Ley N° 21.719

El Nuevo Estándar de
Privacidad en Chile

La adecuación no es solo un trámite legal, es un cambio cultural profundo en cómo las áreas de Desarrollo, UX y Negocios interactúan con el cliente.

Gema Especializada en LDPD

Asistente IA entrenado en la normativa chilena para resolver consultas de implementación.
Ley N° 21.719 - Biblioteca del Congreso Nacional de Chile
Descripción y síntesis de la ley N° 21.719 - Biblioteca del Congreso Nacional de Chile
Guía de implementación (Gobierno Digital)

Consultar la Gema
Dic 2026
Entrada en vigencia total
Hasta 4%
Multa sobre ingresos anuales
30-50%
Rechazo de cookies estimado

"La ley deja de ver el dato como una simple mercancía y lo consagra como una extensión de la vida privada. El consentimiento ahora es la regla de oro."

1 Resumen de la Norma

La Ley N° 21.719 (que modifica profundamente la Ley 19.628) establece el nuevo estándar de protección de datos personales en Chile, elevando la normativa nacional a estándares internacionales (similares al RGPD europeo). Entrará en vigencia en diciembre de 2026. Su objetivo principal es devolver al usuario el control efectivo sobre su información, regulando cómo las organizaciones recolectan, almacenan, usan y transfieren estos datos.

Para lograrlo, la ley consagra nuevos derechos para los ciudadanos (Derechos ARCOP), exige que el consentimiento sea explícito, libre e inequívoco, e instituye obligaciones preventivas para las empresas (como la privacidad por diseño). Además, crea la Agencia de Protección de Datos Personales, un organismo público fiscalizador con amplias facultades para sancionar severamente las infracciones.

2 Impacto para el área de Desarrollo, UX y Negocios

Esta ley cambia radicalmente la forma en que se construyen los productos digitales. Para UX, significa el fin de las "casillas premarcadas" y los diseños engañosos (dark patterns); ahora los consentimientos deben ser transparentes, granulares y fáciles de revocar (añadiendo fricción legal pero aumentando la confianza). Para Desarrollo, implica implementar arquitecturas de "Privacidad por Diseño", asegurar bases de datos mediante seudonimización/encriptación, y crear portales automatizados para que los usuarios ejerzan sus derechos técnicos (como la portabilidad). Para Negocios y Marketing, el impacto es crítico: los banners de cookies estrictos reducirán el volumen de datos de analítica y retargeting (pérdida de third-party data), obligando a pivotar hacia estrategias de recolección de datos propios (first-party data) entregando valor real a cambio de información.

3 Puntos de Acción / Recomendaciones Prácticas

Auditoría UX y Formularios

El consentimiento tácito queda obsoleto. Toda recopilación de datos requiere una acción afirmativa y granular.

Destacado

Implementar el principio de Opt-In explícito en todo el sitio.

Ejemplo Práctico

"En lugar de una casilla premarcada, el usuario debe hacer clic activamente en un recuadro vacío para suscribirse. No mezclar 'Aceptar TyC' con 'Aceptar Marketing'."

Centro de Preferencias (ARCOP)

Los titulares deben poder Acceder, Rectificar, Cancelar, Oponerse y Portar sus datos de forma gratuita y expedita.

Destacado

Garantizar Cero Fricción para revocar consentimientos.

Ejemplo Práctico

"Desarrollar un panel en 'Mi Cuenta' con botones de un clic para 'Descargar mis datos JSON' o 'Eliminar cuenta', sin obligar a llamar al Call Center."

Gestión de Cookies

Obligación de mapear todas las cookies de terceros y bloquear los scripts de seguimiento por defecto.

Destacado

Implementar una Plataforma CMP.

Ejemplo Práctico

"Al cargar la página, Píxeles de Meta o Analytics NO deben dispararse. Solo se activan tras pulsar explícitamente 'Aceptar'."

Privacidad desde el Diseño

Incorporar reglas en la arquitectura BDD para minimización, cifrado y borrado automático.

