La Ley Nº 21.719 entra en vigencia en diciembre: ¿qué debe hacer tu empresa en los próximos 6 meses?
El reloj ya está corriendo. A partir del 1 de diciembre de 2026, la Ley Nº 21.719 de Protección de Datos Personales entrará en plena vigencia en Chile, y con ella llegará algo que muchas empresas todavía no tienen claro: la obligación de demostrar que protegen los datos de sus clientes, trabajadores y proveedores — no solo de declararla.
¿Tu empresa recolecta nombres, RUTs, correos o datos de salud? Entonces esta ley te aplica. Y el tiempo para prepararse se está acabando.
¿Qué cambia realmente con la Ley de Protección de Datos Personales?
Chile tenía una ley de protección de datos desde 1999, pero era tan laxa que en la práctica no obligaba a nadie a hacer nada concreto. La Ley 21.719 cambia eso de raíz. Está inspirada en el GDPR europeo y establece reglas claras sobre cómo se deben tratar los datos personales, con una agencia fiscalizadora que tiene facultades reales para sancionar.
Los cambios más relevantes para una empresa chilena son tres. Primero, el consentimiento ya no puede ser genérico ni implícito — el titular de los datos debe autorizar explícitamente para qué se van a usar sus datos. Segundo, los clientes tendrán nuevos derechos: pueden pedir acceso a sus datos, corregirlos, eliminarlos o trasladarlos a otra empresa. A esto se le llama derechos PROSA. Tercero, las empresas deben poder demostrar que tienen controles activos — no solo políticas escritas en un cajón, sino medidas técnicas reales y evidencia de cumplimiento.
¿Cuánto cuesta no cumplir?
Las sanciones se clasifican en tres niveles. Las infracciones leves, como no tener las políticas de privacidad actualizadas, pueden costar hasta 5.000 UTM. Las graves, como tratar datos sin consentimiento válido, hasta 10.000 UTM o el 2% de los ingresos anuales si la empresa no es PyME. Las gravísimas — exposición masiva de datos o incumplimiento reiterado — pueden llegar a 20.000 UTM, lo que equivale a cerca de $1.400 millones de pesos. En caso de reincidencia, la ley contempla la posibilidad de aumentar significativamente la sanción e incluso suspender el tratamiento de datos hasta por 30 días.
Pero más allá de la multa, el costo real suele ser otro. Cuando los datos de los clientes quedan expuestos, la confianza se pierde — y recuperarla puede tardar años.
¿Por dónde empieza el cumplimiento técnico?
Aquí está el error más común que cometen las empresas: asumir que cumplir la ley es solo un trabajo legal. Contratar un abogado, actualizar los términos y condiciones, y listo. Eso no es suficiente.
La ley exige medidas técnicas concretas: control de accesos por roles, cifrado de datos, trazabilidad de quién accede a qué información, respaldos que garanticen la integridad de los datos, y capacidad de detectar y responder a incidentes. Sin esa capa técnica, ninguna política de privacidad tiene sustento real frente a una fiscalización.
El problema es que muchas organizaciones no saben exactamente cuál es su estado actual. ¿Qué datos tienen? ¿Quién puede acceder a ellos? ¿Están cifrados? ¿Tienen respaldo? Sin respuestas claras a esas preguntas, es imposible saber qué hay que mejorar.
Por eso el punto de partida es medir.
La propuesta de Netsus: empezar por saber dónde estás
En Netsus acompañamos a las empresas en la implementación técnica del cumplimiento, comenzando por una evaluación objetiva del nivel de madurez en ciberseguridad — la base sobre la que se construye todo lo demás.
Esta evaluación usa estándares internacionales como NIST CSF y CIS Controls, e incluye entrevistas con el equipo TI y gerencia, revisión de controles existentes y levantamiento de brechas. El resultado es un diagnóstico concreto: qué está bien, qué falta, y qué hay que priorizar primero.
A partir de ahí, diseñamos un roadmap de implementación con iniciativas de corto plazo que generan impacto rápido, y proyectos de mayor alcance para fortalecer la postura de ciberseguridad de forma sostenida. Todo bajo Netsus 360 — un modelo que reúne en un solo lugar la gestión de accesos, la protección de datos y el monitoreo continuo.
El cumplimiento de la Ley tiene dos dimensiones que deben avanzar en paralelo: la técnica y la legal. Netsus lidera la primera — implementando los controles de seguridad, trazabilidad y gestión de datos que la ley exige. Para la dimensión regulatoria y contractual, recomendamos trabajar de la mano con un equipo jurídico especializado en derecho tecnológico, que complemente el trabajo técnico con el marco legal que cada organización necesita.
¿Qué debería estar haciendo tu empresa hoy?
Si diciembre parece lejano, no lo es. Una evaluación de madurez toma entre uno y dos meses según el tamaño de la organización. Luego viene la priorización, la implementación y la validación. Hacer todo eso bien en seis meses es posible, pero requiere empezar ahora.
Las empresas que esperan a que la ley entre en vigencia para reaccionar van a tener dos problemas al mismo tiempo: el riesgo de una sanción y la presión de implementar controles de apuro, sin diagnóstico y sin orden.
Las que empiezan hoy tienen algo que vale más que cualquier herramienta: tiempo para hacerlo bien.
Si quieres saber por dónde partir, en Netsus podemos ayudarte a entender el estado actual de tu empresa y qué pasos seguir. Hablemos en netsus.com







