La pregunta que llega del directorio rara vez es "¿estamos cumpliendo la Ley 21.719?". Suele ser más directa: "¿cuánto nos puede costar si no?".
Si trabajas en TI o en seguridad dentro de una empresa chilena, esa pregunta probablemente cayó en tu mesa antes de que terminaras de leer la ley. Y la respuesta corta es incómoda. Las multas escalan desde 5.000 hasta 20.000 UTM. Para empresas no pequeñas reincidentes, llegan al 4% de los ingresos anuales. A eso súmale sanciones accesorias, suspensión de operaciones hasta 30 días y un registro público donde queda inscrito tu historial sancionatorio.
Pero la incomodidad real no son los números. Es que la mayoría de las infracciones graves bajo la Ley 21.719 no nacen de una mala decisión legal. Nacen de una falla operativa: una laptop perdida sin cifrar, un log que nadie guardó, una notificación de brecha que llegó tarde porque nadie tenía visibilidad de qué dispositivos tocaron los datos.
Por eso saber cuánto cuestan las multas importa menos que saber qué actividad operativa te lleva a cada tramo. Esta guía desglosa los tres niveles de infracción, los valores monetarios actualizados en UTM, CLP y USD para 2026, las sanciones accesorias, y la traducción concreta de cada artículo de la ley a la operación TI que lo dispara o lo previene.
Qué sanciona la Ley 21.719 (resumen ejecutivo)
La Ley 21.719 reemplaza el régimen débil de la Ley 19.628 y monta una potestad sancionatoria nueva, ejecutada por la Agencia de Protección de Datos Personales. Si vienes de cumplir con la ley anterior, este cambio no es cosmético. Pasaste de un esquema con sanciones débiles y casi nunca aplicadas a uno con tres categorías de infracción, multas monetarias hasta 20.000 UTM, multas por porcentaje de ingresos para reincidentes, suspensión de operaciones y un registro público de sanciones.
La Agencia es autónoma, fiscaliza de oficio o por denuncia, y tiene facultades para investigar, requerir información y aplicar sanciones. Su régimen sancionatorio entra en vigencia 24 meses después de la publicación de la ley, lo que sitúa la primera ola de fiscalización alrededor de diciembre de 2026. Antes de esa fecha la Agencia debe estar plenamente constituida, con su consejo nombrado.
Lo importante para TI y para compliance no es memorizar los artículos. Es entender que la potestad sancionatoria ahora tiene dientes y que el factor que determina en qué tramo cae tu organización casi siempre es operativo. La Agencia evalúa intencionalidad, daño causado, capacidad económica, beneficio obtenido y medidas adoptadas para mitigar. Tener evidencia documentada de controles operativos es la diferencia entre una infracción leve y una gravísima sobre el mismo hecho. Para contexto general, revisa la guía completa de la Ley 21.719 en Chile.
Quick win: Calcula hoy tu exposición teórica máxima. Toma el volumen total de titulares de datos personales que tratas, multiplícalo por el costo promedio de una notificación de brecha y compáralo con el tope de 20.000 UTM. Ese ejercicio simple suele cambiar la prioridad del presupuesto de cumplimiento en una sola conversación de directorio.
Tabla de multas Ley 21.719 (valores 2026 en UTM, CLP y USD)
Antes de discutir cada categoría, conviene tener la tabla a la vista. Los valores monetarios están expresados en UTM (Unidad Tributaria Mensual), que a mayo 2026 ronda los CLP 67.000. El tipo de cambio referencial usado es CLP 935 por dólar.
A esa tabla súmale dos modificadores que la mayoría de las guías omite. Primero, el recargo del 50% sobre la multa original si no remedias dentro de 60 días. La Agencia indica las medidas a adoptar al imponer la sanción, y el plazo corre desde la notificación. Segundo, el multiplicador por reincidencia: la Agencia puede multar hasta tres veces el monto base de la infracción cometida si la conducta se repite dentro del periodo definido por la ley.
El tramo de porcentaje de ingresos aplica a empresas no pequeñas que reincidan en graves o gravísimas. Para una empresa con USD 50 millones en ventas anuales, el 4% representa USD 2 millones, lo que supera ampliamente el tope monetario de 20.000 UTM. Esta cláusula está diseñada para que el costo del incumplimiento sea proporcional al tamaño del infractor.
