Ley 21.719 de Protección de Datos: qué debe tener tu sitio web antes de diciembre 2026

El 1 de diciembre de 2026 entra en vigencia la Ley N° 21.719 de Protección de Datos Personales. Y si tu sitio web recolecta cualquier dato de tus visitantes —formularios de contacto, newsletter, cookies, login, e-commerce—, esta ley te aplica. Las multas por incumplimiento llegan a 20.000 UTM, alrededor de $12.000 millones de pesos.

Esta no es una alarma exagerada: es información que la mayoría de las PYMEs chilenas todavía no procesa. Y la nueva Agencia de Protección de Datos Personales tendrá facultades sancionatorias desde el día uno. En este artículo te explicamos, en términos prácticos, qué debe tener tu sitio web para llegar preparado.

Qué es la Ley 21.719 (en lenguaje simple)

Es la modernización de la antigua ley de protección de datos chilena (Ley 19.628 de 1999). Se acerca al estándar europeo del GDPR e introduce derechos nuevos para los ciudadanos, obligaciones más estrictas para las empresas y sanciones serias para quien no cumpla.

Los derechos del titular de los datos (es decir, cualquier persona que entrega información personal a tu empresa) ahora incluyen: acceso, rectificación, cancelación, oposición, portabilidad y bloqueo. Tu sitio debe permitir ejercer todos estos derechos de forma fácil y gratuita.

A quién le aplica esta ley

Aplica a cualquier persona natural o jurídica que trate datos personales de personas en Chile, sin importar el tamaño de la empresa. Una PYME que tiene formulario de contacto en su web ya está tratando datos personales. Un e-commerce que pide nombre, RUT, dirección y correo, también. Incluso un sitio que solo usa Google Analytics está tratando datos personales (la IP es dato personal).

No hay umbral mínimo. La idea de “soy muy chico para que esto me aplique” no funciona con esta ley.

Los 7 elementos obligatorios en tu sitio web

1. Política de tratamiento de datos personales pública

Debe estar disponible de forma permanente en tu sitio, accesible desde todas las páginas (típicamente en el footer), y debe incluir: fecha y versión, qué datos se recolectan, finalidad del tratamiento, plazo de conservación, terceros con los que se comparten y mecanismos para ejercer derechos.

Esta política reemplaza a la antigua “Política de Privacidad” genérica que se copiaba de otros sitios. Debe ser real y específica a tu operación.

2. Banner de cookies con consentimiento granular

Olvídate del “usamos cookies, acepta” que solo tiene un botón. La nueva ley exige consentimiento informado, granular y reversible. El usuario debe poder elegir qué tipos de cookies acepta (analítica, marketing, funcionales), revocar su consentimiento después y rechazar todas tan fácil como aceptarlas.

Soluciones recomendadas: CookieYes, Cookiebot, Iubenda. Costo: entre $0 y USD 15/mes según el tráfico.

3. Formularios con consentimiento explícito y separado

Si tu formulario de contacto recoge nombre, correo y teléfono, debes informar antes del envío: qué datos pides, para qué los vas a usar, cuánto tiempo los guardas y cómo pueden ejercer sus derechos. El consentimiento no puede ser “presunto” —el típico checkbox marcado por defecto ya no sirve—.

Si además ofreces newsletter, ese consentimiento debe ser separado del de contacto. Lo mismo si compartes datos con un servicio de email marketing o CRM.

4. Mecanismo para ejercer derechos ARCO+

Debes tener un canal claro —típicamente un correo dedicado tipo [email protected] o un formulario específico— para que los usuarios puedan solicitar: acceso a sus datos, rectificación, cancelación, oposición, portabilidad y bloqueo. Y tienes plazos legales para responder (15-30 días según el caso).

Recomendación: documenta este proceso internamente. Quién recibe las solicitudes, quién las procesa, qué evidencia se guarda.

5. Encargado de tratamiento (DPO) en algunos casos

Si tratas datos sensibles de forma masiva (salud, biometría, datos de menores, datos financieros), o si tu actividad principal involucra monitoreo sistemático de personas, necesitas un DPO (Delegado de Protección de Datos). Para una PYME típica no es obligatorio, pero sí recomendable designar un responsable interno.

6. Registro de actividades de tratamiento

Documento interno donde detallas: qué datos tratas, con qué finalidad, dónde los almacenas, con quién los compartes, qué medidas de seguridad aplicas. No se publica, pero debe estar disponible si la Agencia te audita.

7. Plan de respuesta ante brechas

Si sufres un hackeo, fuga de información o cualquier brecha de seguridad, debes notificar a la Agencia y a los titulares afectados dentro de plazos definidos (típicamente 72 horas). Necesitas tener este plan documentado antes de que ocurra el incidente.

El costo de incumplir

Las sanciones se clasifican en leves, graves y gravísimas:

• Infracciones leves: hasta 5.000 UTM (~$3.000 millones).
• Infracciones graves: hasta 10.000 UTM (~$6.000 millones).
• Infracciones gravísimas: hasta 20.000 UTM (~$12.000 millones).

Más allá del monto, una sanción pública daña la reputación de marca. En sectores donde la confianza es clave (servicios financieros, salud, e-commerce), una multa por mal manejo de datos puede costar más en clientes perdidos que en dinero pagado.

Plan de acción en 60 días

Si todavía no has hecho nada, este es el cronograma realista para llegar al 1 de diciembre preparado:

• Semana 1-2: auditoría. Lista todos los puntos donde tu sitio recolecta datos (formularios, cookies, analytics, pixels de Facebook/Google, CRM, email marketing).
• Semana 3-4: redacta tu política de tratamiento de datos y un aviso legal acorde a la nueva ley. No copies textos genéricos.
• Semana 5-6: implementa banner de cookies con consentimiento granular y actualiza todos tus formularios con checkboxes explícitos.
• Semana 7-8: crea el canal de derechos ARCO+ (correo o formulario), documenta el registro de tratamientos y define el plan de brechas.

Conclusión: cumplir es una ventaja competitiva

Las empresas que llegan preparadas al 1 de diciembre no solo evitan multas: comunican a sus clientes que se toman en serio su privacidad. En un mercado donde el 70% de los consumidores chilenos dice que la confianza digital influye en sus decisiones de compra, cumplir bien es marketing.

En Klevo ayudamos a PYMEs chilenas a adecuar sus sitios web a la Ley 21.719. Implementamos políticas, banners de cookies, formularios y mecanismos de derechos en menos de 30 días. Si quieres una evaluación de tu cumplimiento actual, escríbenos.

Aviso importante: este artículo es informativo y no constituye asesoría legal. Para casos específicos consulta a un abogado especializado en derecho digital.