La Agencia de Protección de Datos Personales de Chile tiene presupuesto, autoridades designadas y un calendario de fiscalización que ya está en marcha. El plazo para que las empresas estén en cumplimiento no es abstracto: hay fechas concretas, y la mayoría de las empresas chilenas va atrasada. Este análisis se centra en los plazos reales, en quiénes están en la mira primero y en cómo priorizar el trabajo de cumplimiento con lo que queda de año.
Los plazos que pocas empresas tienen claros
La Ley 21.719, que moderniza la protección de datos personales en Chile, fue publicada en 2024. El régimen de transición incluye períodos de adaptación diferenciados según el tipo de empresa y la sensibilidad de los datos que trata. Los hitos principales para 2026 son los siguientes:
- Primer semestre 2026: la Agencia de Protección de Datos Personales inició operaciones efectivas, con capacidad real de fiscalización y recepción de denuncias.
- Segundo semestre 2026: término del período de adecuación para empresas medianas y grandes. A partir de este punto, las sanciones administrativas están plenamente vigentes.
- Primer semestre 2027: término del período de adecuación para microempresas y pequeñas empresas (con excepciones para quienes traten datos sensibles).
El error más frecuente en empresas chilenas es confundir “la ley no ha entrado en vigor” con “tenemos tiempo”. La ley ya entró en vigor. Lo que está vigente en este momento es un período de adaptación que la Agencia puede no aplicar con la misma flexibilidad a todos los sectores — especialmente en casos donde ya existen denuncias o incidentes de seguridad.
Quiénes están primero en la mira de la fiscalización
La Agencia no tiene capacidad para fiscalizar simultáneamente a todos los sectores. El orden de prioridades está determinado por dos factores: la sensibilidad de los datos tratados y el volumen de titulares afectados. Con eso en mente, los sectores con mayor exposición en el corto plazo son:
Servicios financieros y fintech: datos económicos, scoring crediticio, historial de pagos. El volumen de titulares y la sensibilidad de los datos los ubica en la primera línea. Las empresas de este sector que no puedan demostrar un sistema de consentimiento granular y trazable van a ser las primeras en recibir visitas o requerimientos de información.
Salud privada: clínicas, laboratorios, seguros de salud, aplicaciones de bienestar. Los datos médicos son datos sensibles con tratamiento diferenciado bajo la ley. Cualquier brecha o denuncia en este sector va a escalar inmediatamente a la Agencia.
Plataformas de comercio electrónico de volumen alto: datos de comportamiento de compra, tarjetas, direcciones, historiales de transacción de miles o millones de titulares.
Empresas de telecomunicaciones y marketing digital: perfilamiento de hábitos, geolocalización, análisis de uso. La combinación de volumen y perfilamiento las hace especialmente visibles.
Empresas con incidentes previos conocidos: cualquier empresa que haya tenido una brecha de seguridad pública en los últimos 24 meses puede esperar atención prioritaria de la Agencia.
Las pequeñas y medianas empresas con operaciones más acotadas tienen más tiempo, pero no tiempo indefinido — y si tienen datos sensibles (cualquier empresa en salud, educación de menores o servicios financieros por ejemplo), el plazo es igual que para las grandes.
Las tres prioridades de cumplimiento para los próximos 90 días
Para empresas que todavía no están en cumplimiento, la pregunta práctica es: ¿por dónde empiezo con el tiempo que queda? La respuesta no es “por todo a la vez”. Hay una secuencia lógica.
Prioridad 1: Sistema de consentimiento funcional
El consentimiento implícito — el clásico banner que dice “al continuar navegando aceptas el uso de cookies” — ya no es suficiente. La ley exige consentimiento explícito, granular y revocable para cada finalidad de tratamiento. Esto requiere:
- Banner de cookies con aceptación real por categoría (funcionales, analytics, marketing)
- Registro persistente de consentimientos con timestamp, finalidad y versión del aviso aceptado
- Mecanismo funcional para revocar el consentimiento que se propague a todos los sistemas downstream
Este es el punto de entrada más visible para una fiscalización. Un sistema de consent management implementado sobre una plataforma de desarrollo de software a medida o integrado con una herramienta CMP configurada correctamente es la base de cualquier programa de cumplimiento.
Prioridad 2: Mapa de flujos de datos documentado
No se puede proteger lo que no se sabe que existe. Antes de implementar cualquier control técnico, las empresas necesitan un mapa de todos los sistemas que contienen datos personales: nombre, categoría de dato, finalidad, volumen aproximado de titulares, retención y si los datos cruzan fronteras.