Quick win: Toma los últimos 3 hallazgos de cumplimiento o auditoría interna que tuvo tu organización. Mide en días desde detección hasta cierre. Si alguno superó 60 días, ese gap se traducirá en un recargo del 50% sobre cualquier multa futura. Documenta dueño, plazo y evidencia de cierre por tipo de hallazgo antes de la primera fiscalización.
Infracciones leves: qué actividad operativa las dispara
Las infracciones leves se castigan con apercibimiento escrito o multa de hasta 5.000 UTM. En valores 2026, eso son aproximadamente CLP 335 millones o USD 360 mil. Suena bajo en comparación con el tope, pero la trampa de las leves es que se acumulan rápido y muchas veces nacen de procesos administrativos olvidados, no de fallas técnicas.
Las conductas típicas que la Agencia clasificará como leves son: incumplimiento total o parcial del deber de información o transparencia, omisión de respuesta a solicitudes de los titulares de datos (derechos ARCO), falta de dirección postal individualizada o medios de comunicación electrónica equivalentes con el responsable del tratamiento. En la práctica, las infracciones leves son problemas de proceso: nadie respondió el correo, el aviso de privacidad estaba desactualizado, no había un buzón único para solicitudes.
Escenario operativo: una empresa retail mediana recibe 12 solicitudes de acceso o eliminación de datos durante seis meses. El correo de privacidad rebota a una bandeja compartida que nadie revisa con frecuencia. La Agencia recibe una denuncia de un titular, fiscaliza, y encuentra 12 omisiones documentadas. Cada una se cuenta como infracción leve. La empresa no remedia dentro de 60 días porque ni siquiera tiene un proceso definido para responder. Resultado: 12 infracciones leves más recargo del 50% por no remediación. La factura crece sin que nadie haya filtrado un solo dato.
Para evitar esto, el control operativo es boring pero efectivo. Necesitas un buzón único de privacidad con SLA interno, plantillas de respuesta, registro de tiempos por solicitud y un proceso documentado para denegar cuando corresponde. Es papeleo, pero es el papeleo que mantiene tu organización fuera del tramo leve acumulado. Para profundizar, revisa los tipos de políticas de datos exigidas por la Ley 21.719.
Quick win: Configura un buzón único para solicitudes ARCO esta semana. Define un SLA interno de 5 días hábiles para acuse y 20 días hábiles para respuesta sustantiva. Documenta cada solicitud con timestamp, decisión y evidencia de notificación al titular. Si recibes una fiscalización, ese log es tu defensa.
Infracciones graves: cuando lo operativo se convierte en exposición
Las graves se castigan con multas de hasta 10.000 UTM, aproximadamente CLP 670 millones o USD 720 mil. Acá ya no estamos hablando de procesos administrativos olvidados. Las graves nacen cuando fallan controles operativos que afectan la base de licitud del tratamiento, la trazabilidad, o la respuesta ante incidentes.
Las conductas típicas son: tratamiento de datos sin consentimiento o base legítima, no mantener el Registro de Actividades de Tratamiento (RAT) actualizado, no notificar una brecha dentro del plazo, no designar Delegado de Protección de Datos cuando corresponde, no aplicar medidas de seguridad razonables, transferir datos a terceros sin garantías. Cada una de estas conductas se puede prevenir con un control operativo concreto, y cada una se castiga con multa cuando ese control no existe o no genera evidencia auditable.
Escenario operativo: una empresa mediana detecta señales de exfiltración un viernes en la tarde. El equipo TI confirma que hay actividad anómala pero no puede determinar rápidamente qué dispositivos tocaron los datos personales afectados. Sin inventario de endpoints actualizado, sin logs de acceso correlacionados, el alcance se confirma 11 días después. La notificación a la Agencia llega fuera del plazo legal de 72 horas. Resultado: infracción grave por incumplimiento del deber de notificación, además de la brecha original. La sanción monetaria depende del tamaño de la empresa, pero el techo es 10.000 UTM y la Agencia evaluará si la falta de visibilidad de endpoints fue agravante.