Destacado

Aplicar estricta Minimización de datos.

Ejemplo Práctico

"Si ofreces un Newsletter, el backend solo debe exigir correo. Eliminar campos como 'RUT' o 'Teléfono' si no hay justificación."

Estrategia First-Party Data

La restricción de cookies afectará a Marketing. Se debe pivotar estratégicamente la captura de datos.

Destacado

Fomentar el Log-in voluntario (Zero-Party Data).

"Programas de lealtad. Ofrecer envío gratis o descuento a cambio de que el usuario decida crear una cuenta."

4 Fuentes de Conocimiento

Aviso Legal: La información proporcionada por este asistente es de carácter orientativo, didáctico y preventivo. No constituye asesoría legal vinculante. Se recomienda siempre que cualquier implementación definitiva sea revisada y validada por el área Legal o de Compliance de su organización.

Hoja de Ruta 2026-2027

Implementación

Ley de Protección de Datos Personales en Chile

Cronograma estratégico de preparación y cumplimiento corporativo de cara a la entrada en vigencia de la nueva normativa y el inicio del escrutinio por la Agencia.

Q1 2026

Diagnóstico y Mapeo

Identificar y documentar todos los datos personales que la organización recopila, procesa y almacena. Determinar propósito, base legal y tiempos de retención para realizar el Análisis de Brechas.

Q2-Q3 2026

Adaptación Documental y UX

Revisar y actualizar políticas de privacidad, avisos legales y contratos con proveedores (Encargados). Implementar portales para recibir solicitudes de Derechos ARCOP.

Q3-Q4 2026

Seguridad y Protocolos

Establecer controles de ciberseguridad técnicos (cifrado, logs) y un protocolo estricto de respuesta. La ley exige notificar brechas de seguridad en un plazo máximo de 72 horas.

1 Dic 2026

Vigencia Plena de la Ley

La Ley 21.719 entra en vigor legalmente. La Agencia de Protección de Datos Personales inicia sus facultades fiscalizadoras y sancionatorias. El Modelo de Prevención debe estar activo.

Q1-Q2 2027

Consolidación Operativa

Inicio del escrutinio público. Las organizaciones deberán demostrar operativamente su cumplimiento frente a solicitudes ciudadanas reales y requerimientos de la nueva autoridad.

Q3-Q4 2027

Certificación del Modelo

Gestión formal para la certificación de los Modelos de Prevención de Infracciones ante terceros autorizados, para presentarlos como atenuantes de responsabilidad corporativa.

Aviso Legal: La información proporcionada por este asistente es de carácter orientativo, didáctico y preventivo. No constituye asesoría legal vinculante. Se recomienda siempre que cualquier implementación definitiva sea revisada y validada por el área Legal o de Compliance de su organización.

Vocabulario y Conceptos Clave

¿Cómo protege la ley a los usuarios?

La ley deja de ver el dato como una simple "mercancía" corporativa y lo consagra como una extensión de la vida privada. Protege al usuario mediante 4 pilares fundamentales:

Consentimiento de oro

Ninguna empresa puede usar datos sin un "Sí" claro, específico y demostrable del usuario.

Limitación de finalidad

Si el email se pidió para la boleta, no puede usarse para marketing sin nuevo permiso.

Minimización

Pedir solo lo estrictamente necesario. (Ej. Prohibido exigir RUT para leer un blog).

Empoderamiento

Derechos ARCOP para controlar, portar o eliminar la huella digital en cualquier momento.

Clasificación: Personales vs. Sensibles

Datos Personales

Cualquier información referida a una persona natural identificada o identificable directamente.

Regla general: Requieren consentimiento explícito (base de licitud). Impacto moderado en caso de brecha.
Ejemplos en el negocio:
  • Nombre completo y RUT.
  • Correo y Teléfono móvil.
  • IP y cookies de navegación.
  • Historial de compras E-commerce.