Este documento no es solo un requisito legal — es la herramienta que permite priorizar los esfuerzos técnicos. Sin él, los recursos se gastan en los sistemas más visibles en vez de los más riesgosos.
Prioridad 3: Procedimiento de respuesta a brechas de seguridad
La ley impone notificar brechas de seguridad a la Agencia en un plazo de 72 horas desde la detección en casos graves, y a los titulares afectados cuando corresponda. Esto exige que la empresa tenga un procedimiento documentado y probado antes de que ocurra la brecha — no improvisarlo durante el incidente.
El procedimiento incluye: criterios de clasificación de la brecha (grave / menor), lista de contactos de notificación, plantillas de comunicación aprobadas por asesoría legal y responsable técnico designado. Para el equipo de mantenimiento de aplicaciones, esto implica también tener logs estructurados y centralizados que permitan reconstruir qué datos se accedieron y desde dónde.
Lo que puede esperar sin riesgo inmediato
No todo tiene el mismo nivel de urgencia. Hay elementos del cumplimiento que son importantes pero que pueden planificarse para el segundo semestre 2026 o el primer trimestre 2027 sin exposición significativa a sanciones tempranas:
- Implementación completa de derechos ARCO+: el panel de ejercicio de derechos para titulares es complejo de construir y la Agencia ha señalado que el proceso de adaptación incluye este elemento. Es prioritario, pero en la secuencia va después del consentimiento y el mapa de datos.
- Designación formal del encargado de protección de datos: para empresas que lo requieren por volumen, este proceso administrativo puede correr en paralelo con las implementaciones técnicas sin ser el cuello de botella.
- Auditoría completa de proveedores: revisar si cada SaaS y proveedor cloud que usa la empresa cumple estándares equivalentes es necesario, pero es un proceso extenso que puede desarrollarse en fases.
- Cifrado de bases de datos legacy: crítico a largo plazo, pero si el acceso a esas bases ya está controlado y monitorizado, el riesgo inmediato de sanción por cifrado insuficiente es menor que por falta de consentimiento o ausencia de protocolo de brechas.
La clave es no paralizarse queriendo hacer todo a la vez. Un plan de cumplimiento en fases con las tres prioridades anteriores bien ejecutadas deja a la empresa en una posición radicalmente diferente frente a una fiscalización que no haber empezado.
Errores frecuentes en empresas que creen estar cumpliendo
Una parte significativa del problema en Chile no es ignorancia de la ley — es confianza falsa en medidas que no son suficientes. Los errores más frecuentes que vemos:
Confiar en el banner de cookies heredado: muchos sitios tienen un banner que se instaló hace años con una herramienta barata y que solo registra “aceptó todo” sin granularidad ni trazabilidad. Eso no cumple con los requisitos de consentimiento de la nueva ley.
Política de privacidad actualizada sin cambios en el software: el documento legal nuevo es necesario pero no suficiente. Si el software sigue recolectando datos sin consentimiento explícito o sin poder ejecutar un derecho de cancelación, el texto del aviso no protege a la empresa.
Asumir que los proveedores cloud son responsables: AWS, Azure y Google Cloud son encargados de tratamiento, no responsables. La empresa que contrata el servicio sigue siendo la responsable del cumplimiento frente a la Agencia. Que los datos estén en infraestructura de un gran proveedor no exime de nada.
No tener logs de acceso a datos personales: cuando ocurre un incidente, la empresa tiene 72 horas para notificar si los datos comprometidos son sensibles y el volumen es relevante. Sin logs estructurados que permitan identificar exactamente qué se accedió, ese plazo es imposible de cumplir.
Tratar todos los datos como si tuvieran el mismo nivel de sensibilidad: mezclar datos de contacto básico con RUTs, datos médicos o información financiera en el mismo esquema de protección lleva a sobre-invertir en lo menos riesgoso y dejar expuesto lo más crítico.
El estado real del mercado chileno en 2026
La observación honesta del mercado es que la mayoría de las empresas chilenas medianas y grandes está en algún punto del camino, pero pocas están completamente listas. El patrón más común es el siguiente: empresas que tienen ya la política de privacidad actualizada y algún banner de cookies, pero que no tienen mapa de flujos documentado, no tienen sistema de consentimiento granular con trazabilidad y no tienen protocolo de brechas probado.
Las empresas que están más avanzadas son, en general, las que tienen exposición a clientes internacionales (que ya exigen cumplimiento GDPR como condición comercial), las que operan en sectores financieros y de salud con regulación sectorial preexistente, y las que tuvieron algún incidente de seguridad anterior que funcionó como llamada de atención.
