Abre el drive compartido de cualquier PYME chilena y el panorama se repite: una carpeta llamada "Clientes 2021" que nadie abrió en tres años, cientos de CVs de postulantes que nunca fueron contratados, registros de proveedores con RUT, cuentas bancarias y datos de contacto de personas que dejaron de trabajar con la empresa hace tiempo. Nadie decidió borrar esos archivos porque nadie los puso ahí con una política de retención. Llegaron, se quedaron y ahora ocupan espacio en laptops, servidores y cuentas de nube que el equipo de TI no siempre tiene mapeadas.
Es el "por si acaso" convertido en cultura operativa. Guardar datos por si sirven en el futuro, por si alguien los necesita, por si hay una auditoría. La ironía es que esa acumulación, lejos de preparar a la empresa para una auditoría, la expone. Porque la Ley 21.719 de Protección de Datos Personales no pregunta cuántos datos guardas; pregunta por qué los guardas, para qué, por cuánto tiempo, y si puedes demostrarlo.
La ley entra en vigencia en diciembre de 2026. Para las PYMES, el desafío no es leer los 60 artículos de la norma. Es algo más básico: no saber qué datos tienen, en cuántos dispositivos y carpetas están dispersos, ni quién tiene acceso. Ese desconocimiento es el verdadero riesgo, porque no puedes minimizar lo que no puedes ver, no puedes borrar lo que no sabes que existe, y no puedes demostrar controles sobre datos que ni siquiera inventariaste.
Esta guía explica qué significa el principio de minimización para una PYME real, cómo implementar privacidad por diseño sin presupuesto especializado, cuándo tiene sentido un DPO externo, qué sanciones aplican y una ruta de cinco pasos para dejar de acumular y empezar a cumplir.
El "por si acaso" como riesgo: cómo las PYMES acumulan datos sin saberlo
El problema no empieza con una decisión consciente. Nadie en una PYME de 12 personas se sienta un día a decir "vamos a acumular datos personales sin control". Ocurre por inercia. El CRM guarda el historial completo de cada contacto desde que se creó la cuenta. El correo corporativo tiene adjuntos con datos sensibles de clientes en bandejas que nadie organiza. El área de RRHH conserva carpetas con evaluaciones, certificados médicos y datos bancarios de empleados que dejaron la empresa hace años.
Una consultora de ingeniería con 12 empleados descubre, al hacer su primer inventario de datos, que tiene 8 carpetas compartidas en Google Drive con información de proyectos cerrados entre 2019 y 2022. En esas carpetas hay planos con datos de clientes, contratos con RUT y direcciones, y correos reenviados con información de subcontratistas. Nadie definió un plazo de retención cuando se crearon esas carpetas. Nadie las revisó después. Simplemente quedaron ahí, accesibles para cualquier persona con acceso al drive.
Bajo la Ley 21.719, esos datos no tienen base legal para seguir almacenados. No hay un contrato activo que lo justifique. No hay consentimiento vigente. No hay obligación legal de conservación. Lo que hay es un hábito operativo que la ley transforma en infracción.
El problema se amplifica cuando consideras que esos datos no viven en un solo lugar. Están en laptops, en celulares personales que acceden al correo corporativo, en cuentas de nube con permisos que nadie auditó. Y si uno de esos dispositivos se pierde o se compromete, cada archivo sin finalidad vigente es superficie de exposición ante una brecha y agravante ante una fiscalización.
Quick win: Haz una lista de los cinco repositorios de datos más grandes de tu empresa (CRM, drive compartido, correo, servidor de archivos, laptop de RRHH). En cada uno, identifica si hay datos con más de dos años sin uso activo. Ese es tu primer mapa de riesgo.
Lo que la Ley 21.719 exige y la mayoría de las PYMES no está haciendo
La ley introduce varios principios fundamentales, pero dos son especialmente relevantes para el problema que enfrentan las PYMES: minimización y proporcionalidad.
Minimización significa recolectar y retener solo los datos personales que sean adecuados, pertinentes y estrictamente necesarios para la finalidad declarada. Si pides el RUT de un cliente para emitir una factura, puedes guardarlo mientras exista una obligación tributaria. Pero si guardas su dirección particular, su número de celular personal y su fecha de nacimiento "porque el formulario los pedía", estás recolectando datos sin finalidad que los justifique.
Proporcionalidad va un paso más allá: el tratamiento debe ser proporcional a la finalidad. No necesitas guardar el historial completo de interacciones de un cliente para enviarle una factura.
En la práctica, esto significa que la pregunta "¿para qué guardamos esto?" se convierte en obligación legal. Y la respuesta "por si acaso" deja de ser válida.
