Ley de protección de datos 2026: qué debe hacer tu PyME antes de diciembre
Tienes datos de tus clientes. Y desde diciembre, eso viene con reglas.
Piensa en la información que manejas todos los días. Nombres, RUTs, teléfonos, correos, direcciones de despacho. Tal vez está en un cuaderno detrás del mesón. Tal vez en una planilla Excel que vive en el escritorio de tu computador. Tal vez en tu lista de contactos de WhatsApp, sin más orden que el orden en que fueron llegando.
Esa información tiene nombre legal: datos personales. Y a partir del 1 de diciembre de 2026, cómo los recopilas, almacenas y usas dejará de ser un asunto informal. Será una obligación regulada por ley.
Y no, ser una PyME no te deja fuera. Si manejas datos de clientes, empleados o proveedores —y todos los negocios lo hacen—, la Ley 21.719 te aplica.
¿Qué es la Ley 21.719 en simple?
Es la nueva ley de protección de datos personales en Chile. Fue aprobada en 2024 y entra en vigencia el 1 de diciembre de 2026. Es similar al RGPD europeo (la ley de privacidad que seguramente has visto mencionada en sitios web que te piden aceptar cookies).
En términos concretos, la ley establece reglas para cualquier persona u organización que recopile, almacene, use o comparta datos personales de otras personas. Eso incluye a empresas grandes, pero también a almacenes, talleres, peluquerías, tiendas online, profesionales independientes y cualquier PyME.
Además, la ley crea la Agencia de Protección de Datos Personales, un organismo autónomo que se encargará de fiscalizar el cumplimiento, recibir reclamos de ciudadanos y aplicar sanciones cuando corresponda.
En resumen: si recopilas información de otras personas para operar tu negocio, ahora hay reglas claras sobre cómo debes hacerlo. Y hay una entidad que va a verificar que las cumplas.
¿Qué cuenta como “dato personal” en tu negocio?
No necesitas ser un banco ni una clínica para manejar datos personales. Basta con tener clientes. Mira esta tabla y piensa en tu día a día:
| Dato | ¿Es dato personal? | Ejemplo en tu negocio |
|---|---|---|
| Nombre del cliente | Sí | Libreta de clientes, facturas |
| RUT | Sí | Facturas emitidas, boletas |
| Teléfono / WhatsApp | Sí | Lista de contactos, grupos de clientes |
| Sí | Mailing de promociones, cotizaciones | |
| Dirección | Sí | Despachos a domicilio, guías de despacho |
| Historial de compras | Sí | Registro de ventas, sistema de puntos |
Cada fila de esa tabla es información que probablemente ya manejas. Y cada una está protegida por la nueva ley.
No importa si ese dato está en un software, en una planilla, en un cuaderno o en tu memoria. Si lo registraste en algún lado, estás tratando datos personales.
Lo que debes hacer: 5 obligaciones concretas para PyMEs
La ley tiene muchos artículos, pero para una PyME el cumplimiento se resume en cinco puntos clave:
a) Informar qué datos recopilas y para qué
Tus clientes tienen derecho a saber qué información guardas de ellos y con qué propósito. No necesitas un documento de 20 páginas. Basta con una política de privacidad simple que explique: qué datos recopilas, para qué los usas y cómo los proteges.
b) Tener una base legítima para tratar los datos
La ley establece varias bases de licitud para el tratamiento de datos personales (Art. 12 y 13). No todo requiere consentimiento — hay otras bases legítimas:
- Consentimiento del titular (Art. 12): Debe ser libre, informado, específico e inequívoco. Puede ser una declaración verbal, escrita o por medio electrónico. Para datos comunes, basta con que el cliente diga “sí” de forma clara, pero debes poder demostrarlo.
- Obligación legal (Art. 13 letra b): Si necesitas los datos para cumplir una ley (como emitir boletas o facturas ante el SII), no necesitas consentimiento adicional.
- Ejecución de un contrato (Art. 13 letra c): Si necesitas la dirección del cliente para un despacho, es parte del servicio contratado.
- Interés legítimo (Art. 13 letra d): Por ejemplo, llevar un historial de compras para tu gestión interna.
