Avantic

Solicitar diagnóstico

Ciberseguridad

Ley 21.719 Protección de Datos Personales en Chile: Guía definitiva 2025 | Avantic

La Ley 21.719, publicada el 13 de diciembre de 2024, es la nueva normativa chilena que regula el tratamiento de datos personales, establece derechos para los titulares y crea la Agencia de Protección de Datos Personales. Esta ley, también conocida como la “Nueva Ley de Protección de Datos Personales en Chile”, actualiza completamente la antigua Ley 19.628 y alinea al país con estándares europeos como el GDPR.
Su entrada en vigencia está programada para el 1 de diciembre de 2026, otorgando a las organizaciones un periodo de transición para adaptarse.
La Ley 21.719 se convirtió en un pilar fundamental en el ecosistema de ciberseguridad, privacidad y cumplimiento normativo, complementando directamente la Ley Marco de Ciberseguridad (21.663) y elevando los estándares de protección de la información en todo el territorio nacional.

¿Qué cambia la Ley 21.719?

Esta ley transforma por completo el ecosistema de privacidad en Chile:

 1. Nuevos derechos del titular

Incluye derechos reforzados:
  • Acceso
  • Rectificación
  • Oposición
  • Supresión
  • Portabilidad
  • Limitación del tratamiento
  • Derecho a no ser perfilado sin consentimiento
  • Bloqueo
  • Transparencia algorítmica

 2. Datos sensibles y categorías especiales

Protección reforzada para:
  • Salud
  • Biometría
  • Identidad genética
  • Orientación sexual
  • Creencias religiosas
  • Opiniones políticas
Y datos de niños, niñas y adolescentes, donde rige el principio de interés superior del niño.

 3. Consentimiento explícito

El consentimiento debe ser:
  • Libre
  • Específico
  • Informado
  • Inequívoco
  • Revocable
Sin “consentimiento tácito” ni cláusulas ocultas.

 4. Nuevas obligaciones para empresas y organismos públicos

Incluye:
  • Análisis de Impacto en la Privacidad (DPIA)
  • Registro de actividades de tratamiento
  • Delegado de Protección de Datos (DPD)
  • Notificación obligatoria de brechas de seguridad
  • Medidas técnicas y organizativas
  • Transparencia en recolección de datos
  • Evaluación continua de riesgos

 5. Sanciones reales y severas

Las multas pueden llegar a:
🔥 Hasta 20.000 UTM para infracciones gravísimas.
🔥 Registro público de sanciones accesible para cualquier persona.
🔥 Responsabilidad civil adicional

Agencia de Protección de Datos Personales (APDP)

La Ley 21.719 crea una agencia autónoma, con:
  • Facultades fiscalizadoras
  • Capacidad sancionatoria
  • Emisión de normas e instrucciones
  • Supervisión de organismos públicos y privados
  • Administración del Registro Nacional de Sanciones
  • Acreditación de modelos de cumplimiento
Esta agencia será el “SERNAC de los datos”, pero con poder real.

¿Qué deben hacer las empresas para cumplir la Ley 21.719?

Avantic recomienda un camino práctico en 6 fases:

1. Diagnóstico GAP Ley 21.719

Mapeo completo de brechas legales, técnicas y organizacionales.

2. Inventario y clasificación de datos

Identificación de:
  • Datos personales
  • Datos sensibles
  • Categorías especiales
  • Flujos internos y externos

3. Diseño del Modelo de Cumplimiento PDPL

Incluye protocolos, políticas y procedimientos.

4. Implementación de controles técnicos

  • MFA
  • Seguridad Endpoint
  • DLP
  • IAM
  • Encriptación
  • Hardening
  • Monitoreo continuo
  • Gestión de vulnerabilidades

5. Preparación del Delegado de Protección de Datos (DPD)

Capacitación, herramientas y responsabilidades.

6. Notificación de incidentes y respuesta

Alineado con Ley Marco de Ciberseguridad y ANCI.

🔐 Integración con la Ley Marco de Ciberseguridad (21.663)

La nueva Ley de Protección de Datos no está aislada.
Opera en conjunto con:
  • ANCI
  • CSIRT Nacional
  • Requisitos mínimos de ciberseguridad
  • Modelos de prevención de infracciones
  • Continuidad operativa y respuesta a incidentes
La convergencia obliga a empresas a fortalecer:
  • Privacidad
  • Ciberseguridad
  • Gobernanza de datos
  • Resiliencia digital

Obligaciones principales de la Ley Marco

A partir de 2024–2026, las organizaciones reguladas deben implementar:

Modelo de gestión de riesgos cibernéticos

Alineado a estándares como:
  • NIST CSF
  • ISO/IEC 27001
  • CIS Controls
  • ANCI – Requisitos mínimos

 Reporte obligatorio de incidentes

A la ANCI y al CSIRT Nacional según severidad y plazos definidos.

 Delegado de Ciberseguridad

Responsable de coordinar cumplimiento, gobernanza y respuesta a incidentes.

 Continuidad Operativa (BCP + DRP)

Planes actualizados, probados y documentados.

 Medidas técnicas mínimas

Incluyen:
  • MFA obligatoria
  • Seguridad Endpoint (EDR/XDR)
  • Control de accesos
  • Monitoreo continuo
  • Gestión de vulnerabilidades
  • Hardening
  • Protección de redes y sistemas
  • Telemetría y trazabilidad

 Auditorías y fiscalización

Revisión de cumplimiento por parte de la ANCI.

 Capacitación obligatoria

A toda la organización.

¿Te interesa saber más?

Solicite hoy mismo su diagnóstico sin costo y conozca el nivel de cumplimiento de su empresa