Derechos ARCO en Chile bajo Ley 21.719: Guía Completa 2026

Resumen. La Ley N° 21.719 sobre Protección de Datos Personales entra en plena vigencia el 1 de diciembre de 2026. Crea la Agencia de Protección de Datos Personales (APDP), amplía los derechos del titular —acceso, rectificación, cancelación, oposición y portabilidad—, exige notificar las brechas según el artículo 14 sexies, y obliga a designar un Delegado de Protección de Datos en las organizaciones que tratan grandes volúmenes. Las multas alcanzan hasta 20.000 UTM o el 4 % de los ingresos anuales de la empresa, la cifra que sea mayor. Las Pymes tienen un período de gracia de doce meses —solo amonestaciones escritas— hasta el 1 de diciembre de 2027. Esta guía explica qué exige la ley, cómo prepararse y cómo gestionar las solicitudes ARCO en la práctica.

Qué es la Ley 21.719

La Ley N° 21.719 sobre Protección de Datos Personales reescribe el régimen chileno de privacidad. Reemplaza un marco que regía desde 1999 (Ley 19.628) y que dejó de servir para la economía digital. La nueva ley alinea a Chile con los estándares internacionales —en particular el Reglamento General de Protección de Datos (GDPR) de la Unión Europea—, pero con adaptaciones locales.

Tres cambios estructurales definen la reforma:

  1. Crea una autoridad de control. La Agencia de Protección de Datos Personales (APDP) es una corporación autónoma de derecho público con un consejo de tres miembros: el Presidente los propone, el Senado los ratifica. Por estatuto, el consejo debía quedar designado el 1 de junio de 2026, seis meses antes de que comience a fiscalizar.
  2. Amplía los derechos del titular. A los clásicos derechos ARCO —acceso, rectificación, cancelación, oposición— suma la portabilidad, el derecho a no ser objeto de decisiones automatizadas con efectos significativos y el derecho a recibir información clara sobre el tratamiento.
  3. Introduce sanciones reales. Para infracciones graves, multas administrativas de hasta 20.000 UTM o el 4 % de los ingresos anuales de la organización, la cifra que sea mayor. Para incumplimientos reiterados, inhabilitaciones temporales para tratar datos.

Cuándo fiscaliza la APDP

La vigencia plena de la Ley 21.719 comienza el 1 de diciembre de 2026. Desde esa fecha, la APDP comienza a fiscalizar y sancionar. La ley contempla un período de gracia de 12 meses para Pymes (categoría definida por la propia ley en función de ingresos y número de trabajadores), durante el cual las infracciones se sancionan únicamente con amonestaciones escritas. Ese período termina el 1 de diciembre de 2027.

Para empresas grandes, la fiscalización plena comienza desde diciembre 2026.

La curva GDPR europea (vigencia 2018) es ilustrativa de qué esperar:

  • Año 1 (2018–2019): ~16 multas, €56M acumulados (90% concentrados en un solo caso, Google/CNIL). Las autoridades estaban en proceso de organización; las multas se aplicaron principalmente a actores grandes.
  • Año 3 (2021): ~266 multas, más de €1.000M acumulados. Caso Amazon: €746M.
  • Hasta 2022: las autoridades europeas no fueron mayoritariamente contra Pymes; el foco estuvo en actores grandes y sectores sensibles.
  • El mercado de servicios GDPR creció a 22–24% CAGR, con el segmento Pyme creciendo más rápido — porque cuando llegó la fiscalización ya estaban preparados.

Aplicado a Chile: 2026–2027 es la ventana de preparación, no de pánico. Las organizaciones que llegan al 1 de diciembre de 2026 con el régimen implementado tienen ventaja estructural sobre las que reaccionan después del primer caso público.

Qué son los derechos ARCO+

Los derechos ARCO+ son las facultades que la Ley 21.719 reconoce al titular de los datos para ejercer control sobre el tratamiento que de ellos hagan terceros. Son cinco derechos principales más algunas extensiones:

A — Acceso

El titular tiene derecho a obtener confirmación de si se están tratando sus datos personales y, en caso afirmativo, acceder a esos datos y a información sobre el tratamiento (finalidades, categorías, destinatarios, plazo de conservación, origen de los datos si no fueron obtenidos del propio titular).

R — Rectificación

El titular puede solicitar la corrección de datos inexactos o la complementación de datos incompletos, incluyendo la posibilidad de proporcionar una declaración adicional.

C — Cancelación (Supresión)

El titular puede solicitar la eliminación de sus datos personales cuando: ya no sean necesarios para la finalidad para la que fueron recogidos; el titular retire el consentimiento (cuando ese fue la base legal del tratamiento); los datos hayan sido tratados ilícitamente; o exista una obligación legal de suprimirlos.

O — Oposición

El titular puede oponerse al tratamiento de sus datos por razones relacionadas con su situación particular, incluyendo el tratamiento con fines de marketing directo y la elaboración de perfiles asociada a ese marketing.