Piensa en el caso de una PYME de reclutamiento con 8 empleados que conserva CVs de candidatos rechazados. La finalidad original (evaluar al candidato para un puesto) se extinguió cuando el proceso cerró. Retener esos CVs "por si se abre otra posición" no tiene base legal a menos que el candidato haya consentido explícitamente esa finalidad adicional. Si esos 150 CVs están en un laptop sin cifrado y el equipo se pierde, la empresa enfrenta una brecha de datos personales que debe notificar a la Agencia de Protección de Datos.
La ley también exige definir plazos de conservación. "Indefinido" no es un plazo. Cada categoría de dato necesita un criterio claro: mientras dure la relación contractual, mientras exista obligación legal, o un plazo fijo tras el cual se elimina o anonimiza.
Quick win: Elige tres categorías de datos que tu empresa maneja (datos de clientes activos, datos de empleados, datos de postulantes). Para cada una, responde: ¿cuál es la finalidad?, ¿hay base legal?, ¿cuánto tiempo necesitamos retenerlos? Si no puedes responder en 30 segundos, ahí hay un gap que cerrar.
Privacidad por diseño cuando tu equipo de privacidad eres tú
"Privacidad por diseño" suena a algo que requiere un departamento legal, un consultor externo y seis meses de implementación. Para una PYME de 10 personas, esa imagen es paralizante. Pero el concepto es más simple de lo que parece.
Privacidad por diseño significa que cada vez que creas un proceso nuevo, un formulario nuevo o implementas una herramienta nueva, incorporas la protección de datos desde el inicio, no como un parche después. En la práctica, se reduce a tres preguntas que deberían formar parte de cualquier decisión que involucre datos personales:
- ¿Qué datos necesitamos realmente? No qué datos "sería bueno tener". Qué datos son indispensables para la finalidad.
- ¿Por cuánto tiempo? Con un plazo definido, no con un "ya veremos".
- ¿Quién necesita acceso? No quién "podría" necesitarlo. Quién lo necesita hoy.
Una PYME de e-commerce con 10 personas que implementa un nuevo CRM puede aplicar esto desde la configuración inicial. En vez de migrar los 8.000 contactos del CRM anterior (de los cuales 5.000 no compran hace tres años), migra solo los activos. Define los campos del formulario con los datos mínimos necesarios. Configura un plazo de retención automático: contactos inactivos por más de 24 meses se anonimizan o se eliminan. No requirió un abogado. Requirió una decisión de diseño.
Los controles técnicos mínimos que complementan este enfoque son accesibles para cualquier PYME: cifrado de disco en todos los laptops (BitLocker en Windows viene incluido con licencias Pro), revisión de permisos en carpetas compartidas, y un inventario actualizado de qué dispositivos acceden a datos corporativos. No necesitas software empresarial para empezar; necesitas visibilidad de tus endpoints y disciplina en los procesos.
Quick win: La próxima vez que tu equipo cree un formulario, una carpeta compartida o implemente una herramienta nueva, antes de activarla pregunta: ¿qué datos estamos pidiendo que realmente no necesitamos? Elimina al menos un campo innecesario. Ese es privacy by design en acción.
El DPO que tu PYME puede pagar
Saber qué datos tienes es el primer paso. Pero alguien en la organización necesita ser responsable de que esa visibilidad se mantenga, de que las políticas se cumplan y de que haya un punto de contacto cuando la Agencia toque la puerta. La Ley 21.719 introduce la figura del Delegado de Protección de Datos (DPO) como obligación para organizaciones que realizan tratamientos de alto riesgo o manejan grandes volúmenes de datos personales. La pregunta para las PYMES es: ¿me aplica?
La respuesta depende del tipo de datos que manejas, no del tamaño de tu empresa. Una PYME de 8 personas que procesa datos de salud (una clínica dental, por ejemplo) probablemente necesita un DPO formal. Una empresa de servicios profesionales con 15 empleados que solo maneja datos de contacto de clientes corporativos tiene más flexibilidad.
Para quienes necesitan supervisión formal pero no pueden justificar un cargo full-time, el modelo de DPO fractional es la alternativa que la conversación en Chile todavía no ha normalizado. Funciona así: una consultora de ciberseguridad o un profesional independiente con experiencia en protección de datos asume el rol de DPO para tu empresa con una dedicación parcial, típicamente entre 4 y 8 horas por semana.
El costo de un DPO fractional en Chile oscila entre un tercio y la mitad de lo que costaría un cargo dedicado. A cambio, la PYME obtiene un responsable formal que puede coordinar con la Agencia si es necesario, supervisar el cumplimiento interno y mantener actualizado el marco de protección de datos.
Para PYMES que no entran en la categoría de tratamiento de alto riesgo, la ley permite operar con un responsable interno designado. No necesita ser un abogado; puede ser el encargado de TI, el gerente de operaciones o cualquier persona con capacitación básica en protección de datos. Lo importante es que esté documentado quién es, qué responsabilidades tiene, y que reciba formación mínima sobre la ley.
