Cumplimiento y trazabilidad

Ley 21.719: qué cambia para su operación y cómo llegar listo al 1 de diciembre de 2026

Equipo Gemleaf19 de junio de 20267 min de lectura
Ley 21.719: qué cambia para su operación y cómo llegar listo al 1 de diciembre de 2026

En breve

  • La Ley 21.719 reemplaza a la antigua Ley 19.628 y entra en plena vigencia el 1 de diciembre de 2026.
  • Crea la Agencia de Protección de Datos Personales, con poder para fiscalizar y multar hasta 20.000 UTM o el 4% de los ingresos anuales.
  • No fiscaliza buenas intenciones, fiscaliza evidencia: registros, accesos y trazabilidad datada.
  • Si su operación captura datos en terreno, un historial inalterable de quién hizo qué y cuándo es justo la evidencia que la nueva Agencia va a pedir.

Chile actualizó por completo su marco de protección de datos, y el cambio es profundo. Si su organización trata datos de clientes, trabajadores o proveedores —y casi todas lo hacen—, esto la afecta. Le explicamos qué cambia, a quién aplica y, sobre todo, qué tiene que ver con la forma en que su operación captura y guarda información.

Qué es la Ley 21.719

La Ley 21.719 se publicó en el Diario Oficial el 13 de diciembre de 2024 y reemplaza a la Ley 19.628, que regía desde 1999 con sanciones bajas y casi nula fiscalización. Entra en plena vigencia el 1 de diciembre de 2026, tras un período de transición de 24 meses, y está fuertemente alineada con el Reglamento General de Protección de Datos europeo, el GDPR.

Qué cambia en la práctica

Tres cosas suben el listón. Primero, nace la Agencia de Protección de Datos Personales, una autoridad autónoma con potestad para investigar de oficio, fiscalizar y sancionar. Segundo, las multas llegan a niveles que un comité ejecutivo sí mira: hasta 20.000 UTM, o hasta el 4% de los ingresos anuales en caso de reincidencia. Tercero, aparecen obligaciones concretas: derechos de acceso, rectificación, cancelación y oposición más portabilidad para las personas, notificación de brechas en plazos acotados, registro de actividades de tratamiento, y la figura del delegado de protección de datos en organizaciones que tratan datos a gran escala o de alto riesgo.

A quién aplica

A toda organización, pública o privada, que trate datos personales en Chile, sin importar su tamaño. Y la definición de dato personal es amplia: nombre, RUT, correo, ubicación o fotografía, entre otros. Para las pymes hay un respiro inicial en las sanciones, pero la obligación de cumplir existe igual.

El punto que muchos pasan por alto

La nueva ley no se conforma con que usted tenga políticas escritas. Fiscaliza evidencia operativa: registros datados, inventarios de tratamiento y trazas que muestren quién accedió, modificó o eliminó un dato, y cuándo. Para su equipo de TI eso significa pasar de "tenemos una política" a "podemos demostrar qué pasó con cada dato, en qué momento y bajo qué control". Esa es la diferencia entre un atenuante y una sanción.

Por qué su operación en terreno es parte de esto

Si captura datos en faena, planta, bodega u obra, esos registros también caen bajo la ley. Un parte diario, una recepción de materiales o un control de calidad contienen o se asocian a datos que hay que tratar con cuidado, y todos deben poder demostrar su trazabilidad. Aquí es donde la forma de capturar importa. Un cuaderno o una planilla suelta no dan evidencia; un registro con autor, fecha, historial de versiones inalterable y control de accesos, sí.

Cómo ayuda Gemleaf

Gemleaf fue construido sobre esa idea. Cada registro tiene un identificador único y un historial inalterable de cambios, con quién y cuándo. Los accesos se controlan por rol, hay autenticación de dos factores, y cada proceso deja una bandeja de entrada y un hilo trazable de lo que ocurrió. Es trazabilidad alineada a ALCOA+ e ISO 9001, y es el tipo de evidencia operativa que la Agencia va a exigir. No reemplaza a su asesoría legal ni a su programa de cumplimiento, pero le da la base operativa para sostenerlo.

Por dónde partir

Falta menos de lo que parece. Un primer paso sensato es levantar dónde captura datos hoy, con qué controles, y dónde no podría demostrar la trazabilidad si la Agencia preguntara. Esos vacíos son su lista de tareas. Empezar temprano y de forma documentada, además, opera como atenuante.

Fuentes

  1. Biblioteca del Congreso Nacional de Chile (BCN). Ley 21.719 sobre protección de datos personales, texto oficial. bcn.cl/leychile
  2. Thomson Reuters Chile. Ley 21.719 y la reconstrucción del derecho chileno de protección de datos personales. thomsonreuters.cl
Compartir

Vea Gemleaf sobre su operación.

¿Quiere ver Gemleaf trabajando sobre un proceso real de su operación, con sus permisos? Agende una demo.

Ver seguridad →