El control operativo que separa una organización del tramo grave es la capacidad de responder a tres preguntas en menos de 24 horas: qué datos personales tratamos, en qué sistemas y dispositivos residen, y quién tuvo acceso a ellos en las últimas semanas. Si tu equipo no puede contestar eso con evidencia, ya estás expuesto. La gobernanza de datos bajo la Ley 21.719 desarrolla este marco con más detalle.
Quick win: Haz un inventario semestral de tratamientos donde cada flujo tenga: base de licitud documentada, sistemas y dispositivos involucrados, responsable interno y fecha de última revisión. Mantener este RAT vivo es la diferencia entre defenderte ante la Agencia con evidencia o quedar en silencio.
Infracciones gravísimas: el tramo que te puede costar el negocio
Las gravísimas se castigan con multas de hasta 20.000 UTM, aproximadamente CLP 1.340 millones o USD 1,43 millones. Si tu empresa califica como no pequeña y reincide, ese tope queda atrás: aplica el 4% de los ingresos anuales por ventas y servicios del año calendario anterior.
Las conductas que la Agencia clasificará como gravísimas son las que producen exposición masiva, intencional o particularmente dañina de datos personales. Tratamiento ilícito de datos sensibles (salud, biométricos, de menores), transferencia internacional sin garantías adecuadas, obstrucción a las facultades fiscalizadoras de la Agencia, y casos donde una falla técnica termina exponiendo a un volumen amplio de titulares.
Escenario operativo: una clínica privada en Santiago opera con 40 laptops asignadas a personal médico. Una de ellas se pierde en el transporte público, con 800 fichas de pacientes accesibles localmente. La clínica no tenía verificación documentada de cifrado en disco, no contaba con borrado remoto, y el dispositivo permanece en estado desconocido durante 9 días antes de que TI confirme la pérdida. La Agencia fiscaliza tras una denuncia. La conducta cae en gravísima por exposición masiva de datos sensibles de salud. La multa potencial alcanza 20.000 UTM, más sanciones accesorias y registro público.
Ahora cambia los controles. Si la clínica tuviera cifrado verificado en disco vía MDM, capacidad de bloqueo remoto en menos de 15 minutos, borrado remoto documentado y bitácora del incidente con timestamps, la Agencia evalúa eso como atenuante. La conducta podría reclasificarse a grave o incluso quedar en apercibimiento si la mitigación fue oportuna y efectiva. La diferencia entre 20.000 UTM y un apercibimiento, en escenarios de pérdida de dispositivo, son típicamente seis controles técnicos básicos que cualquier equipo TI puede operar.
Los controles de endpoint para cumplimiento chileno mapean estos seis controles a las exigencias específicas de la Ley 21.719 y la Ley 21.663.
Quick win: Verifica esta semana que el 100% de tus dispositivos corporativos tiene cifrado en disco activo y verificado por MDM. Cualquier dispositivo con estado "desconocido" es un gap que dispara automáticamente el tramo gravísima en caso de pérdida. Exporta el reporte como evidencia auditable.
Sanciones accesorias y el Registro Nacional de Sanciones
La multa monetaria es el componente más visible, pero no el único. La Ley 21.719 incorpora dos sanciones accesorias que pueden golpear más fuerte que el dinero, especialmente para organizaciones que operan en sectores regulados, licitaciones públicas o relaciones B2B donde la reputación es activo crítico.
La primera es la suspensión de operaciones de tratamiento por hasta 30 días en casos de reincidencia gravísima dentro de un periodo de 24 meses. Para una empresa que vive del tratamiento de datos (fintech, healthtech, retail digital, edtech), 30 días sin poder procesar son catastróficos. Esta sanción no se aplica al primer incidente, pero define el costo verdadero de la reincidencia.
La segunda es el Registro Nacional de Sanciones y Cumplimiento, administrado por la Agencia. Toda sanción impuesta a un responsable de tratamiento queda inscrita en este registro público. Cualquier auditor, cliente potencial, partner o postulante puede consultar el historial sancionatorio de una empresa. En la práctica, esto significa que una sanción de 5.000 UTM puede traducirse en pérdida de un contrato grande con un cliente corporativo que tiene política interna de no contratar proveedores listados. El daño reputacional es asimétrico: la multa pagaste una vez, el registro queda visible por años.