Lo que no funciona es no designar a nadie. Si la Agencia pide saber quién es el punto de contacto para temas de datos personales en tu organización y la respuesta es silencio, ese silencio habla.
Quick win: Evalúa si tu empresa maneja datos sensibles (salud, financieros, biométricos) o datos de menores. Si la respuesta es sí, cotiza con dos o tres consultoras un modelo de DPO fractional. Si la respuesta es no, designa formalmente a un responsable interno, documéntalo por escrito, y busca un curso básico de protección de datos en Chile. Hay opciones gratuitas y de bajo costo.
Sanciones que importan y por qué las PYMES tienen una ventana
El régimen sancionatorio de la Ley 21.719 se estructura en tres niveles:
- Infracciones leves: hasta 5.000 UTM
- Infracciones graves: hasta 10.000 UTM
- Infracciones gravísimas: hasta 20.000 UTM
En caso de reincidencia, las multas por infracciones graves o gravísimas pueden incrementarse hasta el 2% o 4% de los ingresos anuales por ventas y servicios en Chile. Son cifras que para una PYME pueden significar la diferencia entre operar y cerrar.
Pero hay un dato que muchas PYMES no conocen: la ley incluye un período de gracia. Durante el primer año tras la entrada en vigencia (diciembre 2026 a diciembre 2027), las PYMES estarán sujetas únicamente a amonestaciones, no a multas. Esto no significa que la ley no aplique; significa que la sanción es administrativa, no económica. Es una ventana para implementar controles, no una excusa para postergar.
Existe además un mecanismo de atenuación que cambia el cálculo de riesgo: el Modelo de Prevención de Infracciones (MPI). Si tu empresa implementa y certifica un MPI ante la Agencia, opera como atenuante formal cuando las cosas salen mal. No elimina la responsabilidad, pero reduce la severidad de la sanción.
La diferencia práctica se ve en el contraste. Imagina dos PYMES del mismo tamaño que sufren una brecha similar: un laptop con datos de clientes se pierde en un taxi. La primera empresa no tiene inventario de datos, no sabe qué había en el equipo, no tenía cifrado habilitado y no puede demostrar ningún control. La segunda tiene una política de minimización documentada, cifrado de disco activo en todos los equipos, capacidad de borrado remoto, y un registro de auditoría que demuestra cuándo se activó el borrado. Ambas deben notificar a la Agencia. Pero la segunda tiene evidencia operativa de que actuó con diligencia. Esa evidencia es la que marca la diferencia entre una amonestación y una multa, entre una sanción leve y una grave.
Quick win: Documenta lo que ya haces. ¿Tus laptops tienen contraseña? ¿Usas antivirus? ¿Tienes respaldos? Ponerlo por escrito, con fecha, es el primer paso para construir evidencia de buena fe. Si además puedes demostrar que tus equipos tienen cifrado activo y que sabes dónde están, tu posición ante la Agencia mejora significativamente.
Ruta de acción: cinco pasos para dejar de acumular y empezar a cumplir
El error más común es intentar abordar toda la ley de golpe. Para una PYME con recursos limitados, la estrategia más efectiva es empezar por un departamento piloto, demostrar que funciona, y expandir. Estos cinco pasos se pueden completar en 60 días dedicando dos horas por semana.
Paso 1: Auditar repositorios. Lista todos los lugares donde tu empresa almacena datos personales: CRM, correo corporativo, drives compartidos, laptops de empleados, servidores locales, cuentas de nube. Para cada uno, identifica qué tipo de datos contiene, de quién son, y cuándo fue la última vez que alguien los usó. No necesitas una herramienta sofisticada para esto; una planilla con cuatro columnas (repositorio, tipo de dato, titular, último uso) es suficiente para empezar. Si tienes una herramienta de gestión de dispositivos, úsala para mapear qué equipos acceden a datos corporativos.
Paso 2: Clasificar y purgar. Con el inventario en mano, aplica una regla simple: ¿hay una finalidad vigente para estos datos? Si el proyecto cerró, el empleado se fue, o el candidato no fue seleccionado, ¿existe obligación legal de retenerlos? Si la respuesta es no, borra. Empieza por lo obvio: datos de hace más de tres años sin actividad, duplicados, archivos que nadie recuerda haber creado.
Paso 3: Definir política de retención. No necesita ser un documento de 30 páginas. Usa tres categorías: activo (datos en uso para operaciones vigentes), archivo legal (datos que la ley obliga a conservar, como registros tributarios), y borrar (todo lo demás, con un plazo máximo de retención tras el cual se elimina). Cada categoría de dato que tu empresa maneje debería caer en una de las tres.
