Nueva Ley de Protección de Datos en Chile (Ley 21.719): Qué Deben Hacer tus Contratos Ahora

En Chile entra en ejecución su ley de datos personales (creada en 2024, aplica desde 2026)— y tus contratos probablemente necesiten adaptarse.

El 13 de diciembre de 2024, Chile publicó en el Diario Oficial la Ley 21.719, la reforma más profunda a la regulación de datos personales en la historia del país. Esta ley reemplaza a la Ley 19.628 —vigente desde 1999— con un marco moderno, alineado con estándares internacionales como el GDPR europeo, y con poder sancionatorio real: multas de hasta 20.000 UTM (aproximadamente USD 1,55 millones) o hasta el 4% de los ingresos anuales de la empresa, también alineado con la regulación de la Comunidad Europea.

La fecha de entrada en vigor es el 1 de diciembre de 2026, lo que significa que tienes aproximadamente (desde que escribimos esto) 7 meses para ponerte en regla. Eso parece mucho tiempo — hasta que empiezas a revisar todo lo que hay que cambiar en tus contratos.

Este artículo es una guía directa sobre las medidas contractuales que debes implementar ahora, antes de que el plazo se cierre y la Agencia de Protección de Datos Personales (APDP) comience a fiscalizar y sancionar.

‍

Qué cambia con la Ley 21.719: el salto desde 1999

La Ley 19.628 era un texto de otra era. Durante 25 años, las empresas chilenas operaron con una ley que no tenía autoridad regulatoria independiente, no establecía estándares claros para contratos, y no contemplaba derechos modernos como la portabilidad de datos o la protección frente a decisiones automatizadas. Claro, se sancionó cuando se usaba Windows 98.

La Ley 21.719 cambia todo eso. Sus principales novedades:

Creación de la Agencia de Protección de Datos Personales (APDP)
Chile tendrá por primera vez una autoridad de control independiente con poder real de fiscalización, investigación y sanción. La APDP puede iniciar investigaciones de oficio, aplicar multas, ordenar la suspensión de tratamientos de datos y publicar un Registro Nacional de Sanciones.

Nuevas obligaciones para empresas que tratan datos
Las empresas que recopilan, almacenan o procesan datos personales -TODAS, ya al menos tienen datos de clientes, empleados, etc- (responsables del tratamiento) tienen nuevas obligaciones de documentación, seguridad y transparencia. Las empresas que procesan datos por encargo de otras (encargados del tratamiento) también tienen responsabilidades propias que deben estar reflejadas en contratos.

Derechos ampliados para las personas
Derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de datos. Todos irrenunciables y no limitables contractualmente.

Consentimiento explícito y activo
Se elimina el consentimiento implícito, las casillas pre-marcadas y los mecanismos de opt-out. El consentimiento debe ser libre, específico, informado e inequívoco.

Transferencias internacionales reguladas
Si envías datos de personas en Chile a servidores o proveedores en otros países, necesitas mecanismos legales expresos: decisión de adecuación, cláusulas contractuales o normas corporativas vinculantes aprobadas por la APDP.

‍

Por qué el problema empieza (y se resuelve) en los contratos

Muchas empresas piensan que la protección de datos es un tema de su área de TI o de privacidad. Error. La mayoría de los riesgos legales bajo la Ley 21.719 se materializan a través de contratos mal redactados o inexistentes.

Piénsalo: cuando contratas a un proveedor de CRM, a una agencia de marketing digital, a un sistema de nóminas en la nube, a una plataforma de soporte al cliente — en todos esos casos, estás transfiriendo datos personales de tus clientes, empleados o usuarios a un tercero para que los procese. Si ese contrato no establece claramente las obligaciones del proveedor, las medidas de seguridad que debe cumplir, los derechos que asisten a las personas cuyos datos se tratan, y qué pasa si hay una brecha — entonces eres tú, como responsable del tratamiento, quien responde ante la APDP y ante los afectados.

La buena noticia: si tus contratos están bien estructurados, están vigentes y están gestionados activamente, tienes la mayor parte del cumplimiento resuelto.

‍

Las 7 medidas que deben implementar tus contratos ahora

1. Incorporar cláusulas de tratamiento de datos en todos los contratos con proveedores

Cada contrato con un proveedor que tenga acceso a datos personales de tus clientes, empleados o usuarios debe incluir un Acuerdo de Tratamiento de Datos (ATD), también conocido como DPA (Data Processing Agreement).

