TL;DR: La proteccion de datos es una práctica de gestión que permite ordenar bases de clientes, trabajadores, proveedores y usuarios antes de la vigencia plena de la Ley 21.719. En Chile, la Ley 21.719 fue publicada el 13 de diciembre de 2024 y su vigencia plena comienza el 1 de diciembre de 2026; por eso, las PYMEs deberían ordenar datos, permisos, políticas y proveedores antes de esa fecha.
Muchas PYMEs chilenas tienen datos personales repartidos en planillas, correos, CRM, sistemas de facturación y carpetas compartidas. El problema no es solo tener datos, sino no saber quién los usa, para qué finalidad, con qué permisos y hasta cuándo se conservan. La proteccion de datos importa porque la Ley 21.719 moderniza el marco chileno de protección de datos personales, crea la Agencia de Protección de Datos Personales y eleva el estándar de cumplimiento para organizaciones públicas y privadas. Fuente oficial: Ley 21.719 en la Biblioteca del Congreso Nacional.
Proteccion de datos en empresas chilenas: qué significa en la práctica
La proteccion de datos debe aterrizar en procesos concretos, no solo en documentos. Una PYME debería poder responder qué datos personales trata, de dónde vienen, para qué se usan, quién puede verlos, con qué proveedores se comparten, cuánto tiempo se conservan y cómo se eliminan cuando dejan de ser necesarios.
La Ley 21.719 incorpora principios como licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia y confidencialidad. En términos prácticos, la finalidad exige que el uso del dato tenga un propósito específico; la proporcionalidad exige no pedir datos de más; la seguridad exige proteger contra pérdida, filtración o acceso no autorizado; y la transparencia exige informar de forma clara a las personas. Fuente oficial: Ley 21.719, BCN.
El artículo 14 ter exige que el responsable mantenga disponible información relevante sobre política de tratamiento, categorías de datos, finalidades, base de legitimidad, destinatarios, medidas de seguridad, derechos de titulares, transferencias internacionales, periodo de conservación y fuente de los datos. Para una empresa chica, esta obligación se traduce en una política clara y procesos internos que realmente coincidan con lo publicado.
La Secretaría de Gobierno Digital recomienda levantar categorías de datos, finalidades, base de legitimidad, fuente, destinatarios, plazos de conservación, sistemas asociados, áreas con acceso, transferencias internacionales y riesgos. Aunque su guía está orientada a la Administración del Estado, sirve como metodología práctica para PYMEs que necesitan empezar ordenadamente. Fuente oficial: Guía práctica de implementación.
¿Qué controles mínimos debería implementar una PYME?
| Área o criterio | Pregunta o ejemplo | Acción recomendada |
|---|---|---|
| Recolección | ¿Pides datos que no necesitas? | Reducir formularios y campos opcionales. |
| Acceso | ¿Todos ven la misma información? | Separar permisos por rol. |
| Almacenamiento | ¿Dónde están los datos? | Identificar planillas, CRM, nube y correos. |
| Conservación | ¿Cuándo se eliminan? | Definir plazos por finalidad. |
| Seguridad | ¿Hay controles técnicos? | Usar MFA, cifrado, respaldos y registro de accesos. |
Para avanzar sin trabarse, conviene partir por una lista corta de acciones verificables:
- Haz un inventario de bases de datos.
- Elimina datos duplicados, antiguos o innecesarios.
- Define responsables internos por proceso.
- Documenta finalidades y bases de uso.
- Revisa accesos en sistemas y carpetas compartidas.
- Capacita a ventas, administración, RR.HH. y soporte.
- Prepara un protocolo para solicitudes de titulares.
- Diseña un protocolo de brechas de seguridad.
La seguridad no reemplaza la privacidad. Una base puede estar protegida con contraseñas y aun así ser problemática si contiene datos innecesarios, si se usa para una finalidad no informada o si se conserva indefinidamente. Al mismo tiempo, una política de privacidad no sirve si los accesos están abiertos, si no hay respaldos o si los proveedores tratan datos sin instrucciones.
El artículo 14 quinquies exige medidas de seguridad adecuadas para resguardar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento. El artículo 14 sexies contempla deberes de reporte ante vulneraciones de seguridad cuando exista riesgo razonable para derechos y libertades de los titulares. Estas reglas hacen que la prevención y la respuesta ante incidentes sean parte central del cumplimiento.
También hay que revisar proveedores. Si un CRM, contador, software de facturación, plataforma de marketing, hosting, mesa de ayuda o proveedor TI trata datos por cuenta de la empresa, el encargo debe estar documentado. El artículo 15 bis exige contratos o actos jurídicos con objeto, duración, finalidad, tipo de datos, categorías de titulares y obligaciones de las partes.
Las multas de la Ley 21.719 se expresan en UTM. Con la UTM de junio de 2026 informada por el SII en $71.506, los máximos referenciales son los siguientes; el valor en pesos debe recalcularse con la UTM vigente al momento aplicable. Fuente oficial: SII, UTM 2026.
| Tipo de infracción | Tope en UTM | Referencia CLP junio 2026 |
|---|---|---|
| Leve | 5.000 UTM | $357.530.000 |
| Grave | 10.000 UTM | $715.060.000 |
| Gravísima | 20.000 UTM | $1.430.120.000 |
Una PYME no necesita resolver todo en una semana. Sí necesita partir con lo básico: inventario, minimización, permisos, política, proveedores, seguridad y protocolo de respuesta. Ese orden permite priorizar los procesos con más riesgo, especialmente si hay datos sensibles, datos de trabajadores, bases de clientes, datos bancarios o información de niños, niñas y adolescentes.
Enlaces internos sugeridos:
- Privacidad de datos: guía clara para empresas chilenas
- tratamiento-de-datos-personales
- Confidencialidad de datos personales: evita accesos indebidos
Preguntas frecuentes
¿Qué es proteccion de datos en una empresa?
La protección de datos es la gestión responsable de la información personal que una empresa recolecta, usa, almacena, comparte o elimina. Incluye reglas internas, controles de seguridad, transparencia y respeto por los derechos de las personas.
¿Una PYME chilena debe preocuparse por la Ley 21.719?
Sí. Una PYME trata datos personales si maneja datos de clientes, trabajadores, proveedores o usuarios. La ley entra en vigencia plena el 1 de diciembre de 2026.
¿Cuál es el primer paso para proteger datos personales?
El primer paso es inventariar los datos. La empresa debe saber qué información tiene, dónde está, para qué se usa, quién accede y durante cuánto tiempo se conserva.
¿Qué pasa si una empresa no protege los datos?
La empresa puede enfrentar reclamos, pérdida de confianza, interrupciones operativas y sanciones. La Ley 21.719 contempla multas de hasta 20.000 UTM para infracciones gravísimas.
¿La protección de datos es lo mismo que ciberseguridad?
No. La ciberseguridad protege sistemas, redes y accesos. La protección de datos incluye ciberseguridad, pero también finalidades, transparencia, derechos de titulares, minimización y eliminación.
Conclusión
La proteccion de datos debe convertirse en una rutina de gestión, no en un documento aislado. Si tu empresa ordena datos, finalidades, accesos, proveedores y plazos antes del 1 de diciembre de 2026, reducirá riesgos legales, operativos y reputacionales.
Preguntas frecuentes
Ordená tus datos antes del 1 de diciembre de 2026
Inventario, minimización, permisos, proveedores y protocolo de respuesta con apoyo experto. Empezá hoy.
Cumplir ahora