Paso 4: Implementar controles técnicos mínimos. Cifrado de disco en todos los laptops (BitLocker en Windows Pro, FileVault en macOS, ambos gratuitos). Revisión de permisos en carpetas compartidas. Autenticación de dos factores en cuentas corporativas. Si tu empresa tiene más de 5 dispositivos, una plataforma de gestión de endpoints te da visibilidad centralizada: saber qué equipos están activos, cuáles tienen cifrado habilitado, y la capacidad de borrar datos remotamente si un equipo se pierde. Herramientas como Prey cubren esa capa de visibilidad y control en entornos multi-OS sin complejidad empresarial.
Paso 5: Documentar todo. La Agencia no va a evaluar solo si tienes controles; va a evaluar si puedes demostrarlos. Cada decisión, cada política, cada control implementado necesita un registro. Un documento simple que diga "activamos cifrado de disco en todos los equipos el 15 de marzo de 2026, verificamos el estado mensualmente, y aquí está el reporte" vale más que una política de seguridad de 50 páginas que nadie ejecuta.
Quick win: Elige un departamento (RRHH es un buen candidato, porque maneja datos sensibles y suele tener los repositorios más desordenados). Ejecuta los pasos 1 y 2 esta semana. Probablemente descubrirás datos que deberían haberse borrado hace años. Ese ejercicio, además de reducir riesgo, te da experiencia para replicar el proceso en el resto de la empresa.
Conclusión
La conversación sobre la Ley 21.719 en Chile se ha enfocado en lo que la norma dice. Los principios, las sanciones, las obligaciones formales. Pero para la PYME promedio, el problema no es entender la ley. Es entender su propia realidad de datos.
Cada carpeta que nadie revisa, cada registro que se guarda "por si acaso", cada laptop con información de clientes que no tiene cifrado ni posibilidad de borrado remoto, es un punto ciego que la ley convierte en exposición. No porque la norma sea excesivamente estricta, sino porque exige algo que muchas PYMES nunca hicieron: saber qué datos tienen, por qué los tienen y dónde están.
La buena noticia es que el camino no exige un presupuesto de empresa grande. Exige disciplina operativa: inventariar, clasificar, purgar, proteger y documentar. Cinco pasos que se pueden ejecutar con las herramientas que ya tienes, empezando por el departamento que más lo necesite, usando el período de gracia como ventana de implementación, no como excusa para postergar.
Porque al final, la ley no te va a preguntar si la leíste. Te va a preguntar si puedes demostrar que hiciste algo al respecto.
Preguntas Frecuentes
¿Cuándo entra en vigencia la Ley 21.719 para las PYMES en Chile?
La Ley 21.719 entra en vigencia el 1 de diciembre de 2026 para todas las organizaciones en Chile, independientemente de su tamaño. Las PYMES tienen un período de gracia de un año (hasta diciembre de 2027) durante el cual solo se aplicarán amonestaciones, no multas económicas. Esto no exime de cumplir con la ley; solo reduce la sanción durante el primer año.
¿Mi PYME necesita un DPO?
La ley exige designar un Delegado de Protección de Datos para organizaciones que realizan tratamientos de alto riesgo o manejan grandes volúmenes de datos personales. Si tu PYME no entra en esas categorías, puedes operar con un responsable interno capacitado. Para quienes lo necesitan sin presupuesto para un cargo full-time, el modelo de DPO fractional (externo, dedicación parcial) es una alternativa costo-efectiva.
¿Qué pasa si no cumplo con la Ley 21.719 siendo PYME?
Las sanciones van desde 5.000 UTM por infracciones leves hasta 20.000 UTM por gravísimas. En caso de reincidencia en infracciones graves o gravísimas, pueden alcanzar el 2% o 4% de los ingresos anuales. Contar con un Modelo de Prevención de Infracciones (MPI) documentado opera como atenuante formal ante la Agencia.
¿Qué es el principio de minimización de datos?
Minimización significa recolectar y retener solo los datos personales estrictamente necesarios para la finalidad declarada. Si guardas CVs de postulantes rechazados hace tres años, datos de clientes de proyectos cerrados o registros "por si acaso" sin finalidad vigente, estás incumpliendo este principio. La ley exige que cada dato almacenado tenga una razón documentada para existir.
¿Cómo implemento privacidad por diseño en una PYME con poco presupuesto?
No requiere un departamento de privacidad. Significa incorporar tres preguntas en cada proceso que involucre datos: ¿qué datos necesitamos realmente?, ¿por cuánto tiempo?, ¿quién accede? Complementa con controles técnicos accesibles: cifrado de disco (BitLocker y FileVault son gratuitos), revisión de permisos en carpetas compartidas, y un inventario básico de dispositivos que acceden a datos corporativos.
Protege los datos de tu PYME antes de diciembre
Descarga la guía de protección de datos para PYMES con checklist de cumplimiento paso a paso. Si necesitas visibilidad de los dispositivos donde viven tus datos, solicita un demo de Prey.