Este acuerdo debe especificar:

‍

• Objeto y finalidad del tratamiento: Para qué se procesan los datos y bajo qué instrucciones del responsable.
• Duración: Hasta cuándo puede el proveedor mantener y usar los datos.
• Naturaleza y categorías de datos: Qué tipos de datos personales se transfieren (identificación, salud, financieros, etc.).
• Obligaciones de seguridad: Medidas técnicas y organizativas que el proveedor debe implementar.
• Confidencialidad: El personal del proveedor que accede a los datos debe estar sujeto a obligaciones de confidencialidad.
• Subprocesadores: El proveedor no puede subcontratar el tratamiento de datos sin tu autorización expresa, y debe garantizar que los subprocesadores cumplen las mismas condiciones.
• Devolución o destrucción de datos: Al terminar el contrato, el proveedor debe devolver o destruir los datos y certificar que lo hizo.
• Derechos de auditoría: Debes poder verificar que el proveedor cumple con sus obligaciones, ya sea mediante auditorías propias o informes de terceros.
• Notificación de brechas: El proveedor debe notificarte sin demora si detecta una brecha de seguridad que afecte a los datos que procesa en tu nombre.

‍

Si tus contratos actuales con proveedores no tienen estas cláusulas, están fuera de cumplimiento con la Ley 21.719.

‍

2. Revisar y actualizar los contratos con clientes que incluyen tratamiento de datos

Si tu empresa recopila datos personales de clientes para prestar un servicio, los contratos con esos clientes también deben actualizarse. Los puntos críticos:

Cláusula de información y consentimiento
Debes informar al cliente, en el contrato o en la política de privacidad vinculada al contrato, qué datos recopilas, para qué, por cuánto tiempo, con quién los compartes y cuáles son sus derechos. El consentimiento para tratamientos que van más allá de la ejecución del servicio (marketing, análisis de comportamiento, cesión a terceros) debe ser explícito y separado. Asimismo es indispensable que garantice que tiene el derecho y autoridad en caso que se traten datos personales de terceras personas. 

Cláusula de derechos del titular
El contrato debe reconocer el derecho del cliente a acceder a sus datos, rectificarlos, solicitar su supresión, oponerse al tratamiento y transferirlos a otro proveedor (portabilidad). Nunca puedes contractualmente limitar o suprimir estos derechos — hacerlo convierte esa cláusula en nula de pleno derecho y puede constituir una infracción grave.

Cláusula de transferencias internacionales
Si usas servidores, plataformas o proveedores ubicados fuera de Chile, debes indicarlo en el contrato o en tu política de privacidad, junto con el mecanismo legal que ampara esa transferencia (adecuación, cláusulas contractuales, etc.).

‍

3. Establecer contratos con cláusulas de notificación de brechas de seguridad

La Ley 21.719 exige que, ante una brecha que genere riesgo para los derechos de las personas afectadas, el responsable del tratamiento notifique a la APDP sin demora injustificada y a los titulares cuando la brecha involucre datos sensibles.

Para poder cumplir estos plazos, tus contratos con proveedores deben obligarlos a notificarte de forma inmediata cuando detecten un incidente de seguridad. Sin esa cláusula, un proveedor puede demorar días en informarte, y tú llegas tarde ante la APDP.

Las cláusulas de notificación de brechas deben incluir:

‍

• Plazo máximo de notificación del proveedor al responsable (recomendado: 24-48 horas)
• Información mínima que debe incluir la notificación (qué ocurrió, qué datos afectados, cuántas personas, medidas adoptadas)
• Obligación de cooperar en la investigación y en la comunicación a los afectados
• Registro documentado del incidente

‍

4. Incorporar requisitos de seguridad técnica y organizativa en los contratos

La Ley 21.719 exige medidas de seguridad "apropiadas a la naturaleza de los datos y los riesgos del tratamiento". Esto no es una declaración genérica — debe estar reflejada en compromisos concretos dentro de los contratos con proveedores.

Como mínimo, los contratos deben requerir al proveedor:

‍

• Cifrado: De los datos en tránsito y en reposo.
• Control de acceso: Solo el personal autorizado puede acceder a los datos, con autenticación robusta.
• Seudonimización: Cuando sea técnicamente posible, los datos deben procesarse de forma que no permitan identificar directamente al titular sin información adicional.
• Registros de actividad: Logs que permitan rastrear quién accedió a los datos, cuándo y qué hizo.
• Plan de respuesta a incidentes: El proveedor debe tener y poder acreditar un procedimiento formal de gestión de brechas de seguridad.
• Evaluaciones de seguridad periódicas: Pentest, auditorías de seguridad, certificaciones como ISO 27001 o SOC 2.

‍

5. Regular las transferencias internacionales de datos en contratos

Si tu empresa usa herramientas digitales con servidores fuera de Chile —y casi todas las empresas lo hacen— tienes obligaciones específicas bajo la Ley 21.719.

Los mecanismos válidos para transferir datos fuera de Chile son:

Decisión de adecuación de la APDP: El país receptor tiene un nivel de protección equivalente al chileno, según determinación de la Agencia. Este mecanismo aún está siendo desarrollado.