Datos Sensibles

Datos referidos a la intimidad, características físicas, morales o la vida privada de la persona.

Regla estricta: Riesgo de discriminación. Prohibición general de tratamiento salvo ley o consentimiento hiper-específico.
Ejemplos en el negocio:
  • Biometría: Huella, FaceID.
  • Salud: Fichas médicas, apps fitness.
  • Íntimos: Orientación, identidad.
  • Ideología: Creencias o política.

Aviso Legal: La información proporcionada por este asistente es de carácter orientativo, didáctico y preventivo. No constituye asesoría legal vinculante. Se recomienda siempre que cualquier implementación definitiva sea revisada y validada por el área Legal o de Compliance de su organización.

Requisitos Web y Diseño UX

Los 3 Pilares del Diseño de Privacidad

Transparencia Total

Políticas visibles, sin jerga legal. El usuario debe saber exactamente quién, para qué y por cuánto tiempo usará sus datos al momento de capturarlos.

Consentimiento Activo

Fin del "Al navegar asumes...". Requiere un acto afirmativo (clic). Están prohibidas las casillas premarcadas (Opt-out por defecto).

Fácil Revocación

Revocar (retirar) el permiso debe requerir el mismo esfuerzo/clics que darlo. Es obligatorio implementar un "Centro de Preferencias" accesible.

Patrones de Consentimiento (Do's & Don'ts)

Práctica Ilegal (Dark Pattern)

Crea tu cuenta de usuario

Errores críticos: Casilla premarcada. Mezcla la aceptación de Términos (obligatorio) con Marketing (opcional). Falta granularidad.

Diseño que Cumple la Ley

Crea tu cuenta de usuario

Aciertos normativos: Casillas vacías por defecto. Consentimiento estrictamente granular (separación clara de finalidades).

Arquitectura Técnica de Cookies y Dominios

Subdominios Por regla general, el consentimiento se asocia al dominio donde se otorgó. Si pasas de tienda.cl a blog.tienda.cl, el consentimiento se hereda solo si en el banner original se indicó el alcance cruzado. Si son propósitos distintos, requiere nuevo banner.
Público vs Privado (Log-in) Aceptar cookies analíticas en el "home" (sitio público) no autoriza automáticamente a cruzar esa navegación anónima con el perfil del usuario una vez que hace Log-In (sitio privado), a menos que esto haya sido informado expresamente al crear la cuenta.
Vida útil del permiso Aunque la ley no fija meses exactos, el estándar (GDPR) sugiere un máximo técnico de 6 a 13 meses para la cookie de consentimiento. Se debe volver a solicitar si hay cambios sustanciales en la política o nuevos proveedores.
Tasa de Rechazo Al usar botones equitativos obligatorios ("Aceptar Todas" vs "Rechazar Todas"), el mercado prevé un 30% a 50% de rechazo de cookies no esenciales (Analytics/Ads). El negocio debe prepararse para la pérdida de datos determinísticos.

Aviso Legal: La información proporcionada por este asistente es de carácter orientativo, didáctico y preventivo. No constituye asesoría legal vinculante. Se recomienda siempre que cualquier implementación definitiva sea revisada y validada por el área Legal o de Compliance de su organización.

Derechos ARCOP

El titular cuenta con nuevos mecanismos reforzados para ejercer control sobre su información. Las empresas tienen la obligación de proveer Centros de Preferencias o formularios electrónicos gratuitos y expeditos para resolver estas solicitudes en plazos acotados.

A

Derecho de Acceso

El usuario puede preguntar: "¿Qué datos tienen míos, de dónde los sacaron, para qué los usan y a quién se los han compartido?". La empresa debe entregar copia legible de la info.

R

Derecho de Rectificación

Permite exigir que se corrijan datos si son inexactos, desactualizados o incompletos en la base de datos corporativa. Ej: Cambio de domicilio, estado civil o correo.

C

Cancelación (Olvido)

Exigir la eliminación de datos cuando ya no sean necesarios o se revoque el consentimiento. *No aplica si la ley obliga a retenerlos por jerarquía (ej. datos tributarios SII).

