La Ley 21.719 es la nueva ley de protección de datos personales en Chile, vigente desde diciembre de 2024. Te da el derecho de saber qué información tienen de ti, corregirla, eliminarla o limitar cómo la usan. Si una empresa te envía publicidad sin tu permiso o comparte tus datos sin consentimiento, esta ley es la que te protege.
¿Qué regula?
La Ley 21.719 es la modernización más profunda del marco de datos personales en Chile desde la ley original de 1999. Reemplaza y amplía la Ley 19.628, crea la Agencia de Protección de Datos Personales (la nueva autoridad administrativa independiente), introduce derechos adicionales al titular y establece un régimen sancionatorio con multas significativamente mayores.
Vigencia gradual: la ley fue promulgada en diciembre de 2024 pero su entrada en plena vigencia tiene un período de transición. Algunas disposiciones de la Ley 19.628 permanecen vigentes durante ese período.
Puntos clave para personas
Los derechos ARCO ampliados (ARCO+)
La nueva ley amplía los 4 derechos ARCO clásicos con derechos adicionales:
| Derecho | ¿Qué te permite? |
|---|---|
| Acceso | Conocer qué datos tiene una org. sobre ti y para qué los usa |
| Rectificación | Corregir datos inexactos |
| Supresión | Eliminar datos (antes: “cancelación”) |
| Oposición | Negarte a ciertos tratamientos |
| Portabilidad (nuevo) | Recibir tus datos en formato digital para llevarlos a otro proveedor |
| Limitación (nuevo) | Restringir el tratamiento mientras resuelves una disputa |
| No ser objeto de decisiones automatizadas (nuevo) | Pedir que una decisión que te afecta no sea tomada solo por un algoritmo |
La nueva Agencia de Protección de Datos
La ley crea un organismo autónomo con facultades para:
- Investigar denuncias de vulneración de datos.
- Multar a empresas que incumplan (multas de hasta 10.000 UTM para infracciones graves).
- Dictar instrucciones de cumplimiento obligatorio.
¿Qué cambios impactan a los datos financieros?
- Las instituciones financieras deben tener Delegados de Protección de Datos (tipo DPO europeo) si tratan datos de forma masiva.
- Los incidentes de seguridad (filtraciones, hackeos) deben notificarse a la Agencia y a los afectados en plazos breves.
- El tratamiento con fines de marketing directo requiere consentimiento explícito y tiene mecanismos de opt-out simples.
Artículos de referencia clave
| Artículo | Contenido |
|---|---|
| Arts. 1°–5° | Objeto, principios y definiciones |
| Arts. 11°–17° | Derechos del titular ampliados (ARCO+) |
| Arts. 22°–26° | Bases de licitud del tratamiento |
| Arts. 48°–55° | Agencia de Protección de Datos: creación y atribuciones |
| Arts. 60°–70° | Infracciones y multas |
Texto oficial
Texto completo: BCN — Ley 21.719
Agencia de Protección de Datos: en implementación — revisa el Ministerio Secretaría General de Gobierno para el estado actual.
Última verificación: marzo 2026. Esta ficha es educativa, no asesoría legal. La vigencia plena de esta ley depende del cronograma reglamentario — consulta el texto oficial.