+ — Extensiones

La Ley 21.719 agrega además:

  • Derecho de portabilidad: recibir los datos personales en formato estructurado, comúnmente usado y de lectura mecánica, y transmitirlos a otro responsable.
  • Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos o significativos similares (con excepciones reglamentadas).
  • Derecho de información clara y accesible sobre el tratamiento, las finalidades, las bases legales, los destinatarios y los plazos.

Plazos para responder solicitudes ARCO

Las solicitudes ARCO deben ser respondidas en plazo máximo de 30 días corridos desde la recepción, prorrogable por otros 30 días en casos especialmente complejos (con notificación al titular del motivo de la prórroga).

El responsable del tratamiento debe:

  1. Identificar al titular que ejerce el derecho (verificación de identidad, sin que esa verificación se transforme en barrera abusiva).
  2. Analizar la solicitud y determinar si procede, si procede parcialmente, o si existe alguna causa de rechazo legalmente admisible.
  3. Responder por escrito con razones, en lenguaje claro y accesible.
  4. Ejecutar la acción (entrega de datos, corrección, supresión, etc.) cuando proceda.
  5. Registrar la solicitud y su respuesta para auditoría posterior.

Si el responsable no responde en el plazo, o responde negativamente, el titular puede reclamar ante la APDP. El reclamo activa un procedimiento administrativo que puede derivar en sanciones.

Notificación de brechas de seguridad (art. 14 sexies)

La Ley 21.719 introduce la obligación de notificar las brechas de seguridad de datos personales a la APDP y, en ciertos casos, a los titulares afectados.

El umbral, el contenido y el plazo de la notificación están detallados en el artículo 14 sexies del texto refundido tras la reforma. En términos generales:

  • Notificación a APDP: cuando la brecha tenga probabilidad razonable de generar riesgo significativo para los derechos del titular. Plazo: el menor posible tras tomar conocimiento, sin exceder un plazo definido (típicamente 72 horas en regímenes análogos).
  • Notificación al titular: cuando la brecha tenga probabilidad razonable de generar riesgo alto para sus derechos. Comunicación directa, en lenguaje claro, indicando la naturaleza de la brecha, los datos comprometidos, las medidas adoptadas y las recomendaciones para el titular.

No toda brecha requiere notificación — el criterio es la magnitud del riesgo. Pero el responsable debe registrar todas las brechas internamente, las notifique o no, para análisis posterior y eventual revisión por la APDP.

Delegado de Protección de Datos (DPO)

La Ley 21.719 obliga a designar un Delegado de Protección de Datos en ciertos casos. La obligación aplica principalmente a:

  • Organismos públicos.
  • Organizaciones cuyas actividades principales consistan en operaciones de tratamiento que requieran monitoreo regular y sistemático del titular a gran escala.
  • Organizaciones que traten a gran escala categorías especiales de datos personales (salud, biométricos, genéticos, origen étnico, opiniones políticas, convicciones religiosas, vida sexual, entre otras).

El DPO debe tener:

  • Conocimientos especializados del derecho y la práctica de protección de datos.
  • Autonomía funcional: no recibir instrucciones sobre el ejercicio de sus funciones.
  • Reporte directo al máximo nivel de la organización.
  • Recursos suficientes para ejercer sus funciones.

El DPO puede ser interno o externo (servicio contratado). En Pymes que no alcancen el umbral de obligatoriedad, designar un DPO sigue siendo una buena práctica.

Multas y sanciones

La APDP puede aplicar multas administrativas escaladas:

  • Infracciones leves: hasta 5.000 UTM.
  • Infracciones graves: hasta 10.000 UTM.
  • Infracciones gravísimas: hasta 20.000 UTM o 4% de los ingresos anuales de la organización, la cifra que sea mayor.

A esto se suman sanciones accesorias: prohibición temporal de tratar datos, publicación de la resolución, inhabilitaciones específicas.

Para Pymes, durante los primeros 12 meses (hasta el 1 de diciembre de 2027) las infracciones se sancionan solo con amonestación escrita. El período de gracia no exime del cumplimiento; exime de la sanción pecuniaria.

Cómo prepararse: lista práctica

Una organización chilena que aún no ha actualizado su régimen de protección de datos al estándar de la Ley 21.719 debe priorizar, en este orden:

  1. Mapa de datos personales (Data Inventory / RoPA). Identificar qué datos personales se tratan, con qué finalidad, en qué bases legales, dónde se almacenan, con quién se comparten, por cuánto tiempo se conservan.
  2. Evaluación de riesgos sobre los datos. Para tratamientos de alto riesgo, evaluación de impacto en la protección de datos (PIA / DPIA).
  3. Política de privacidad y avisos al titular. Documentación pública, en lenguaje claro, con todos los elementos exigidos por el artículo 14 ter.
  4. Mecanismo de gestión de solicitudes ARCO. Canal específico para que titulares ejerzan sus derechos. Plazos automatizados, plantillas de respuesta, registro de solicitudes y resoluciones.
  5. Procedimiento de gestión de brechas. Detección, evaluación de riesgo, notificación a APDP y titular si corresponde, registro interno.
  6. Designación de DPO (si la organización está en el umbral) con autonomía y recursos documentados.
  7. Capacitación interna al personal sobre obligaciones de protección de datos.
  8. Revisión de contratos con encargados del tratamiento (Data Processing Agreements / DPA) — todo proveedor que trate datos personales por cuenta de la organización debe tener cláusulas conformes.

