Ley 21.719 de Chile: qué cambia y cómo prepararte

Si construyes una app web o un SaaS en Chile, hay un cambio legal que te conviene tener en el radar: la Ley 21.719, la nueva ley de protección de datos personales. No es un trámite menor ni un susto pasajero. Reemplaza un marco que llevaba décadas quedándose corto y, por primera vez, crea una autoridad con dientes para fiscalizar cómo tratas los datos de tus usuarios.

La buena noticia: no necesitas ser abogado ni experto en seguridad para empezar a prepararte. La mayoría de las exigencias se traducen en prácticas técnicas y de proceso que probablemente ya conoces a medias. En este artículo te explicamos qué cambia, qué significa en la práctica para tu producto y te dejamos un checklist accionable para revisar tu sitio hoy.

Nota honesta: este texto es una guía de orientación, no asesoría legal. Las cifras exactas de sanciones, los plazos y los detalles de implementación dependen del texto vigente y de los reglamentos que dicte la autoridad. Cuando algo sea incierto, te lo decimos y te recomendamos verificar la fuente oficial.

Qué es la Ley 21.719

La Ley 21.719 moderniza el régimen chileno de protección de datos personales. Durante años, Chile se rigió por una ley bastante antigua que se sentía desfasada frente a la economía digital: poca capacidad de fiscalización, sanciones débiles y derechos difíciles de ejercer en la práctica.

La nueva ley empuja a Chile hacia un estándar más cercano al de marcos modernos como el europeo (el GDPR). Eso significa, en términos generales:

• Reglas más claras sobre cuándo y cómo puedes tratar datos personales.
• La necesidad de una base de licitud para cada tratamiento (por ejemplo, consentimiento del usuario, ejecución de un contrato o un interés legítimo).
• Mayor transparencia hacia las personas sobre qué haces con su información.
• Una autoridad dedicada que puede revisar, exigir y sancionar.

En palabras simples: la nueva ley de protección de datos de Chile deja de tratar la privacidad como una formalidad y la convierte en una obligación verificable. Si manejas correos, nombres, direcciones, datos de pago, ubicación o cualquier información que identifique a una persona, esto te aplica.

Una Agencia de Protección de Datos con facultades fiscalizadoras

Uno de los cambios más relevantes es la creación de una Agencia de Protección de Datos Personales. Hasta ahora no existía en Chile un órgano especializado y con poder real para hacer cumplir la ley. La Agencia llega justamente a llenar ese vacío.

Según el diseño de la ley, esta autoridad tendría facultades para:

• Fiscalizar a las organizaciones que tratan datos personales.
• Recibir y resolver reclamos de personas que sienten vulnerados sus derechos.
• Dictar instrucciones y orientaciones sobre cómo cumplir la normativa.
• Iniciar procedimientos sancionatorios cuando detecte incumplimientos.

El punto clave para ti como fundador o dev: ya no se trata solo de "tener una política de privacidad en el footer". Existe un actor que puede pedirte cuentas y revisar si lo que dices que haces con los datos es lo que realmente haces.

Sobre las sanciones: la ley contempla un régimen de multas y medidas correctivas, pero los montos y rangos exactos dependen del texto vigente y de cómo se clasifique cada infracción. No te quedes con cifras de internet sin contrastar; revisa el texto oficial o consulta a un especialista antes de tomar decisiones basadas en montos puntuales.

El concepto de "medidas de seguridad razonables"

Acá es donde la ley se cruza directamente con tu trabajo técnico. La norma no exige que tengas la seguridad de un banco, pero sí que implementes medidas de seguridad razonables y apropiadas para proteger los datos que tratas.

¿Qué significa "razonable"? La ley no te entrega una receta exacta de "instala esto y listo", y esto es a propósito. La razonabilidad se evalúa según:

• El tipo de datos que manejas (no es lo mismo un correo que un dato de salud o financiero).
• El volumen y la sensibilidad de esa información.
• El estado del arte de la tecnología disponible.
• Los riesgos concretos a los que están expuestos esos datos.

En la práctica, "razonable" para una app web moderna suele incluir cosas como: cifrado en tránsito (HTTPS bien configurado), control de acceso a los datos, cabeceras de seguridad correctas, no exponer información sensible por error y tener un plan para reaccionar ante un incidente.

La trampa más común es pensar que la seguridad es un proyecto que se termina. No lo es. Es un estado que se mantiene y, sobre todo, que se demuestra. Y ahí entra un concepto que vale oro frente a una fiscalización: la evidencia de diligencia.

Derechos ARCO+ : qué tienen que poder hacer tus usuarios

La ley reconoce y refuerza los llamados derechos ARCO+. El acrónimo viene de los derechos clásicos, más algunos adicionales que suma la normativa moderna:

• Acceso: la persona puede pedirte qué datos suyos tienes.
• Rectificación: puede corregir datos inexactos o desactualizados.
• Cancelación (o supresión): puede pedir que elimines sus datos cuando corresponda.
• Oposición: puede oponerse a ciertos tratamientos de su información.
• El "+" suele referirse a derechos adicionales como la portabilidad (llevarse sus datos en un formato reutilizable) y limitaciones sobre decisiones automatizadas.

Para tu producto esto no es teoría: significa que necesitas un proceso real para responder estas solicitudes. Si un usuario te escribe pidiendo que borres su cuenta y todos sus datos, ¿tienes cómo hacerlo de forma completa y en un plazo razonable? ¿Sabes en qué tablas, logs y servicios de terceros vive esa información?

