Cumplimiento y datos
3 de marzo de 2026 9 min

Cómo prepararse para la nueva ley chilena de protección de datos personales

Qué cambia con la Ley 21.719 en Chile, cuándo entra en vigencia, a qué empresas afecta y qué acciones conviene tomar desde ya para prepararse.

Qué cambia con la nueva ley chilena de protección de datos

Chile dio un paso importante con la Ley 21.719, publicada el 13 de diciembre de 2024, que moderniza el régimen de protección de datos personales y actualiza la antigua Ley 19.628. En términos prácticos, esta reforma redefine obligaciones para quienes tratan datos personales y crea una institucionalidad específica para fiscalizar la materia.

Un punto clave es que la ley no entra en aplicación general de inmediato. Su entrada en vigencia principal está contemplada para 24 meses después de su publicación, es decir, el 13 de diciembre de 2026. A abril de 2026, todavía estamos en período de preparación, no en plena exigibilidad general.

Eso no significa que las empresas deban esperar al último momento. Al contrario: el tiempo previo es justamente la ventana correcta para ordenar procesos, contratos, políticas y medidas técnicas antes de que el nuevo marco empiece a exigirse con más fuerza.

Por qué importa esta ley

Muchas empresas tratan datos personales todos los días sin pensar demasiado en ello: formularios de contacto, bases de clientes, campañas de email, postulaciones laborales, CRM, registros de navegación, datos de empleados, proveedores cloud, integraciones con terceros y automatizaciones comerciales.

La nueva ley obliga a mirar ese tratamiento con más seriedad. Ya no basta con tener una política de privacidad genérica o un checkbox aislado. El foco se mueve hacia la gobernanza del dato, las bases de licitud, los derechos de las personas, la seguridad de la información y la responsabilidad de quien trata los datos.

A qué tipo de empresas afecta

La respuesta corta es: a casi cualquier organización que trate datos personales en Chile. La norma impacta a responsables y encargados del tratamiento, tanto del sector privado como público, y no se limita a grandes corporaciones.

En términos prácticos, afecta a empresas que:

  • Reciben datos por formularios web o landing pages.
  • Gestionan clientes en CRM o herramientas comerciales.
  • Realizan campañas de email marketing o automatización.
  • Guardan datos de trabajadores, postulantes o proveedores.
  • Procesan información de usuarios en ecommerce o plataformas digitales.
  • Comparten datos con terceros, integradores o servicios cloud.

Un error frecuente es pensar que esto solo afecta a bancos, aseguradoras o grandes retailers. En realidad, una pyme, una consultora, una clínica, una universidad o una empresa B2B también pueden estar dentro del alcance si recolectan y usan datos personales en su operación normal.

Cuándo entra en funcionamiento

Como regla general, la entrada en vigencia más importante es el 13 de diciembre de 2026. Esa es la fecha que conviene tener como referencia principal para la preparación empresarial.

Aun así, es importante no simplificar demasiado: el ecosistema regulatorio puede incorporar reglamentos, lineamientos e hitos institucionales en etapas previas. Por eso, la recomendación práctica es no tratar esta fecha como un único día mágico, sino como el cierre de una etapa de preparación que debería comenzar antes.

Qué tienen que hacer las empresas para prepararse

  1. Mapear qué datos personales tienen

    El primer paso es identificar qué datos se recolectan, dónde se almacenan, quién accede a ellos, para qué se usan y con qué terceros se comparten. Sin ese mapa, es muy difícil diseñar cumplimiento real.

  2. Revisar la base legal o fundamento del tratamiento

    No todos los usos de datos descansan sobre consentimiento. Algunas operaciones pueden apoyarse en otras bases legales, pero la empresa debe tener claro qué fundamento aplica en cada caso y no improvisarlo después.

  3. Actualizar políticas, avisos y textos de captura

    Formularios, políticas de privacidad, condiciones de uso, flujos de contacto y mensajes de consentimiento deben revisarse para que reflejen mejor la realidad del tratamiento de datos y no solo un texto estándar copiado de internet.