Cláusulas contractuales estándar: El contrato con el destinatario internacional incluye garantías suficientes de protección. Es el mecanismo más práctico y ampliamente usado.

Normas corporativas vinculantes (BCR): Para grupos empresariales multinacionales, pueden establecerse políticas internas que garanticen protección uniforme en todas las entidades del grupo, sujetas a aprobación de la APDP.

Qué debes hacer ahora: Inventariar todos los proveedores que reciben datos de personas en Chile y están ubicados fuera del país, verificar qué mecanismo legal ampara cada transferencia, e incluirlo explícitamente en los contratos o adendums correspondientes.

‍

6. Revisar contratos laborales y de recursos humanos

Los datos de empleados son datos personales bajo la Ley 21.719, y muchas empresas no lo tienen presente. Los contratos laborales y sus documentos relacionados (reglamentos internos, políticas de uso de tecnología, contratos de confidencialidad) deben actualizarse para incluir:

‍

• Información clara sobre qué datos se recopilan del empleado, para qué y por cuánto tiempo.
• Condiciones para el monitoreo de dispositivos o comunicaciones corporativas (con límites claros).
• Políticas de uso de datos biométricos para control de acceso o asistencia.
• Derechos del empleado sobre sus datos (acceso, rectificación, supresión una vez terminada la relación laboral).
• Condiciones para la cesión de datos del empleado a terceros (aseguradoras, sistemas de beneficios, bancos para pago de sueldos).

‍

Un contrato laboral que no informe al trabajador sobre el tratamiento de sus datos puede ser considerado una infracción a la Ley 21.719, incluso si el incumplimiento no fue intencional.

‍

7. Crear un registro de contratos con tratamiento de datos y sus fechas de vencimiento

La Ley 21.719 obliga a los responsables del tratamiento a documentar y registrar todas las actividades de tratamiento de datos. Esto incluye los contratos con proveedores que procesan datos en tu nombre.

Sin un registro centralizado y actualizado, no puedes saber:

‍

• Con qué proveedores tienes contratos activos de tratamiento de datos.
• Si esos contratos incluyen las cláusulas que la ley exige.
• Cuándo vencen esos contratos y cuándo debes renovarlos o actualizarlos.
• Si algún proveedor tiene acceso a datos que ya no debería tener por contrato vencido.

‍

Este punto no es secundario. En una fiscalización de la APDP, lo primero que te pedirán es tu registro de actividades de tratamiento. Si no existe, o existe pero está desactualizado, ese solo hecho puede constituir una infracción.

‍

Las multas que están en juego

La Ley 21.719 establece un sistema sancionatorio de tres niveles:

‍

Nivel de infracción

Multa máxima

Leve

5.000 UTM (~USD 387.000)

Grave

10.000 UTM (~USD 775.000)

Gravísima

20.000 UTM (~USD 1.550.000)

‍

Para empresas que no son clasificadas como "pequeñas empresas", las sanciones por infracciones graves y gravísimas pueden calcularse alternativamente como el 2% al 4% de los ingresos anuales, lo que sea mayor.

En caso de reincidencia, las multas pueden triplicarse. Y la APDP puede además ordenar la suspensión temporal del tratamiento de datos por hasta 30 días, lo que en muchos modelos de negocio equivale a la paralización operativa.

Las infracciones quedarán registradas en el Registro Nacional de Sanciones y Cumplimiento, público y accesible, durante 5 años. En mercados donde la confianza es un activo — especialmente en servicios financieros, salud y tecnología — ese registro puede tener consecuencias comerciales que van mucho más allá de la multa.

‍

La APDP: el nuevo árbitro que empezará a operar en diciembre de 2026

La Agencia de Protección de Datos Personales (APDP) es una de las innovaciones más importantes de la Ley 21.719. Chile nunca tuvo una autoridad independiente de control en esta materia — lo que explica, en parte, por qué la Ley 19.628 fue tan poco efectiva durante 25 años.

La APDP tendrá poderes para:

‍

• Investigar denuncias y actuar de oficio.
• Dictar instrucciones vinculantes para el sector público y privado.
• Aprobar códigos de conducta y mecanismos de certificación.
• Emitir decisiones de adecuación para transferencias internacionales.
• Imponer multas y ordenar la suspensión de tratamientos.

‍

El gobierno ya creó en 2025 una comisión interministerial para coordinar la implementación de la ley y la puesta en marcha de la Agencia. El mensaje es claro: la APDP no será decorativa.

‍

El error más común que cometen las empresas: esperar a 2026

El período de transición de 24 meses existe para que las empresas se preparen — no para que esperen al último momento. Las organizaciones que comienzan el proceso de cumplimiento ahora tienen ventajas concretas:

Más tiempo para revisar contratos sin presión. Identificar todos los contratos con tratamiento de datos, actualizarlos, negociar cláusulas con proveedores y firmar adendums es un proceso que en una empresa mediana puede tomar entre 3 y 6 meses.

