Askesis
Ley 21.719

Multas Ley 21.719: cuánto puede costar no cumplir

Conoce el régimen sancionatorio de la Ley 21.719 en Chile: tipos de infracciones, montos de multas en UTM y UF, y cómo evitarlas con una estrategia de cumplimiento.

Equipo Askesis14 de abril de 20267 min de lectura

Una de las preguntas más frecuentes que recibimos de empresas chilenas es: ¿cuánto puede costar realmente no cumplir con la Ley 21.719? La respuesta es más impactante de lo que la mayoría imagina, especialmente para las PYMEs que asumen que las multas millonarias son solo para las grandes corporaciones.

Spoiler: no lo son.

El régimen sancionatorio de la Ley 21.719

La ley establece un sistema de infracciones en tres categorías, con multas expresadas en Unidades Tributarias Mensuales (UTM). Al valor de abril 2026 (aproximadamente $70.000 CLP por UTM), las cifras son significativas.

Infracciones leves — hasta 100 UTM (~$7.000.000 CLP)

Se consideran infracciones leves aquellas que no representen un riesgo elevado para los derechos de los titulares:

  • No mantener actualizado el Registro de Actividades de Tratamiento
  • No responder oportunamente las solicitudes ARCO (el plazo es 10 días hábiles)
  • Omitir la información en el aviso de privacidad
  • No designar al DPO cuando corresponde
  • Incumplir obligaciones formales de menor impacto

Ejemplo real: Una empresa que no responde en plazo a un empleado que solicita acceso a sus datos personales puede recibir una sanción de hasta $7 millones de pesos. Para una PYME de 20 personas, eso es un golpe importante.

Infracciones graves — hasta 1.000 UTM (~$70.000.000 CLP)

Aquí la escala cambia radicalmente:

  • No notificar una brecha de datos en 72 horas (obligación nueva y crítica)
  • Realizar transferencias internacionales de datos sin garantías adecuadas
  • Vulnerar medidas de seguridad que la ley exige implementar
  • Tratar datos con una finalidad distinta a la declarada
  • Ceder datos a terceros sin la base legal correspondiente
  • Dificultar o impedir el ejercicio de derechos ARCO

Ejemplo real: Una empresa de e-commerce sufre un hackeo y espera una semana antes de notificar a la Agencia mientras "evalúa el impacto". Resultado: infracción grave con multa de hasta $70 millones, más la exposición reputacional.

Infracciones gravísimas — hasta 10.000 UTM (~$700.000.000 CLP)

Las sanciones más severas se aplican cuando hay dolo o imprudencia grave:

  • Tratar datos sensibles (salud, biométricos, geolocalización, menores) sin base legal
  • Reutilizar datos para finalidades incompatibles con las originales de forma masiva
  • Provocar daño grave a los titulares
  • Reincidencia en infracciones graves

Ejemplo real: Una empresa de salud que vende bases de datos de pacientes a aseguradoras sin consentimiento explícito puede enfrentar multas de hasta $700 millones de pesos y —además— la suspensión del tratamiento de datos, lo que podría paralizar su operación.

Sanciones adicionales: más allá de la multa

El régimen sancionatorio no se limita al pago de UTM. La Agencia puede imponer medidas complementarias que son igualmente devastadoras:

Suspensión temporal del tratamiento

La Agencia puede ordenar que tu empresa deje de procesar datos personales hasta que se corrija la infracción. Para un negocio digital, esto puede ser literalmente paralizante.

Responsabilidad civil

Los titulares de datos afectados pueden interponer acciones civiles por daños y perjuicios de manera independiente a las sanciones administrativas.

Publicidad de las sanciones

La Agencia puede publicar las sanciones firmes en su sitio web. Para una empresa B2B, aparecer en esa lista puede costar más que la multa misma en términos de reputación y pérdida de clientes.

Inhabilitación de directivos

En casos extremos, los directivos responsables pueden ser inhabilitados para ejercer cargos de gestión de datos.

El factor agravante que pocos consideran: la reincidencia

La ley contempla que la reincidencia en infracciones graves se sanciona automáticamente como gravísima. Es decir, una empresa que ya fue sancionada y vuelve a incurrir en la misma conducta enfrenta multas hasta 10 veces mayores.

Factores que la Agencia considera para calcular la multa

No toda infracción resulta en la multa máxima. La Agencia ponderará:

  • Intencionalidad o negligencia del infractor
  • Número de titulares afectados (más afectados = multa mayor)
  • Tipo de datos involucrados (sensibles ponderan más)
  • Beneficio económico obtenido por la infracción
  • Daño causado a los titulares
  • Grado de cooperación durante la investigación
  • Antecedentes de cumplimiento de la empresa

Este último punto es especialmente importante: las empresas que demuestren que tenían programas de cumplimiento activos, aunque hayan cometido un error, reciben trato preferencial.

¿Qué medidas de mitigación reconoce la ley?

La Ley 21.719 permite reducir las multas si la empresa:

  1. Adopta medidas correctivas antes de que la resolución quede firme
  2. Coopera activamente con la investigación de la Agencia
  3. Tiene un programa de cumplimiento documentado y operativo
  4. Notifica voluntariamente la infracción antes de ser detectada

Este último punto crea un incentivo directo para que las empresas reporten brechas proactivamente: una notificación dentro de las 72 horas, aunque sea incompleta, es mucho mejor que ser descubierto semanas después.

Comparación con multas RGPD en Europa

Para dimensionar la escala, el RGPD europeo establece multas de hasta 20 millones de euros o el 4% de la facturación global anual. La Ley 21.719 chilena es más moderada en sus montos máximos absolutos, pero igual de severa en su aplicación proporcional para empresas de menor tamaño.

El costo real del incumplimiento: más que las multas

Los estudios del sector muestran que el costo total de una brecha de datos incluye:

| Componente | Costo estimado | |-----------|---------------| | Investigación forense | $5M–$20M CLP | | Notificaciones a afectados | $2M–$10M CLP | | Relaciones públicas de crisis | $10M–$50M CLP | | Multas regulatorias | hasta $700M CLP | | Litigios civiles | variable | | Pérdida de clientes | 20%–30% de la base |

El costo de la prevención —implementar un programa de cumplimiento como Askesis— es una fracción de cualquiera de estos valores.

Conclusión: el cumplimiento es inversión, no gasto

Muchas empresas tratan el cumplimiento de la Ley 21.719 como un trámite burocrático que genera costos sin retorno. El análisis es equivocado: el cumplimiento es una póliza de seguro contra multas millonarias, pérdida de reputación y suspensión de operaciones.

¿Cuánto tiempo tiene tu empresa antes de que la Agencia empiece a fiscalizar? Menos del que crees.

Evalúa tu brecha de cumplimiento hoy con el análisis gratuito de Askesis y descubre qué riesgos está asumiendo tu empresa sin saberlo.

Temas relacionados:

multas ley 21719multas ley protección datos chilesanciones ley 21719cuánto cuesta incumplir ley protección datos chile

¿Quieres saber qué tan preparada está tu empresa?

Realiza el análisis de brecha Ley 21.719 gratuito de Askesis y obtén un diagnóstico en menos de 10 minutos.

Hacer el análisis gratis
Volver al blog