Multas hasta 20.000 UTM en Ley 21.719: los 12 controles mínimos para tu empresa
Tabla de los 3 tramos de sanciones de la Ley 21.719 con equivalente CLP y los 12 controles mínimos agrupados que toda empresa chilena necesita antes del 1 de diciembre de 2026.
La Ley 21.719 entra en vigor el 1 de diciembre de 2026 con un régimen sancionatorio que escala desde 100 UTM en infracciones leves hasta 20.000 UTM o el 4% de los ingresos anuales en infracciones gravísimas. Para una empresa chilena con facturación anual de USD 5 millones, el techo de sanción es del orden de USD 200.000. La pregunta no es "si quiero cumplir" sino "qué tengo que tener listo el 30 de noviembre". Este artículo entrega los 12 controles mínimos que recomendamos en Cognitiva: tres por área (gobernanza, legal, técnico-operativo, personas), agrupados como roadmap accionable. Es la versión condensada del cornerstone de 90 días, optimizada para la conversación con el directorio.
Los 3 tramos de sanciones
La Ley 21.719 establece tres tramos según la gravedad de la infracción. Las cifras se expresan en UTM (Unidad Tributaria Mensual), valor que se actualiza mensualmente. Equivalente CLP usado para referencia: UTM ≈ CLP 73.050 (junio 2026); verificar valor vigente al momento de calcular exposición real.
| Tramo | Sanción máxima (UTM) | Equivalente CLP referencial | Ejemplos típicos |
|---|---|---|---|
| Leve | 100 UTM | ~CLP 7,3 millones | No mantener registro de actividades, demora en responder solicitud de titular dentro de plazos formales |
| Grave | 10.000 UTM | ~CLP 730 millones | Transferencia internacional sin garantías, tratamiento sin base de licitud, falta de DPIA cuando es obligatoria |
| Gravísima | 20.000 UTM o 4% ingresos anuales (el mayor) | ~CLP 1.460 millones o 4% facturación | Brecha de seguridad no notificada, tratamiento de datos sensibles sin consentimiento, decisiones automatizadas que violan derechos |
Adicional: la Agencia de Protección de Datos Personales puede ordenar suspensión o cesación del tratamiento, y publicar las sanciones. El costo reputacional suele superar al monetario.
Cómo se determina el tramo
El proyecto establece criterios graduados para determinar la sanción aplicable:
- Naturaleza y gravedad de la infracción (cuántos titulares afectados, qué categoría de datos, qué derechos vulnerados).
- Conducta del infractor: dolo, culpa, conducta reiterada.
- Beneficio obtenido por la infracción.
- Adopción de medidas para evitar o mitigar el daño.
- Cooperación con la Agencia.
- Tamaño del responsable y volumen de tratamientos.
Implicación operativa: contar con controles documentados, formales y auditables baja sustancialmente el tramo aplicable aun cuando ocurra una infracción. La diferencia entre tramo grave y leve puede ser de 100x en monto.
Los 12 controles mínimos — bloque Gobernanza
Tres controles de gobernanza son no-negociables:
- Comité de gobernanza de datos / IA con representantes de TI, legal, operaciones y al menos un patrocinador del C-level. Reuniones mensuales con acta.
- Designación formal de un Responsable de Protección de Datos (rol DPO). Obligatorio en organismos públicos y privados que traten datos personales a gran escala o datos sensibles habitualmente.
- Política interna de protección de datos personales y uso de IA generativa publicada, comunicada y firmada por todo el staff.
Los 12 controles mínimos — bloque Legal y contractual
- DPAs (Data Processing Agreements) revisados con cada proveedor que procese datos personales por cuenta de la empresa: jurisdicción declarada, retención configurada, sub-procesadores documentados.
- Registro de actividades de tratamiento actualizado, con base de licitud declarada (consentimiento, contrato, interés legítimo, obligación legal) para cada tratamiento.
