8 a 12%, una multa de 200 millones es la diferencia entre seguir operando y cerrar. Y eso sin contar el daño reputacional con sus clientes corporativos, que cada vez piden más estándares formales.
Cómo cumplir paso a paso
La buena noticia: cumplir no es una mega obra. Para una pyme típica, el camino se ordena en seis pasos concretos.
Paso 1: levanta el inventario. Haz una lista simple en una planilla con qué datos tratas, dónde están guardados, quién accede y para qué los usas. No necesitas software fancy, solo claridad. Tiempo: 2 a 4 semanas.
Paso 2: actualiza tus avisos de privacidad. Redacta una política de privacidad para tu sitio web, contratos laborales y formularios de contacto. Lenguaje claro, no jurídico. Si tienes cámaras de seguridad, agrega un cartel visible. Tiempo: 3 a 4 semanas.
Paso 3: ordena el consentimiento. Revisa cómo capturas datos hoy y cómo pides permiso. Las casillas premarcadas ya no son válidas. El consentimiento tiene que ser libre, expreso y verificable. Tiempo: 2 a 3 semanas.
Paso 4: define tu canal de derechos ARCO. Crea un formulario o email dedicado donde los titulares puedan pedir acceso, rectificación o eliminación de sus datos. Define internamente quién responde y en qué plazo. Tiempo: 2 semanas.
Paso 5: refuerza la seguridad básica. Activa autenticación de doble factor en correos críticos, encripta respaldos, ordena permisos por rol y haz una política de contraseñas. Tiempo: 4 a 8 semanas según madurez actual.
Paso 6: prepara el protocolo de brechas. Define qué se considera brecha, quién la reporta internamente y cómo se documenta. Define también cómo se notifica a la Agencia y a los afectados en 72 horas. Tiempo: 2 a 3 semanas.
Sumando todo, una pyme típica llega a un cumplimiento sólido entre los 5 y los 8 meses, dependiendo de cuánto material tenga ya levantado. Empezar el segundo semestre de 2025 deja margen sano para llegar al 2026 sin apuros.
Errores típicos que vemos en pymes
A lo largo de varios proyectos hemos visto los mismos errores repetirse. Acá te dejamos los más comunes.
El primero: pensar que una plantilla bajada de internet resuelve todo. Las políticas genéricas se notan a kilómetros y no protegen ante una fiscalización. El segundo: comprar software de cumplimiento antes de tener el inventario. Es como comprar un GPS sin saber dónde quieres ir.
El tercer error es dejarlo todo en manos del contador o del informático. La protección de datos cruza áreas: comercial, recursos humanos, atención al cliente y tecnología. Si no involucras a la dirección, el programa se cae a los 6 meses.
Dónde empezar mañana
En FideliNorm acompañamos a pymes chilenas en su camino hacia la Ley 21.719 sin sobre-ingeniería. Diseñamos programas modulares: puedes contratar el plan completo o trabajar acción por acción según tu presupuesto y momento.
¿Tu empresa ya tiene política de privacidad publicada y consentimiento ordenado, o todavía estás en modo Excel improvisado? Escríbenos a contacto@fidelinorm.cl y agendamos un diagnóstico de 30 minutos sin compromiso. Te decimos exactamente qué te falta y cuánto te tomaría llegar al 2026 con todo en orden.
Artículos relacionados
Cumplimiento normativo en tu correo, una vez al mes.
Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.
Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.
¿Necesitas certificar ISO 50001 en tu empresa?
En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.
Solicitar una consulta →