  4. Revisar contratos con proveedores

    Si la empresa usa CRM, proveedores cloud, plataformas de email, software de atención o automatización, conviene revisar qué rol tiene cada actor, cómo se regulan los accesos y qué obligaciones contractuales existen sobre tratamiento y seguridad.

  5. Definir procesos para ejercer derechos

    Las empresas necesitan un mecanismo claro para responder solicitudes de personas titulares de datos: acceso, corrección, oposición, eliminación u otras acciones que el nuevo marco fortalezca. No basta con prometer derechos; hay que poder operarlos.

  6. Reforzar seguridad y gestión de incidentes

    La protección de datos no es solo un tema legal. También es técnico y operativo. Se deben revisar controles de acceso, respaldos, gestión de contraseñas, segregación, trazabilidad y procedimientos frente a incidentes o brechas.

  7. Asignar responsables internos

    Si nadie es dueño del tema, el tema no avanza. Aunque la empresa no tenga una estructura enorme, conviene designar responsables de coordinar legal, tecnología, marketing, operaciones y seguridad en torno al tratamiento de datos.

  8. Capacitar a las áreas que realmente tratan datos

    Comercial, marketing, recursos humanos, soporte, TI y administración suelen tocar datos personales todos los días. Prepararse implica bajar el tema desde lo normativo a decisiones concretas de operación.

Qué no conviene hacer

  • Esperar hasta fines de 2026 para empezar a revisar procesos.
  • Creer que una política de privacidad genérica resuelve el problema.
  • Asumir que solo aplica a empresas grandes.
  • Tratarlo como un tema exclusivamente jurídico y no también técnico y operacional.
  • No revisar integraciones, proveedores ni flujos automatizados.

Checklist: cómo saber si tu empresa ya empezó a prepararse

Este checklist no reemplaza una revisión legal ni técnica profunda, pero sí ayuda a detectar si la organización está avanzada o todavía muy atrás.

  • ¿Tenemos identificado qué datos personales recolectamos y para qué los usamos?
  • ¿Sabemos en qué sistemas, planillas, CRMs o plataformas están almacenados?
  • ¿Tenemos claridad sobre quién accede a esos datos y con qué permisos?
  • ¿Revisamos las bases legales o fundamentos de tratamiento para cada flujo relevante?
  • ¿Nuestros formularios y políticas explican de manera clara qué datos se recolectan y con qué finalidad?
  • ¿Revisamos contratos con proveedores que procesan datos por cuenta de la empresa?
  • ¿Tenemos un proceso para responder solicitudes de titulares de datos?
  • ¿Existe un procedimiento claro frente a incidentes o brechas de seguridad?
  • ¿Hay responsables internos asignados para coordinar cumplimiento, seguridad y operación?
  • ¿Las áreas de marketing, comercial, RR.HH. y soporte saben cómo les impacta este cambio?
  • ¿Estamos revisando automatizaciones, integraciones y envíos a terceros donde circulan datos personales?
  • ¿Tenemos un plan de trabajo concreto antes del 13 de diciembre de 2026?

Si varias de estas respuestas hoy son “no” o “no sabemos”, probablemente la empresa todavía está en una fase temprana de preparación.

Una recomendación práctica final

La nueva ley no debería verse solo como una carga regulatoria. También es una oportunidad para ordenar datos, mejorar procesos, reducir riesgos y operar con más confianza frente a clientes, usuarios y equipos internos.

Las empresas que lleguen mejor preparadas a diciembre de 2026 no serán necesariamente las más grandes, sino las que hayan empezado antes a mapear, corregir y gobernar mejor el tratamiento de sus datos.

¿Necesitas preparar tu operación digital para este cambio?

En VRWEB podemos ayudarte a revisar formularios, políticas, flujos de captura, integraciones y arquitectura digital para que tu empresa llegue mejor preparada al nuevo marco de protección de datos.

Hablar con VRWEB Volver al blog