Multas por incumplir la Ley de Protección de Datos en Chile

20.000 UTM. Eso es lo que arriesga, en el peor escenario, una empresa chilena que incumpla gravemente la nueva Ley 21.719. Al valor de la UTM hoy, son aproximadamente 1.400 millones de pesos. Sin contar demandas civiles, suspensión de operaciones ni el daño reputacional que viene después.

Las cifras suenan abstractas hasta que las traduces a tu negocio. Para una pyme con margen del 10%, una multa de 200 millones equivale a vender 2.000 millones extra para compensar. Para una empresa mediana, una sanción de 800 millones se lleva por delante un par de años de utilidades.

En esta guía vemos los rangos exactos de multas por nivel de infracción y qué factores mueven la aguja. También revisamos un caso concreto para entender cómo se aterriza todo esto en la realidad chilena.

Qué puede multar la Agencia de Protección de Datos

La Ley 21.719 creó la Agencia de Protección de Datos Personales, un organismo autónomo con facultades para fiscalizar, investigar y sancionar. La fiscalización plena empieza en diciembre de 2026, pero las empresas ya están construyendo sus programas para llegar a tiempo.

La ley clasifica las infracciones en tres niveles. Cada nivel tiene su rango de multa.

Infracciones leves: hasta 5.000 UTM (alrededor de 350 millones de pesos). Son incumplimientos formales sin daño relevante a los titulares. Por ejemplo: no publicar el aviso de privacidad, no responder en plazo a una solicitud de acceso, o no llevar al día el registro de tratamientos.

Infracciones graves: hasta 10.000 UTM (cerca de 700 millones de pesos). Son incumplimientos sustantivos que afectan derechos. Tratar datos sin consentimiento, no notificar una brecha en 72 horas, transferir datos al extranjero sin garantías o no implementar medidas de seguridad razonables.

Infracciones gravísimas: hasta 20.000 UTM (aproximadamente 1.400 millones de pesos). Son las más serias. Tratar datos sensibles sin habilitación legal, vender o ceder datos sin autorización, reincidir en infracciones graves u obstruir una fiscalización.

Y eso es solo el lado administrativo. La Agencia también puede aplicar sanciones accesorias. Puede suspender operaciones de tratamiento por hasta 30 días. También ordenar la eliminación de bases completas o publicar la sanción en medios de circulación nacional.

Qué factores mueven la multa hacia arriba o hacia abajo

La Agencia no aplica sanciones en piloto automático. Pondera atenuantes y agravantes para fijar el monto final, igual que un tribunal. Conocer estos factores te permite reducir significativamente tu exposición.

Atenuantes (bajan la multa, en algunos casos hasta 70%):

• Tener un programa de cumplimiento documentado y operativo
• Haber hecho autodenuncia antes de que la Agencia se entere
• Cooperar activamente con la fiscalización
• Implementar medidas correctivas inmediatas
• Indemnizar voluntariamente a los afectados

Agravantes (suben la multa):

• Reincidir en los últimos 5 años
• Haber tratado datos de menores o sensibles
• Obtener beneficio económico directo de la infracción
• Obstaculizar la investigación de la Agencia
• Afectar a un número grande de titulares

Acá hay una lección práctica. Una empresa con un programa básico bien documentado puede convertir una multa de 8.000 UTM en una de 2.500 UTM. La diferencia entre tener algo formalizado o no, en un escenario malo, son cientos de millones de pesos.

Un caso concreto: clínica privada en Las Condes

Veamos cómo se aterriza todo esto. Una clínica privada de tamaño mediano en Las Condes, con 18.000 fichas de pacientes activos, sufre un ataque de ransomware. El atacante exfiltra datos clínicos, RUT, historial médico y datos de contacto. La clínica detecta la brecha el martes y decide no hablar con nadie mientras "resuelve internamente".

Pasan dos semanas hasta que un paciente recibe un correo extorsivo y publica el caso en Twitter. La Agencia abre fiscalización de oficio. ¿Qué encuentra?

Primero: tratamiento de datos sensibles (salud) sin las medidas de seguridad reforzadas que la ley exige. Infracción gravísima. Segundo: incumplimiento del plazo de 72 horas para notificar la brecha. Infracción grave. Tercero: ausencia de Delegado de Protección de Datos formalmente designado, exigible para tratamientos de salud a gran escala. Infracción leve.

La Agencia podría aplicar acumuladamente entre 10.000 y 18.000 UTM. Hablamos de 700 a 1.260 millones de pesos en multas. Suma a eso las demandas civiles individuales de pacientes afectados. En un caso así pueden ser 300 a 500 acciones judiciales con indemnizaciones promedio de 5 a 15 millones cada una.

El costo total estimado para esa clínica supera fácilmente los 2.000 millones de pesos. Y eso sin contar la baja en consultas que viene después por el daño reputacional.

Responsabilidad de gerentes y directores

Hay un tema que muchos directorios subestiman. La Ley 21.719 no se queda en la persona jurídica: alcanza también a quienes toman decisiones dentro de la empresa.

El representante legal puede ser declarado responsable directo por su rol como responsable del tratamiento. Los directores y gerentes generales también arriesgan responsabilidad si se acredita que conocían la infracción y no actuaron. Y el encargado del tratamiento (los proveedores que procesan datos por cuenta de la empresa) responde por su parte.

La ley no establece responsabilidad penal en la mayoría de los casos. Pero sí abre la puerta a acciones civiles individuales y colectivas, además de multas administrativas a personas naturales en cargos directivos. En la práctica, esto significa que la protección de datos ya no es un tema delegable al área de TI: hoy es agenda de directorio.

Cómo evitar multas con acciones concretas

La buena noticia es que el régimen sancionatorio premia a quien se prepara. Estas son las acciones que más reducen exposición real.

Documenta tu programa de cumplimiento. Tener un manual escrito, un registro de actividades de tratamiento y evidencia de capacitación es el principal atenuante. Sin papeles, una infracción menor se puede interpretar como sistémica.

Implementa el protocolo de brechas antes de que ocurra una. La Agencia distingue entre empresas que detectaron y notificaron a tiempo y empresas que escondieron el problema. Esa diferencia, en multas, se mide en cientos de millones de pesos.

Capacita a tu equipo. Las brechas más comunes no son hackeos sofisticados. Son correos mal enviados, pendrives perdidos o configuraciones de permisos abiertas por error. Capacitación básica anual reduce drásticamente el riesgo operativo.

Designa al menos un responsable interno. Aunque tu pyme no esté obligada a tener Delegado de Protección de Datos formal, asígnale el rol a alguien con tiempo dedicado y formación. Esa decisión marca la diferencia entre un programa vivo y un programa decorativo.

Audita a tus proveedores. Si tu CRM, tu sistema de mailing o tu hosting filtra datos, tu empresa también responde. Los contratos de tratamiento de datos con proveedores son obligatorios y deben cubrir seguridad, subcontratistas y plazos de eliminación.

Hablemos de tu nivel de exposición

En FideliNorm hacemos diagnósticos de riesgo regulatorio para empresas chilenas. En 2 a 3 semanas te entregamos un informe que cuantifica tu exposición actual frente a la Ley 21.719. El informe prioriza acciones por costo-beneficio y te da una hoja de ruta clara.

¿Sabes qué multa enfrentaría tu empresa si hoy se filtraran sus datos de clientes? Si la respuesta es no, escríbenos a contacto@fidelinorm.cl y agendamos una reunión exploratoria. En 30 minutos te damos una primera lectura realista de dónde estás parado.