¿De cuánto son las multas de la Ley 21.719 en Chile?

La escala se mide en UTM: infracciones leves hasta 5.000 UTM, graves hasta 10.000 UTM y gravísimas hasta 20.000 UTM. En caso de reincidencia, las empresas que no son pyme pueden ser sancionadas con hasta el 2% (graves) o el 4% (gravísimas) de sus ingresos anuales por ventas y servicios en Chile.

¿Quién aplica las multas de la Ley 21.719?

La nueva Agencia de Protección de Datos Personales, un organismo autónomo con facultades para fiscalizar de oficio, iniciar procedimientos sancionatorios, dictar multas vinculantes y ordenar la suspensión del tratamiento de datos.

¿Cuándo entra en vigencia el régimen sancionatorio de la Ley 21.719?

El 1 de diciembre de 2026. A partir de esa fecha las empresas operan bajo un modelo de responsabilidad proactiva: ante una inspección o incidente, corresponde a la organización demostrar que adoptó medidas técnicas y organizativas proporcionales a su riesgo.

¿Tener un diagnóstico técnico previo reduce la multa?

Puede operar como atenuante. Demostrar documentalmente que la empresa disponía de inventarios de datos, análisis de vulnerabilidades o políticas en desarrollo evidencia que la infracción no responde a una negligencia absoluta, lo que la Agencia considera al graduar la sanción.

Multas Ley 21.719 Chile: cuánto cuesta no cumplir

En corto: la Ley 21.719 clasifica las infracciones en leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM). Para empresas que no califican como pyme, la reincidencia en faltas graves o gravísimas permite sustituir la multa fija por una sanción de hasta el 2% o el 4% de los ingresos anuales en Chile. Las sanciones las aplica la nueva Agencia de Protección de Datos Personales desde el 1 de diciembre de 2026.

La promulgación de la Ley 21.719 reconfigura el escenario operativo de toda organización que administra, almacena o procesa datos de personas naturales en Chile. Al sustituir la antigua Ley 19.628, introduce un marco de fiscalización encabezado por la nueva Agencia de Protección de Datos Personales, dotada de facultades expresas para aplicar sanciones de alta cuantía económica.

Ante la proximidad de su plena vigencia —fijada para el 1 de diciembre de 2026— corporaciones y fiscalías internas necesitan un análisis riguroso del impacto financiero que representa cada nivel de infracción. Este artículo desglosa la escala de multas en Unidades Tributarias Mensuales (UTM), las variables de reincidencia que indexan los topes a los ingresos anuales, y la tipología de las sanciones.

La nueva institucionalidad y el régimen de fiscalización

Históricamente, la protección de la vida privada en Chile carecía de una entidad centralizada que auditara de oficio y sancionara de forma directa. Los titulares afectados debían recurrir a extensos procesos judiciales para exigir indemnizaciones.

La Ley 21.719 cambia el esquema con la Agencia de Protección de Datos Personales, un organismo autónomo con atribuciones para:

Emitir instrucciones generales de carácter técnico y operativo.
Fiscalizar de oficio o ante denuncias los sistemas informáticos y bases de datos corporativas.
Iniciar procedimientos sancionatorios administrativos y dictar multas vinculantes.
Ordenar la suspensión temporal o definitiva de las operaciones de tratamiento que pongan en riesgo los derechos de la ciudadanía.

A partir del hito de vigencia, las empresas operan bajo un modelo de responsabilidad proactiva: ante una inspección o un incidente, corresponde a la organización demostrar que adoptó las medidas técnicas y organizativas proporcionales a su riesgo operacional.

Clasificación de infracciones y escala de multas en UTM

La ley divide las faltas en tres categorías según su gravedad. El cálculo usa la UTM como unidad de medida, lo que asegura la actualización automática de los montos frente a la inflación.

Categoría	Multa máxima	Ejemplos típicos
Leves	Amonestación a 5.000 UTM	No publicar o no actualizar el aviso de privacidad; mantener desactualizado el Registro de Actividades de Tratamiento (RAT); responder fuera de plazo las solicitudes ARCOP; carecer de un canal de contacto digital operativo.
Graves	Hasta 10.000 UTM	Tratar datos sin base de licitud explícita; no implementar medidas técnicas mínimas de seguridad; omitir la notificación de una brecha; transferir datos a terceros países sin garantías equivalentes.
Gravísimas	Hasta 20.000 UTM	Tratar datos sensibles (salud, biométricos, etc.) de forma ilícita; procesar datos de menores sin el consentimiento exigido; desviar bases de datos a finalidades distintas; comercializarlas de forma fraudulenta; obstruir a la Agencia.

El impacto por reincidencia: indexación a los ingresos anuales

Para organizaciones de alta facturación, el tope en UTM podría no ser disuasorio. Por eso la Ley 21.719 incorpora una cláusula de indexación financiera en escenarios de reincidencia, alineada con las tendencias regulatorias globales.