El sector de pequeñas empresas de software, agencias digitales y startups es el más heterogéneo: algunas están sorprendentemente bien preparadas; otras prácticamente no han empezado. El plazo extendido para pymes les da algo de margen, pero ese margen no aplica si tratan datos sensibles.
Conclusión
La cuenta regresiva del reglamento de protección de datos en Chile ya está corriendo. Las empresas que actúen en los próximos 90 días con las tres prioridades correctas — consentimiento funcional, mapa de datos y protocolo de brechas — van a entrar al segundo semestre 2026 en una posición defendible. Las que esperen van a remediar bajo presión y con costos mayores.
En Codelan implementamos los componentes técnicos del cumplimiento con desarrollo de software a medida integrado a los sistemas existentes de cada empresa. Si tu empresa todavía no sabe exactamente en qué estado está frente a la nueva ley, conversemos. Te entregamos un diagnóstico técnico gratuito que mapea las brechas concretas y las prioridades para tu caso específico.
Preguntas frecuentes sobre el reglamento de protección de datos en Chile
¿Cuándo entra en vigor completamente el nuevo régimen de protección de datos?
La Ley 21.719 ya está publicada y la Agencia de Protección de Datos Personales ya opera efectivamente. El régimen de sanciones está plenamente vigente para empresas medianas y grandes a partir del segundo semestre de 2026. Para microempresas y pequeñas empresas hay un plazo extendido hasta el primer semestre de 2027, con excepción de quienes tratan datos sensibles, que tienen el mismo plazo que las grandes.
¿Mi empresa necesita un Delegado de Protección de Datos?
La ley exige designar un encargado de protección de datos para organismos públicos y para empresas privadas que realicen tratamiento de datos a gran escala, especialmente si incluyen datos sensibles. El umbral exacto está en el reglamento de la ley. Para la mayoría de las empresas medianas que tratan datos de clientes y empleados, la designación de un responsable interno con esa función es prudente aunque no sea estrictamente obligatoria.
¿El consentimiento implícito de los banners de cookies actuales ya no vale?
Correcto. El banner que dice “al continuar navegando aceptas las cookies” ya no cumple con los requisitos de consentimiento de la nueva ley. Se requiere consentimiento explícito, informado, libre y granular para cada categoría de tratamiento. Eso implica un banner con opciones reales de aceptación por categoría, un sistema que registre el consentimiento con trazabilidad y un mecanismo para revocarlo en cualquier momento.
¿Qué pasa si tenemos una brecha de seguridad antes de estar en cumplimiento total?
La obligación de notificar brechas de seguridad graves a la Agencia en 72 horas aplica independientemente del estado de cumplimiento general de la empresa. Si ocurre un incidente, la empresa debe notificar de todas formas. Que no estuviera en cumplimiento previo es una agravante, no una exoneración. Por eso el protocolo de respuesta a brechas es una de las tres prioridades que recomendamos implementar antes del segundo semestre de 2026.
¿Usar proveedores cloud como AWS o Azure nos protege de responsabilidad?
No. Los proveedores cloud son encargados de tratamiento que actúan bajo las instrucciones del responsable (tu empresa). La responsabilidad frente a la Agencia y los titulares sigue siendo de la empresa que contrata el servicio. Lo que sí debes verificar es que el contrato con el proveedor cloud incluya las cláusulas de procesamiento de datos adecuadas y que los certificados de seguridad del proveedor estén actualizados y accesibles.
¿Cuánto puede costar una sanción bajo la nueva ley?
Las sanciones están escalonadas según la gravedad de la infracción y el tamaño de la empresa. Las infracciones graves pueden llegar a 5.000 UTM (unidades tributarias mensuales) para infracciones graves y hasta 10.000 UTM para infracciones gravísimas. A valores actuales, eso representa montos de decenas de millones de pesos que pueden ser materiales para una empresa mediana. Adicionalmente, las infracciones reiteradas pueden derivar en prohibición temporal de tratamiento de datos.
¿Qué diferencia hay entre esta noticia y el análisis técnico que publicamos antes?
La noticia anterior (abril 2026) se centró en los ocho cambios técnicos concretos que exige la ley en materia de arquitectura de software. Este análisis se centra en la urgencia del cronograma: qué plazos quedan, quiénes están en la mira primero y cuáles son las tres prioridades de implementación para los próximos 90 días. Son ángulos complementarios del mismo tema.