Mejor posición negociadora con proveedores. Cuando todos lleguen a pedir las mismas cláusulas al mismo tiempo (en 2026), los proveedores tendrán menos incentivo para negociar condiciones favorables.

Evidencia de buena fe ante la APDP. Si una empresa puede demostrar que comenzó su proceso de cumplimiento temprano y de forma documentada, eso opera como atenuante en caso de una sanción.

Ventaja competitiva. Las empresas que demuestren cumplimiento con la Ley 21.719 tendrán ventaja en licitaciones, procesos de due diligence y relaciones con clientes corporativos que también tienen sus propios estándares de compliance.

‍

Por qué gestionar el cumplimiento desde un CLM es la decisión correcta

Una empresa mediana en Chile puede tener entre 50 y 500 contratos activos con proveedores, clientes y empleados. Revisar manualmente cada uno, identificar los que requieren actualización, negociar cláusulas, firmar adendums, y luego monitorear vencimientos y obligaciones — todo eso en planillas de Excel y carpetas de correo — es una receta para el caos y el incumplimiento.

Aquí es donde un sistema de gestión del ciclo de vida de contratos (CLM) deja de ser un "nice to have" y se convierte en una necesidad operativa de compliance.

Un CLM te permite:

‍

Centralizar y clasificar tus contratos por tipo de tratamiento de datos. Saber de inmediato cuáles contratos involucran datos personales, qué datos, y si tienen las cláusulas que exige la Ley 21.719.

Rastrear el estado de cumplimiento de cada contrato. ¿Este contrato con tu proveedor de CRM tiene cláusula de notificación de brechas? ¿Está firmada la adenda de transferencias internacionales? ¿Cuándo vence?

Automatizar alertas de vencimiento para actuar antes de tiempo. Recibir avisos 90, 60 y 30 días antes de que venza un contrato — con tiempo suficiente para renegociar, actualizar cláusulas y firmar la renovación.

Mantener el registro de actividades de tratamiento exigido por la ley. Un CLM bien configurado puede funcionar como parte de tu registro de actividades, con trazabilidad completa de versiones, aprobaciones y firmas.

Flujos de aprobación con firma electrónica integrada. Actualizar 200 contratos requiere un proceso fluido de revisión, aprobación legal y firma. Un CLM convierte eso en un proceso controlado, no en un caos de correos.

‍

Conclusión: El cumplimiento de la Ley 21.719 se construye contrato por contrato

La Ley 21.719 no es un trámite burocrático. Es un cambio estructural en cómo Chile regula la relación entre las empresas y los datos personales de sus clientes, empleados y usuarios. Las empresas que entiendan eso a tiempo y lo integren en su operación contractual estarán protegidas, serán más confiables y evitarán sanciones significativas.

El punto de partida no es contratar un abogado para revisar un contrato. Es saber cuántos contratos tienes, qué datos mueven, cuándo vencen y qué les falta — y eso solo es posible con visibilidad centralizada sobre tu cartera de contratos.

‍

Cómo CheersContracts te ayuda a cumplir con la Ley 21.719

En CheersContracts desarrollamos una plataforma CLM pensada para la realidad de las empresas en América Latina: regulaciones locales, equipos legales con recursos limitados, y la necesidad de escalar el cumplimiento sin multiplicar los costos.

Con CheersContracts puedes cumplir con las exigencias de la Ley 21.719 de forma estructurada:

‍

• Repositorio centralizado de todos tus contratos, clasificados por tipo, contraparte y nivel de riesgo de datos personales.
• Alertas automáticas de vencimiento con anticipación configurable (90, 60 y 30 días) para nunca perder una renovación crítica.
• Flujos de aprobación con firma electrónica integrada, para actualizar cláusulas y firmar adendas sin caos de correos.
• Registro de auditoría completo por contrato: quién lo modificó, cuándo, qué versiones existen, cuándo fue firmado.
• Seguimiento de obligaciones contractuales para saber si tu proveedor cumplió con lo que prometió en materia de seguridad y notificación de incidentes.
• Soporte multipaís: Diseñado para cumplir con las regulaciones de Chile, México, Argentina y Colombia desde una sola plataforma.

‍

No esperes a que la APDP empiece a fiscalizar. El cumplimiento se construye hoy, contrato por contrato.

‍

→ Solicita una demo gratuita de CheersContracts y empieza tu proceso de cumplimiento con la Ley 21.719

‍

¿Tienes dudas sobre qué cláusulas deben tener tus contratos bajo la nueva ley chilena? Escríbenos a hola@cheerscontracts.com — te ayudamos a identificar dónde está tu mayor riesgo.

‍