Ley 21.719 en Chile: Qué Significa para tu Empresa si Usas (o vas a usar) IA

Si tu empresa usa WhatsApp Business, un CRM, un chatbot o cualquier sistema que guarde el nombre, teléfono o correo de un cliente, ya estás procesando datos personales. Hasta ahora, la regulación chilena sobre esto era antigua y poco exigida — la Ley 19.628, de 1999. Eso cambió.

La Ley 21.719 moderniza por completo la protección de datos personales en Chile, se inspira en el RGPD europeo, crea una agencia fiscalizadora con poder real para sancionar, y entra en plena vigencia en diciembre de 2026. Si tu empresa usa o planea usar inteligencia artificial — chatbots, agentes de ventas, automatizaciones que procesan datos de clientes — esta ley te toca de lleno.

Esta guía no es asesoría legal. Es una explicación práctica, en lenguaje simple, de lo que cualquier dueño de pyme o encargado de marketing debería entender antes de que la ley entre en vigencia.

La línea de tiempo: qué pasa y cuándo

La ley no cae de un día para otro. Hay plazos definidos para que las empresas se adapten — pero esos plazos ya están corriendo.

Diciembre 2024

Promulgación de la Ley 21.719

Se publica la nueva normativa, reemplazando a la antigua Ley 19.628 de 1999 y fijando un plazo de adecuación de 24 meses para las empresas.

2025 – 2026

Periodo de adecuación

Las empresas deben revisar cómo recolectan, almacenan y usan datos personales, y ajustar sus procesos, contratos y herramientas (incluida la IA) a los nuevos estándares.

Diciembre 2026

Entrada en vigencia plena

La ley se aplica completamente. Comienza a operar la Agencia de Protección de Datos Personales, con facultades para fiscalizar y sancionar a empresas que incumplan.

En adelante

Fiscalización activa

Las sanciones pueden ir desde apercibimientos hasta multas significativas para infracciones graves o reincidentes, según la gravedad y el tamaño de la empresa.

Qué cambia exactamente: la ley antigua vs. la nueva

La diferencia entre la Ley 19.628 y la Ley 21.719 no es de matices — es un salto generacional en cómo Chile entiende y exige el cuidado de los datos personales.

AspectoLey 19.628 (1999)Ley 21.719 (nueva)

Entidad fiscalizadoraNo existía una agencia dedicadaAgencia de Protección de Datos Personales, con poder real

SancionesPrácticamente simbólicas, casi nunca aplicadasMultas reales, según gravedad y tamaño de la empresa

Consentimiento del usuarioAmbiguo, poco reguladoDebe ser informado, específico y revocable en cualquier momento

Derecho a saber qué datos tienesLimitado en la prácticaLas personas pueden exigir acceso, corrección y eliminación de sus datos

Uso de IA y automatizaciónNo contemplado (la ley es de 1999)Exige transparencia sobre el procesamiento automatizado de datos personales

¿Por qué esto te afecta si usas (o vas a usar) IA?

Cada vez que un chatbot guarda el nombre y teléfono de un cliente, cada vez que un agente IA registra el historial de una conversación para "recordar" al usuario, cada vez que una automatización envía datos de un cliente entre sistemas — eso es tratamiento de datos personales. Y la nueva ley exige que ese tratamiento sea transparente, informado y seguro.

Esto no significa que debas dejar de usar IA. Significa que debes usarla con criterios claros: qué datos recolectas, para qué los usas, cuánto tiempo los guardas, quién tiene acceso y cómo los proteges. Las empresas que ya operan así no tienen nada que temer — las que improvisan, sí.

Semáforo de cumplimiento: ¿en qué nivel está tu empresa?

Antes de llamar a un abogado, revisa honestamente en qué color te encuentras. Esto te da una idea de cuánto trabajo hay por delante.

●

Rojo — riesgo alto: No sabes con certeza qué datos de clientes guardan tus sistemas (CRM, WhatsApp, chatbot, planillas), ni quién tiene acceso a ellos, ni cuánto tiempo se conservan.

●

Amarillo — en proceso: Tienes una idea general de qué datos manejas, pero no existe una política escrita, ni un proceso claro para que un cliente pida eliminar su información.

●

Verde — encaminado: Tienes mapeados los datos que recolectas, un aviso de privacidad claro, control de accesos, y un proceso definido para responder solicitudes de los titulares de los datos.

⚠️ El error más común que vemos en pymes chilenas

Pensar que "como somos chicos, no nos van a fiscalizar". La Agencia de Protección de Datos puede actuar a partir de denuncias de clientes — y un cliente molesto que pide que borren sus datos y no recibe respuesta es justamente el tipo de denuncia que activa una fiscalización. El tamaño de la empresa no te protege; la forma en que manejas los datos, sí.

5 pasos prácticos para prepararte (sin pagar millones en asesorías)

1. Mapea tus datos: haz una lista simple de dónde guardas información de clientes — CRM, WhatsApp Business, planillas Excel, chatbot, base de datos del sitio web.
2. Define un responsable interno: alguien del equipo (no necesita ser abogado) que centralice las solicitudes relacionadas con datos personales.
3. Revisa tus herramientas de IA y automatización: ¿qué datos procesan? ¿dónde se almacenan? ¿se comparten con terceros o se usan para entrenar modelos? Pide esa información a tu proveedor.
4. Crea un aviso de privacidad simple y honesto: qué datos recolectas, para qué los usas y cómo alguien puede pedirte que los elimine. No necesita ser un documento de 40 páginas — necesita ser claro y cumplirse.
5. Define cómo responderás si alguien pide eliminar sus datos: ten un proceso (aunque sea manual al principio) para localizar y eliminar la información de una persona en tus sistemas, incluido el historial del chatbot o agente IA.

✓ La buena noticia

Implementar IA de forma responsable y cumplir con la Ley 21.719 no son objetivos opuestos — son la misma tarea. Un sistema bien diseñado desde el inicio (que registre solo lo necesario, lo proteja correctamente y permita eliminarlo cuando se solicite) cumple con la ley casi por diseño. El momento de construir así es ahora, antes de que la fiscalización empiece a operar en plena forma.

¿Tu chatbot o automatización está preparado para la Ley 21.719?

Revisamos cómo tu empresa recolecta y procesa datos a través de tus sistemas de IA y automatización, y te ayudamos a implementar — o ajustar — con buenas prácticas de protección de datos desde el diseño.

🔒 Quiero revisar mi situación → WhatsApp

Este artículo tiene fines informativos y no constituye asesoría legal. Para definir el cumplimiento específico de tu empresa, consulta con un abogado especializado en protección de datos personales.