Chile entra en una nueva etapa en materia de privacidad y tratamiento de datos personales. La Ley 21.719 fija el 1 de diciembre de 2026 como fecha de inicio de vigencia, otorgando a las organizaciones un período clave para ordenar sus datos, fortalecer su ciberseguridad y demostrar cumplimiento.

¿Qué es la Ley 21.719 y cuándo empieza a regir?

La Ley 21.719 regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, modernizando la antigua Ley 19.628 y alineando a Chile con estándares internacionales más exigentes.
Tras su publicación en el Diario Oficial el 13 de diciembre de 2024, la norma estableció un período de transición de 24 meses y entrará en vigencia el 1 de diciembre de 2026, fecha en que sus obligaciones pasarán a ser plenamente exigibles para el sector público y privado.

Entre sus elementos centrales destacan:

  • Nuevos y reforzados derechos para las personas: acceso, rectificación, eliminación, portabilidad y limitación del tratamiento, entre otros.

  • Creación de la Agencia de Protección de Datos Personales: un ente autónomo con facultades de fiscalización, investigación y sanción.

  • Régimen sancionatorio robusto: se contemplan infracciones leves, graves y gravísimas, con multas que pueden llegar hasta 20.000 UTM en los casos más críticos.

¿Por qué el 1 de diciembre de 2026 es una fecha crítica para las empresas?

El 1 de diciembre de 2026 marca el cierre del período de adaptación y el inicio de la fiscalización efectiva del nuevo estándar de protección de datos personales.
A partir de esa fecha, las organizaciones deberán demostrar que cuentan con políticas, procesos y medidas de seguridad acordes al nivel de riesgo de los datos que tratan, so pena de enfrentar sanciones económicas importantes y un impacto reputacional significativo.

En la práctica, esto significa que:

  • No bastará con “tener un aviso de privacidad”: se exigirá gestión real y documentada de los datos personales.

  • Se deberán implementar mecanismos efectivos para que los titulares ejerzan sus derechos y para notificar brechas de seguridad a la Agencia y a los afectados cuando corresponda.

  • Sectores intensivos en datos (retail, servicios financieros, salud, educación, seguridad y vigilancia, tecnología, e‑commerce, inmobiliarias, etc.) deberán revisar de forma integral su infraestructura tecnológica y sus modelos de gobierno de datos.

De la política al terreno: desafíos técnicos y de seguridad

La nueva ley obliga a las empresas a pasar del enfoque teórico a una gestión concreta de los datos personales, apoyada en procesos, tecnología y evidencia.
Ya no es suficiente contar con documentos de buenas intenciones: la Agencia de Protección de Datos podrá requerir registros, trazabilidad de accesos, evaluaciones de impacto y pruebas de que existen medidas de seguridad adecuadas al nivel de riesgo.

Algunos de los desafíos más relevantes son:

  • Mapeo y clasificación de datos personales: identificar qué datos se recolectan, en qué sistemas se almacenan (CRM, ERPs, plataformas cloud, sistemas de videovigilancia, control de acceso, biometría, apps móviles, etc.) y con qué fines se tratan.

  • Gobernanza y roles claros: definir responsables internos, incluyendo la eventual designación de un Delegado de Protección de Datos cuando la naturaleza o volumen del tratamiento lo requiera.

  • Seguridad de la información y ciberseguridad: aplicar controles técnicos y organizacionales que incluyan cifrado, gestión de accesos, registros de actividad, segmentación de redes, respaldo y recuperación ante desastres.

  • Gestión de incidentes y notificación de brechas: establecer procedimientos para detectar, contener, analizar y reportar vulneraciones de seguridad que afecten datos personales.

¿Cómo pueden ayudar empresas como FortexSoluciones?

Frente a este escenario, el acompañamiento de empresas especializadas en infraestructura tecnológica, ciberseguridad y soluciones de seguridad física y lógica, como FortexSoluciones, resulta clave para traducir las exigencias legales en proyectos concretos.

Algunas contribuciones específicas que podemos son:

  • Diagnóstico integral de infraestructura y datos personales

    • Levantamiento de los sistemas que tratan datos personales: redes, servidores, nubes públicas y privadas, cámaras de videovigilancia, sistemas de control de acceso, plataformas de monitoreo y software de gestión.

    • Identificación de brechas en seguridad lógica y física (segmentación de red, control de credenciales, almacenamiento de respaldos, acceso a salas de servidores, protección de equipos críticos, etc.).

  • Diseño e implementación de arquitecturas seguras “privacy by design”

    • Integración de soluciones tecnológicas que incorporen la protección de datos desde el diseño, como sistemas de videovigilancia y control de acceso configurados con períodos de retención acotados, perfiles de acceso definidos y registros de auditoría.

    • Implementación de controles como cifrado en tránsito y en reposo, autenticación robusta, segmentación de redes y monitoreo continuo de eventos de seguridad.

  • Fortalecimiento de la operación segura del día a día

    • Configuración segura de plataformas críticas (firewalls, VPN, soluciones de monitoreo, servidores de aplicaciones, sistemas de grabación de video, paneles de control, etc.) en línea con las exigencias de la Ley 21.719 y los marcos de seguridad de la información más utilizados.

    • Implementación de procedimientos y herramientas para la gestión de incidentes, incluyendo alertas tempranas, planes de respuesta y evidencia necesaria para notificar brechas a la Agencia y a los titulares afectados.

  • Soporte al cumplimiento y a la trazabilidad

    • Habilitación de registros de actividad y trazabilidad de accesos a sistemas que contienen datos personales, de modo que la organización pueda demostrar quién accedió, cuándo y para qué.

    • Apoyo técnico a las áreas legales y de cumplimiento para alinear contratos con proveedores de tecnología, niveles de servicio (SLA) y cláusulas de seguridad a las nuevas obligaciones de la Ley 21.719.

 

1 de diciembre de 2026: de la urgencia al valor estratégico

La entrada en vigor de la Ley 21.719 no solo representa una obligación legal, sino también una oportunidad para ordenar la información, modernizar la infraestructura tecnológica y fortalecer la confianza digital con clientes, colaboradores y aliados.
Quienes aprovechen este período de transición para trabajar de manera planificada con aliados especializados, como FortexSoluciones, llegarán al 1 de diciembre de 2026 no solo cumpliendo la ley, sino con una plataforma tecnológica más segura, eficiente y preparada para el futuro.