O

Derecho de Oposición

Oponerse a que sus datos se usen para un fin específico que no le agrada, por ejemplo, marketing directo o perfilamiento automático, sin tener que eliminar su cuenta principal.

P

Derecho a la Portabilidad Nuevo

El usuario puede exigir copia de todos sus datos en un formato electrónico estructurado, genérico y de uso común (ej. JSON, CSV, XML) para transferirlos a otra empresa o competidor sin impedimentos técnicos. Esto exige desarrollo Backend para automatizar descargas.

Derecho a Bloqueo (Transitorio): La ley también contempla el "bloqueo temporal", donde el titular puede pedir suspender cualquier tratamiento mientras la empresa investiga y resuelve su solicitud previa de rectificación u oposición.

Aviso Legal: La información proporcionada por este asistente es de carácter orientativo, didáctico y preventivo. No constituye asesoría legal vinculante. Se recomienda siempre que cualquier implementación definitiva sea revisada y validada por el área Legal o de Compliance de su organización.

Régimen de Institucionalidad y Sanciones

Infracciones Leves

5k
UTM Máximo

Ej: Políticas de privacidad poco claras, incomprensibles o desactualizadas.

Infracciones Graves

10k
UTM Máximo

Ej: Tratar datos sin el consentimiento, o usarlos para fines no declarados.

Inf. Gravísimas

20k
UTM Máximo
O hasta 4% facturación

La Nueva Agencia Reguladora (APD)

Servicio público descentralizado y autónomo. Será el "diente" de la ley, fiscalizando tanto a gigantes privados como a instituciones públicas de salud o ministerios.

  • Facultades: Dicta normas, resuelve reclamos.
  • Poderes: Inicia investigaciones presenciales de oficio.
  • Sanción Directa: Aplica las multas sin ir a juicio previo.
  • Registro: Publicará a las empresas infractoras.

Obligaciones Preventivas Corporativas

Deber Secreto

Confidencialidad garantizada en el contrato.

Seguridad

Medidas activas vs intrusiones y pérdidas.

Aviso Brechas

Notificar incidentes en máx. 72 horas.

Evaluación DPIA

Analizar riesgos previo a proyectos masivos.

Detalle Legal de Multas

Tipo / Gravedad Límite UTM Tipificación (Ejemplos Ley)
Leves Hasta 5.000 Incumplir deber de información (Política desactualizada) o responder a destiempo los derechos ARCOP del titular.
Graves Hasta 10.000 Tratar datos sin consentimiento del usuario. Tratarlos con una finalidad distinta a la recolectada inicialmente.
Gravísimas Hasta 20.000 Vender BDD maliciosamente. Tratar ilegalmente Datos Sensibles o información perteneciente a menores de edad.
Regla del 4% para Gran Empresa: Si el infractor es catalogado como gran corporación, la multa por infracción grave se eleva hasta el 2% de sus ingresos anuales. Si es gravísima, se dispara hasta el 4% de facturación global. Adicionalmente, cualquier nivel de reincidencia faculta a la Agencia para triplicar los montos.

Aviso Legal: La información proporcionada por este asistente es de carácter orientativo, didáctico y preventivo. No constituye asesoría legal vinculante. Se recomienda siempre que cualquier implementación definitiva sea revisada y validada por el área Legal o de Compliance de su organización.

Impacto en Métricas de Negocio

Marketing & Analítica

El "Apocalipsis" de Cookies

Con la implementación obligatoria de un banner de cookies estricto (Opt-In por defecto), se genera un punto ciego masivo en la analítica web tradicional (Google Analytics) y en modelos de atribución publicitaria.

Rastreo Actual (Consentimiento Tácito) ~95%
Proyección 2026 (Opt-In Activo) 50% - 70%

Caída de Analítica Básica

Con la obligación del Opt-In, un porcentaje masivo de usuarios rechazará las cookies no esenciales de medición y seguimiento de sesiones.