Qué evaluar al elegir software para gestionar ARCO

Una organización chilena que evalúa software para gestionar derechos ARCO debería verificar:

  • Captura y verificación de identidad del titular sin imponer barreras desproporcionadas.
  • Categorización de la solicitud (acceso / rectificación / cancelación / oposición / portabilidad / información).
  • Plantillas de respuesta preconfiguradas por tipo de derecho.
  • Reloj automático de 30 días desde la recepción, con alertas escaladas.
  • Registro inmutable de la solicitud y su resolución para auditoría APDP.
  • Comunicación segura con el titular (canal cifrado, autenticación si entrega de datos).
  • Cobertura de RoPA / Data Mapping para sustentar las respuestas con información completa.
  • Manejo de brechas: ¿el sistema permite registrar brechas y generar notificación APDP cuando aplica?
  • Designación de DPO dentro del sistema: ¿hay un rol específico con autonomía?

La conexión ARCO – Canal de Denuncias

Una organización que ya cuenta con un canal de denuncias funcional (por Ley Karin o Ley 21.595) tiene gran parte de la infraestructura técnica para gestionar solicitudes ARCO: recepción confidencial, trazabilidad, plazos automatizados, evidencia firmada. La diferencia está en las categorías de hecho gestionadas y las plantillas de respuesta.

Por eso el bundle Canal + ARCO de Janus combina ambos módulos sobre el mismo substrato técnico — el canal de denuncias y el canal ARCO comparten workflow, urgencia, firma de outcomes y trazabilidad. La organización paga una sola plataforma y cubre dos olas regulatorias (Ley Karin desde 2024, Ley 21.719 desde diciembre 2026).

Preguntas frecuentes

¿Cuándo entra en vigencia la Ley 21.719? El 1 de diciembre de 2026. Las Pymes tienen un período de gracia hasta el 1 de diciembre de 2027 durante el cual las infracciones se sancionan solo con amonestación escrita.

¿Qué son los derechos ARCO? Acceso, Rectificación, Cancelación y Oposición — las cuatro facultades clásicas del titular sobre sus datos personales. La Ley 21.719 los amplía con portabilidad, derecho a no ser objeto de decisiones automatizadas, y derecho de información.

¿Cuál es el plazo para responder una solicitud ARCO? 30 días corridos desde la recepción, prorrogable por otros 30 días en casos complejos con notificación al titular del motivo.

¿Cuál es la multa máxima por incumplir la Ley 21.719? Para infracciones gravísimas, hasta 20.000 UTM o 4% de los ingresos anuales de la organización (la cifra que sea mayor).

¿Toda empresa debe designar un DPO? No. La obligación aplica principalmente a organismos públicos, organizaciones que realizan monitoreo regular y sistemático a gran escala, y organizaciones que tratan a gran escala categorías especiales de datos. Para Pymes que no alcancen el umbral, designar un DPO es buena práctica pero no obligación legal.

¿La nueva Ley 21.719 deroga la antigua Ley 19.628? Reemplaza el régimen sustantivo de la Ley 19.628 y crea un nuevo cuerpo regulatorio completo, con autoridad de control (APDP) y sanciones reales. La Ley 19.628 había quedado obsoleta para la economía digital chilena.

¿Cómo se notifica una brecha de seguridad de datos personales? La notificación a la APDP procede cuando la brecha tenga probabilidad razonable de riesgo significativo. La notificación al titular procede cuando el riesgo sea alto. Los detalles operativos están en el artículo 14 sexies de la ley.


Fuentes citadas

  • BCN — Ley N° 21.719 sobre Protección de Datos Personales (Diario Oficial).
  • APDP — comunicaciones públicas durante 2025–2026 sobre cronograma de instalación.
  • Comisión Europea — datos de fiscalización GDPR 2018–2024 (referencia comparativa).

Este artículo es de orientación general y no constituye asesoría legal. Las decisiones específicas sobre implementación del régimen de protección de datos bajo Ley 21.719 requieren evaluación profesional caso a caso. Para una conversación sobre los requerimientos concretos de su organización, contáctenos o revise nuestra solución específica para protección de datos.

Última revisión: 6 de junio de 2026 · Equipo Legal Anguita Osorio Abogados