A esto se suma el efecto en licitaciones públicas. Muchas bases de licitación ya exigen declaración jurada de no haber sido sancionado por infracciones graves o gravísimas en periodos definidos. La inscripción en el registro hace inviable participar en licitaciones que aplican esta cláusula. Para empresas que dependen del sector público, eso puede ser tan caro como la multa misma.
Por último, el registro funciona como insumo para due diligence en operaciones de M&A, financiamiento o seguros. Una empresa con sanciones inscritas tiene tasas más altas, requisitos adicionales de remediación, o derechamente se cae de procesos. La consecuencia financiera del registro suele aparecer meses o años después del hecho original.
Quick win: Incluye una cláusula contractual con tus encargados de tratamiento (proveedores) que exija notificación inmediata si reciben una sanción de la Agencia. Si la cadena de tratamiento se rompe con un proveedor sancionado, tu organización puede ser arrastrada al mismo procedimiento. Contractualmente protegerte cuesta cero y tapa un vector real.
Cómo reducir tu exposición: del marco legal al control operativo
La pregunta práctica no es "¿cómo nos defendemos en un juicio sancionatorio?". Es "¿qué controles operativos mueven nuestra exposición de gravísima a leve o incluso a apercibimiento, antes de que la Agencia toque la puerta?".
La respuesta se ordena en tres capas: documentación, procesos, y controles técnicos. Las tres tienen que generar evidencia auditable, porque la Agencia evalúa lo que puedes demostrar, no lo que afirmas. La hoja de ruta de cumplimiento detalla esta arquitectura. Acá nos vamos al detalle operativo.
En documentación, tu organización necesita: Registro de Actividades de Tratamiento (RAT) vivo y versionado; Evaluaciones de Impacto en Protección de Datos (EIPD) para tratamientos de alto riesgo; política de retención con plazos por categoría de dato; registro de consentimientos con prueba de cuándo, cómo y bajo qué texto se obtuvieron; designación documentada del Delegado de Protección de Datos cuando corresponde.
En procesos, necesitas: respuesta a derechos ARCO con SLA interno y log de cada solicitud; notificación de brechas con flujo definido para activar el reloj de 72 horas a la Agencia y a titulares; gestión de incidentes con captura forense básica; revisión periódica del RAT y EIPD; auditoría interna anual al menos.
En controles técnicos, los que más pesan ante la Agencia son los que afectan los tramos graves y gravísimos: cifrado en disco verificado por MDM en el 100% de los endpoints; gestión de accesos con principio de mínimo privilegio y revocación inmediata; capacidad de bloqueo y borrado remoto en menos de 1 hora; visibilidad de qué dispositivos tocaron datos personales en los últimos 90 días; logs de actividad correlacionados que permiten reconstruir un incidente; alertas de comportamiento anómalo en endpoints. El modelo de cumplimiento completo Ley 21.719 mapea cada control a los artículos de la ley.
Cómo la gestión de endpoints cierra los gaps más caros
Dos de las tres conductas que disparan tramos gravísimos son operativas y endpoint-céntricas: dispositivo perdido sin controles documentados, y exposición masiva por falla de respuesta ante incidente. Para los dos casos, la capa que decide en qué tramo cae tu organización es la gestión de endpoints.
Una plataforma de visibilidad y control de endpoints permite cuatro flujos directamente relevantes para la Ley 21.719. Primero, verificación continua del estado de cifrado en cada dispositivo, con reporte exportable como evidencia ante la Agencia. Segundo, bloqueo remoto y borrado remoto con bitácora auditable que demuestra acción oportuna ante pérdida. Tercero, inventario en tiempo real de qué dispositivos están activos, dónde, con qué usuario y desde cuándo, lo que permite responder con velocidad la pregunta "qué dispositivos tocaron estos datos" durante una investigación de brecha. Cuarto, logs de actividad que documentan acceso, ubicación y eventos relevantes en cada endpoint.
Prey opera en esta capa. Funciona en Windows, macOS, Linux, Android, iOS y Chromebook, lo que importa en organizaciones chilenas donde el parque mixto es la norma. Una clínica con 40 laptops, una universidad con flota 1:1, una financiera con dispositivos en múltiples sucursales: todas tienen la misma exigencia operativa frente a la Ley 21.719. Poder demostrar, en cualquier momento, qué controles aplican a qué dispositivos y con qué evidencia. Ese es el rol natural de una plataforma como Prey dentro de un programa de cumplimiento.