Muchas apps fallan no por mala intención, sino porque nunca diseñaron el borrado o la exportación de datos como una función de primera clase. Conviene resolverlo antes de que llegue la primera solicitud formal.

¿Habrá un periodo más suave para las PYMEs?

Existe la idea de que la entrada en vigor de la ley contempla un periodo de transición, e incluso se ha comentado un tratamiento inicial más gradual o con sanciones más leves para las pequeñas y medianas empresas, de modo que tengan tiempo de adaptarse antes de exponerse a las consecuencias más severas.

Es una intención razonable y alineada con cómo otros países han implementado reformas similares. Pero sé prudente: verifica el texto vigente y los reglamentos antes de asumir que cuentas con un "colchón" de tiempo o de tolerancia. Los plazos de entrada en vigor, las gradualidades y los criterios para PYMEs son exactamente el tipo de detalle que puede cambiar entre el proyecto, la ley publicada y su reglamentación.

La lectura sana no es "tengo tiempo, lo dejo para después". Es "tengo una ventana para ordenar la casa sin la presión de una fiscalización encima". Aprovecharla es mucho más barato que correr al final.

De hallazgos técnicos a "evidencia de diligencia"

Acá conectamos las dos mitades de este artículo: lo legal y lo técnico.

Cuando una autoridad fiscaliza, no te pregunta "¿eres bueno?". Te pregunta "¿puedes demostrar que tomaste medidas razonables?". La diferencia entre una multa y una advertencia muchas veces está en poder mostrar evidencia de diligencia: que identificaste tus riesgos, que aplicaste controles y que reaccionaste cuando algo falló.

Aquí es donde un escaneo técnico se vuelve útil más allá de lo obvio. Cada hallazgo de seguridad que detectas y corriges es, en el fondo, un registro de que estás haciendo tu pega:

• Detectaste que faltaba HTTPS forzado o una cabecera de seguridad → lo corregiste → tienes registro.
• Encontraste cookies sin atributos de seguridad → las ajustaste → tienes registro.
• Viste que exponías información sensible en una respuesta de API → lo cerraste → tienes registro.

Ese historial de "encontré, prioricé y arreglé" es precisamente el tipo de relato que respalda la idea de medidas razonables. No es papeleo por papeleo: es la prueba concreta de que la seguridad de los datos no te da lo mismo.

Con Pursecure puedes generar exactamente ese tipo de evidencia: pegas la URL de tu sitio, obtienes un puntaje de 0 a 100 y una lista de hallazgos ordenados por gravedad, y cada hallazgo viene con un prompt listo para que tu IA de código (Claude, Cursor) lo arregle. Es una forma rápida de convertir "creo que estoy bien" en "puedo mostrar qué revisé y qué corregí".

Qué revisar en tu sitio hoy

No necesitas esperar a tener todo el marco legal resuelto para mejorar tu postura. Esto lo puedes revisar esta misma tarde:

1. HTTPS en todo el sitio. Que toda la app cargue por HTTPS, sin contenido mixto, y que el redireccionamiento desde HTTP funcione. Datos personales viajando en claro es de los errores más caros y más fáciles de evitar.
2. Cabeceras de seguridad. Revisa que tengas configuradas cabeceras como Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options y similares. Comunican y refuerzan que cuidas el tráfico de tus usuarios.
3. Cookies seguras. Las cookies de sesión deberían tener Secure, HttpOnly y un SameSite adecuado. Una sesión robable es un problema de datos personales directo.
4. Exposición de datos en respuestas y errores. Verifica que tus APIs no devuelvan más información de la necesaria y que las páginas de error no filtren rutas internas, stack traces o datos de otros usuarios.
5. Acceso a los datos. ¿Quién puede ver la base de datos? ¿Hay credenciales compartidas o expuestas? Menos accesos y mejor controlados es casi siempre más seguro.
6. Borrado y exportación de datos. Confirma que puedes eliminar y exportar todos los datos de un usuario cuando lo pida. Mapea dónde vive su información, incluidos los servicios de terceros.
7. Política de privacidad real. Que describa de verdad qué datos recoges, para qué y con quién los compartes. Una política que no coincide con la realidad es peor que no tenerla.
8. Plan de incidentes. Ten claro qué harías si mañana detectas una filtración: a quién avisas, cómo contienes y cómo lo registras.

Si quieres acelerar los puntos técnicos de esta lista, corre un escaneo en pursecure.app y deja que el reporte te diga por dónde partir, ordenado por gravedad.

En resumen

La Ley 21.719 marca un antes y un después en cómo Chile trata la privacidad. Llega una Agencia con poder de fiscalización, se consolida la idea de medidas de seguridad razonables, se refuerzan los derechos ARCO+ de las personas y, muy probablemente, exista una ventana de transición que conviene aprovechar en lugar de esperar al último minuto.

Lo que no debes hacer es paralizarte. La privacidad bien hecha no es un muro legal: es una serie de buenas decisiones técnicas y de proceso que, sumadas, demuestran diligencia. Empieza por lo que controlas hoy —tu sitio, tus cabeceras, tus datos— y construye desde ahí.

Cuando estés listo para tener una foto clara de tu postura de seguridad y evidencia concreta de lo que ya corregiste, pega tu URL en Pursecure y obtén tu puntaje y tus hallazgos en minutos. Prepararte para la Ley 21.719 empieza por saber dónde estás parado.