Para empresas que no califican como pyme, si se constata reincidencia en infracciones graves o gravísimas, la multa fija en UTM puede sustituirse por una sanción porcentual sobre el volumen de negocio en Chile:

Reincidencia en graves: hasta el 2% de los ingresos anuales por ventas y servicios del giro durante el ejercicio anterior.
Reincidencia en gravísimas: hasta el 4% de los ingresos anuales de la empresa en Chile.

El riesgo financiero, por tanto, no está acotado a un techo histórico en pesos: crece de forma proporcional al tamaño del negocio y a la facturación de la persona jurídica infractora.

¿Sabes qué está exponiendo tu web hoy?

Antes de calcular riesgos, conviene ver los hechos. Nuestra verificación inicial gratuita mapea la capa pública de tu sitio e identifica los hallazgos técnicos frente a la Ley 21.719 — sin instalar nada y sin compromiso.

Escanear mi web · Gratis

Casos comparables y estándar internacional

La estructura punitiva de la Ley 21.719 sigue el estándar del Reglamento General de Protección de Datos (GDPR) europeo. La experiencia internacional demuestra que las mayores sanciones no suelen originarse por ciberataques externos inevitables, sino por debilidades estructurales internas en el procesamiento cotidiano de datos:

Acumulación pasiva de datos: retener registros de clientes antiguos, CVs de postulantes descartados o formularios sin finalidad vigente, vulnerando el principio de minimización.
Datos biométricos sin control reforzado: control de asistencia o accesos por huella o reconocimiento facial sin evaluación de impacto ni alternativas.
Falta de visibilidad sobre subencargados: compartir datos de clientes chilenos con proveedores SaaS, plataformas de marketing o agencias sin acuerdos de tratamiento específicos.

Criterios de graduación: atenuantes y agravantes

La Agencia no aplica las multas máximas de forma automática; gradúa la cuantía según el contexto técnico del responsable.

Atenuantes (reducen la multa)

Adopción de medidas de mitigación inmediatas ante una falla detectada.
Autodenuncia y cooperación proactiva antes de que la Agencia inicie una investigación.
Existencia previa de un diagnóstico o programa de prevención documentado: inventarios de datos, análisis de vulnerabilidades o políticas en desarrollo.
Condición de pyme: el tamaño y la capacidad económica se consideran para evitar la quiebra operativa, privilegiando la amonestación o los rangos mínimos.

Agravantes (aumentan la multa)

Intencionalidad o grado de negligencia: conocer la vulnerabilidad y continuar para maximizar un beneficio.
Naturaleza y volumen de los datos: salud, financieros o de menores incrementan la gravedad de forma automática.
Beneficio económico obtenido del tratamiento ilícito de la información.

El rol de los diagnósticos técnicos preliminares

Ante este marco, las gerencias y fiscalías necesitan identificar con precisión dónde residen sus focos de exposición antes de que el plazo se agote. Conviene precisar el alcance de las herramientas disponibles:

Naturaleza del servicio: el escaneo automatizado de plataformas web es un diagnóstico técnico preliminar. Identifica brechas de visibilidad, fallos de captura de consentimiento, ausencia de textos obligatorios o problemas de seguridad en la transmisión.
Fronteras y exclusiones: bajo ninguna circunstancia constituye asesoría legal, dictamina un estado de cumplimiento absoluto ni emite certificaciones válidas ante la Agencia. La adecuación profunda requiere consultoría jurídica y gobernanza interna. Es, de hecho, la razón por la que el primer paso no es el abogado, sino el diagnóstico.

Un diagnóstico preliminar opera como un mapa de calor técnico: permite a los equipos de TI y legal priorizar esfuerzos enfocando los recursos en los flancos digitales con mayor probabilidad de originar un procedimiento sancionatorio.

Conclusión

El costo de omitir la revisión de los procesos de captura y almacenamiento de datos se ha elevado de forma exponencial en Chile. Las multas indexadas en UTM y la posibilidad de sancionar la facturación anual transforman la privacidad de un asunto formal a un componente crítico de la continuidad del negocio. Evaluar el estado técnico actual de las plataformas es el primer paso metodológico hacia una transición ordenada.

Conoce el estado técnico de tu web frente a la Ley 21.719

Disponemos de una herramienta que mapea la infraestructura técnica visible de tu sitio e identifica los principales hallazgos operativos frente a las nuevas exigencias. Gratis y sin instalar nada.

Escanear mi web · Gratis

Este artículo se publica con fines informativos y de divulgación técnica respecto a la Ley N.º 21.719 de la República de Chile. Los análisis de AGLAYA corresponden a diagnósticos técnicos preliminares basados en las capas tecnológicas visibles de los sitios web evaluados. No constituyen asesoría jurídica, defensa legal, dictamen de cumplimiento formal ni certificación de adecuación normativa. Para la aplicación legal específica de estas normas a su organización, se recomienda la contratación de asesoría jurídica especializada.