  • Caída de volumen en GA4.
  • Ruptura en modelos de atribución (CPA).
  • Estrategia: Server-Side Tagging y Consent Mode v2.

Fin del Retargeting Fácil

Depender de pixeles de terceros (Third-party cookies de Meta/Google Ads) será inefectivo y un riesgo sancionatorio gravísimo.

  • Audiencias de remarketing mermadas.
  • Mayor costo de adquisición (CAC).
  • Estrategia: Value Exchange (Ecosistema First-Party).

Aviso Legal: La información proporcionada por este asistente es de carácter orientativo, didáctico y preventivo. No constituye asesoría legal vinculante. Se recomienda siempre que cualquier implementación definitiva sea revisada y validada por el área Legal o de Compliance de su organización.

Google Consent Mode v2

El Puente Tecnológico

El estándar de facto de la industria para recuperar datos analíticos modelados sin vulnerar el control de privacidad del usuario en Chile.

Arquitectura Dinámica

Consent Mode (v2) actúa como una API que escucha la elección en tu plataforma de banner (CMP) y ajusta al vuelo el comportamiento de los scripts (Tag Manager, GA4, Ads).

Si el usuario ACEPTA

Las etiquetas inyectan cookies y rastrean la navegación determinística para atribución completa.

Si el usuario RECHAZA

Se prohíbe grabar cookies. El sistema dispara "Pings Anónimos" (señales sin identificar el dispositivo) para registrar conversiones aisladas en el servidor.

Modelado de IA (Novedades v2)

La Inteligencia Artificial de Google procesa esos "pings" anónimos y modela probabilísticamente el comportamiento perdido basándose en la tendencia de los que sí aceptaron.

Parámetros Críticos V2

  • ad_user_data Bandera legal: ¿Autoriza el usuario enviar sus datos personales (Ej. email encriptado) a Google para pauta publicitaria?
  • ad_personalization Bandera legal: ¿Autoriza el usuario ser impactado mediante campañas de Remarketing dinámico?

Aviso Legal: La información proporcionada por este asistente es de carácter orientativo, didáctico y preventivo. No constituye asesoría legal vinculante. Se recomienda siempre que cualquier implementación definitiva sea revisada y validada por el área Legal o de Compliance de su organización.

Base de Conocimiento

Preguntas Generales LDPD

Respuestas estructuradas a las dudas técnicas y de cumplimiento inicial más comunes en Chile.

Análisis Normativo Global (GDPR / LGPD)

Lecciones Anticipadas para Chile

Explore los 6 puntos críticos de fricción que bloquearon a empresas europeas para planificar y mitigar los riesgos operativos en su propia infraestructura.

Matriz de Puntos de Dolor

Data Discovery (Mapeo)

Pasado Legal (UE)

Silos de información dispersos.

Impacto Final

Largo proceso.

Proyección Latam

Limpiar legacy es doloroso.

Factor Crítico

Minimización obligatoria.

Matriz: Esfuerzo Técnico vs Riesgo Legal

Aceleradores de Cumplimiento

Vendor Management

Directorio de Plataformas CMP

Evaluación de software de mercado (Consent Management Platforms) requeridas para orquestar el bloqueo de rastreadores y mantener el log legal.

Segmentación por Arquitectura Corporativa

Estimación de Costos (SaaS)

Comparativa mensual en USD para licenciamiento base por dominio. Valores referenciales sujetos a volumen de tráfico (pageviews).

  • OneTrust: Estándar GRC corporativo. Complejo pero infalible para Enterprise.
  • Cookiebot: Instalación express mediante crawler mensual. El favorito pyme.
  • CookieYes: Interfaz muy amigable para setups en WordPress/Shopify.
Crisis Operativa (2027)

Resolución de Incidentes bajo Fuego

La ley ya está vigente y la Agencia está fiscalizando con multas reales. Protocolos de emergencia para las dudas operacionales más críticas.