Guia completa de cumplimiento: Ley de Proteccion de Datos Personales Chile 2026

Esta guia te lleva paso a paso por todo lo que necesitas para cumplir con la Ley 21.719 de Proteccion de Datos Personales antes de su entrada en vigencia en diciembre 2026.

Paso 1: Diagnostico inicial

Antes de implementar cualquier medida, necesitas saber donde estas:

• Que datos personales recolecta tu empresa?
• Que procesos tratan datos personales?
• Tienes consentimiento documentado?
• Tienes contratos con proveedores que acceden a datos?
• Has recibido solicitudes de derechos ARCO+ antes?

Paso 2: Registro de Actividades de Tratamiento (RAT)

La ley obliga a mantener un registro actualizado de cada actividad que trate datos personales. Para cada actividad debes documentar:

• Nombre y descripcion del tratamiento
• Base legal (consentimiento, contrato, obligacion legal, interes legitimo)
• Categorias de datos tratados y su sensibilidad
• Destinatarios de los datos
• Si hay transferencia internacional y a que paises
• Plazo de conservacion
• Medidas de seguridad

Paso 3: Gestion de consentimiento

Si tu base legal es el consentimiento, debes:

• Obtener consentimiento libre, especifico, informado e inequivoco
• Implementar un banner de cookies en tu sitio web
• Registrar cada decision del titular con fecha, IP y metodo
• Permitir que el titular revoque su consentimiento en cualquier momento

Paso 4: Portal de derechos ARCO+

Los titulares pueden ejercer 6 derechos sobre sus datos:

• Acceso, Rectificacion, Supresion, Oposicion, Portabilidad y Bloqueo
• Debes responder en un maximo de 30 dias habiles
• Necesitas un canal formal para recibir y gestionar estas solicitudes
• Toda respuesta debe quedar documentada

Paso 5: Gestion de encargados del tratamiento

Cada proveedor que acceda a datos personales por tu cuenta debe tener:

• Contrato de encargado del tratamiento vigente
• Clausulas especificas sobre seguridad, confidencialidad y subcontratacion
• Evaluacion periodica de cumplimiento

Paso 6: Transferencias internacionales

Si envias datos fuera de Chile, debes:

• Verificar si el pais destino tiene nivel adecuado de proteccion
• Implementar clausulas contractuales tipo si no lo tiene
• Documentar cada transferencia con su mecanismo de licitud

Paso 7: Evaluaciones de impacto (DPIA)

Son obligatorias antes de iniciar tratamientos que impliquen alto riesgo:

• Datos sensibles a gran escala
• Decisiones automatizadas con efectos juridicos
• Monitoreo sistematico de personas
• Nuevas tecnologias

Paso 8: Protocolo de brechas de seguridad

La ley obliga a notificar a la Agencia dentro de 72 horas de detectar una brecha. Necesitas:

• Procedimiento de deteccion y evaluacion de incidentes
• Protocolo de notificacion a la Agencia y a los titulares afectados
• Registro de incidentes y medidas tomadas
• Equipo responsable de gestion de incidentes

Paso 9: Decisiones automatizadas

Si usas algoritmos o IA para tomar decisiones sobre personas:

• Documenta la logica del procesamiento
• Realiza evaluacion de riesgo
• Implementa revision humana cuando sea necesario
• Informa al titular sobre la existencia de decisiones automatizadas

Paso 10: Modelo de Prevencion de Infracciones (MPI)

El Art. 36 establece que tener un MPI certificado es atenuante en caso de sanciones. Un MPI incluye:

• Designacion de un DPO
• Politicas de privacidad y retencion
• Programa de capacitacion y auditorias
• Medidas tecnicas y organizativas documentadas
• Revision periodica del programa

Cuanto cuesta implementar todo esto?

Con consultores y herramientas separadas, una empresa mediana puede gastar entre $5 y $20 millones CLP y tardar 6 a 12 meses. Con LeySeguraDigital, los 10 modulos estan integrados en una sola plataforma a un precio accesible, y la implementacion toma 2 a 4 semanas con acompanamiento de nuestro equipo.

Agenda una demo gratuita en leyseguradigital.cl y te mostramos como automatizar tu cumplimiento.