Quick win: Mapea hoy cada tramo de multa de la Ley 21.719 al control operativo que más probabilidad tiene de prevenirlo. Si para alguno de los tres tramos no tienes un control claro ni evidencia auditable, ese es tu gap prioritario. La Agencia no negocia con buena fe sin evidencia.
Conclusión
Las multas y sanciones de la Ley 21.719 no son un tema legal. Son la consecuencia visible de fallas operativas que TI puede prevenir si tiene los controles y la evidencia. La mayoría de las infracciones graves nacen de un proceso que no se documentó, un dispositivo del que nadie sabía, una respuesta a brecha que llegó tarde. Eso significa que el camino más barato para mantenerte fuera del tramo de 20.000 UTM no pasa por contratar más abogados. Pasa por construir visibilidad, control y evidencia sobre los endpoints y los flujos de datos que tu organización ya tiene.
La Agencia empieza a fiscalizar alrededor de diciembre de 2026. El tiempo de preparación útil son los meses de adelanto que tu equipo TI se dé para llevar el RAT a estado vivo, el cifrado al 100%, el inventario al día y los procesos de respuesta a derechos y brechas en producción. Cada uno de esos controles, cuando genera evidencia exportable, reduce tu exposición sancionatoria sin necesidad de discutir interpretaciones legales. Esa es la diferencia entre defenderte con documentos o defenderte con argumentos.
Preguntas frecuentes
¿Cuánto es la multa máxima de la Ley 21.719?
La multa máxima monetaria es de 20.000 UTM, aproximadamente CLP 1.340 millones o USD 1,43 millones a valor 2026, aplicable a infracciones gravísimas. Para empresas no pequeñas reincidentes, la sanción puede alcanzar el 4% de los ingresos anuales por ventas y servicios del año calendario anterior, lo que en empresas grandes supera ampliamente el tope monetario.
¿Quién aplica las multas de la Ley 21.719?
La Agencia de Protección de Datos Personales, una entidad autónoma creada por la misma ley. Tiene facultades para investigar, fiscalizar, requerir información, aplicar sanciones y administrar el Registro Nacional de Sanciones y Cumplimiento. Actúa de oficio o por denuncia.
¿Cuándo entra en vigencia el régimen sancionatorio de la Ley 21.719?
La Ley 21.719 fue publicada el 13 de diciembre de 2024. Su régimen sancionatorio entra en vigencia 24 meses después de la publicación, alrededor de diciembre de 2026. Antes de esa fecha la Agencia debe estar plenamente constituida, con su consejo nombrado y operativo.
¿Qué pasa si no remedio una infracción dentro de los 60 días?
La Agencia indica las medidas de remediación al imponer la sanción. Si tu organización no las adopta dentro de 60 días, se aplica un recargo del 50% sobre la multa original. Además, la reincidencia activa un multiplicador de hasta tres veces el monto base de la infracción cometida.
¿Las infracciones se hacen públicas?
Sí. La Agencia administra el Registro Nacional de Sanciones y Cumplimiento, un registro público de sanciones impuestas a responsables de tratamiento. Cualquier organización, cliente o auditor puede consultar el historial sancionatorio de una empresa, lo que tiene impacto directo en licitaciones públicas, due diligence y relaciones B2B.
¿Puedo evitar las multas si demuestro buena fe?
La buena fe y la diligencia previa son atenuantes, pero no eliminan la sanción. La Agencia evalúa intencionalidad, daño causado, capacidad económica del infractor, beneficio obtenido y medidas adoptadas para mitigar. Tener controles operativos documentados y evidencia auditable es el camino más efectivo para reducir el tramo aplicable y, en muchos casos, llevar una conducta gravísima a grave o a apercibimiento.
Visibilidad, control y evidencia: los tres requisitos operativos de la Ley 21.719
La mayoría de las infracciones gravísimas nacen de un dispositivo perdido sin cifrado o un log que nunca existió. Prey ayuda a equipos TI chilenos a verificar el estado de cifrado, ejecutar bloqueo y borrado remoto auditable, mantener inventario en tiempo real y generar la evidencia exportable que la Agencia exige. Agenda una demo para ver cómo se mapea a tu programa de cumplimiento Ley 21.719.
.avif)