- Procedimiento documentado para atender derechos del titular (acceso, rectificación, oposición, cancelación, portabilidad, oposición a decisiones automatizadas) en plazos legales.
Los 12 controles mínimos — bloque Técnico-operativo
- Logging y trazabilidad de accesos a datos personales y de inputs/outputs en sistemas IA de alto riesgo. Sin logs, no hay auditoría posible.
- Mecanismo de supervisión humana documentado para todas las decisiones automatizadas sobre personas (scoring, contratación, pricing).
- Procedimiento de gestión de incidentes y notificación de brechas en 72 horas a la Agencia, alineado al estándar internacional.
Los 12 controles mínimos — bloque Personas y cultura
- Capacitación básica en protección de datos y AI literacy para todo el staff (mínimo 2 horas, anualmente, con registro de asistencia).
- Capacitación específica para áreas que tratan datos sensibles o operan sistemas de alto riesgo (RRHH, finanzas, riesgo, atención al cliente).
- Canal interno de reporte de incidentes y consultas, con confidencialidad documentada y respuesta en plazos predefinidos.
Plan de prioridad cuando hay menos de 90 días
Si el calendario aprieta, este es el orden de prioridad que aplicamos:
- Designar Responsable de Protección de Datos (24-48 horas, decisión interna).
- Inventario de tratamientos y revisión de DPAs críticos (1-2 semanas).
- Política interna publicada y comunicada (2-3 semanas).
- Procedimiento de incidentes y notificación de brechas (1 semana).
- Capacitación masiva del staff (2 semanas, en formato breve).
- Lo demás: programa continuo postvigencia.
Quien empiece programa el 1 de diciembre llegará tarde a la fiscalización. La Agencia tendrá facultades desde el primer día.
Errores típicos que detectan auditorías
Estos cinco errores aparecen una y otra vez en diagnósticos previos:
- Inventario de tratamientos incompleto: omite SaaS con IA embebida (HubSpot, Microsoft 365 Copilot, Notion AI) o shadow IT del staff.
- DPA del proveedor no revisado: se firma como aparece sin verificar jurisdicción, retención ni sub-procesadores.
- Capacitación "una vez al año" sin refuerzo: el staff olvida en 3 meses; sin evaluación formal, no hay evidencia.
- Procedimiento de derechos del titular existe en papel pero ningún incidente real probó el sistema: cuando llega el primer requerimiento, el equipo improvisa.
- Logging activado pero sin retención auditada ni alertas: se loggea todo pero nadie revisa hasta que ocurre algo.
El programa de cumplimiento es tan bueno como las pruebas que se hacen sobre él. Recomendamos al menos un simulacro anual de brecha + dos requerimientos de titular reales (o ficticios pero formales) por semestre.
Los 12 controles mínimos — implementación en bloques
Cuatro bloques de tres controles cada uno, ordenados para implementación gradual: gobernanza, legal, técnico-operativo y personas.
- Bloque 1
Gobernanza
Definir quién decide, quién es responsable y qué reglas aplican.
- Constituir Comité de Gobernanza con C-level + TI + Legal + Operaciones
- Designar Responsable de Protección de Datos formalmente
- Publicar política de protección de datos y uso de IA generativa
- Bloque 2
Legal y contractual
Asegurar la base contractual del tratamiento.
- Revisar y actualizar DPAs con proveedores
- Mantener registro de actividades de tratamiento al día
- Implementar procedimiento de atención de derechos del titular
- Bloque 3
Técnico-operativo
Habilitar controles técnicos auditables.
- Activar logging y trazabilidad de accesos y sistemas IA
- Documentar supervisión humana en decisiones automatizadas
- Configurar gestión de incidentes y notificación de brechas en 72h
- Bloque 4
Personas y cultura
Sostener el programa con capacitación y canales.
- Capacitación básica anual con registro de asistencia
- Capacitación específica para áreas de alto riesgo
- Habilitar canal interno de reporte con confidencialidad
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.