Para datos sensibles (origen étnico, salud, orientación sexual, datos biométricos, entre otros), la ley exige un estándar más alto: consentimiento expreso (Art. 16). Una PyME típica rara vez maneja datos sensibles, pero si lo haces, las reglas son significativamente más estrictas y las multas por incumplimiento son gravísimas (hasta 20.000 UTM).
Ejemplo práctico: Si agregas a un cliente a un grupo de WhatsApp para enviarle ofertas, bajo la nueva ley necesitas que esa persona haya aceptado recibir esos mensajes. Agregarlo sin preguntar ya no es un descuido: es una infracción. El silencio no es consentimiento.
c) Permitir que los clientes ejerzan sus derechos
La ley establece seis derechos para los titulares de datos (conocidos como derechos ARCOP). En la práctica, esto significa que cualquier cliente puede pedirte:
- Acceso: Ver qué datos tienes de él.
- Rectificación: Corregir información incorrecta o desactualizada.
- Cancelación/Supresión: Eliminar sus datos si ya no quiere que los tengas.
- Oposición: Oponerse a que uses su información para ciertos fines (como marketing).
- Bloqueo: Suspender temporalmente el tratamiento de sus datos mientras se resuelve otra solicitud.
- Portabilidad: Solicitar que transfieras sus datos a otro responsable en un formato estructurado.
Y tú estás obligado a responder dentro de 30 días corridos desde la solicitud, con posibilidad de prórroga por otros 30 días si la complejidad lo justifica.
d) Proteger la información
No basta con tener los datos. Tienes que cuidarlos. Esto significa que dejar un cuaderno con nombres, RUTs y teléfonos al alcance de cualquiera es un riesgo que ahora tiene consecuencias legales. Lo mismo aplica para planillas Excel sin contraseña guardadas en un pendrive o compartidas por correo sin ninguna protección.
La ley te exige tomar medidas de seguridad proporcionales al tipo de datos que manejas. Para una PyME, esto no significa instalar un firewall empresarial. Significa, como mínimo, contraseñas, acceso restringido y respaldos.
e) Notificar si hay una brecha de seguridad
Si alguien accede a los datos de tus clientes sin autorización —te hackean el correo, se pierde un computador con información, alguien roba la libreta de clientes—, debes notificar a la Agencia de Protección de Datos Personales por los medios más rápidos posibles y sin dilaciones indebidas (Art. 14 quinquies). Si la brecha involucra datos sensibles, datos de menores de 14 años o datos financieros, también debes notificar a los titulares afectados. No notificar una brecha constituye una infracción grave (multa de hasta 10.000 UTM).
El primer año: advertencias, no multas (pero no te relajes)
Hay una buena noticia para las PyMEs: durante los primeros 12 meses de vigencia (diciembre 2026 a diciembre 2027), para empresas calificadas como de menor tamaño (según la Ley 20.416), la Agencia podrá aplicar como sanción solo una amonestación por escrito en caso de incumplimiento, en lugar de multas.
Esto no significa que puedas ignorar la ley. Significa que tienes un año de margen para adaptarte, un año en el que puedes corregir el rumbo sin enfrentar multas económicas. Pero ojo: es una facultad de la Agencia, no una garantía absoluta. La intención legislativa es dar espacio para adaptarse, pero la Agencia tiene la última palabra.
Pero a partir de diciembre de 2027, las multas son reales:
| Categoría de infracción | Multa máxima |
|---|---|
| Infracciones leves | Amonestación escrita o multa de hasta 5.000 UTM (~$330.000.000) |
| Infracciones graves | Hasta 10.000 UTM (~$660.000.000) |
| Infracciones gravísimas | Hasta 20.000 UTM (~$1.320.000.000) |
Esos números no son un error. Las infracciones gravísimas —como tratar datos sensibles sin consentimiento o no notificar una brecha de seguridad— pueden costar hasta 20.000 UTM. Es una cifra que puede cerrar cualquier negocio.
Consejo: No esperes hasta noviembre de 2026 para empezar. Si empiezas ahora, llegas con tiempo de sobra y aprovechas el primer año para ajustar lo que haga falta.
Lo que la mayoría de las PyMEs está haciendo mal
Si no sabías que esta ley existía, no estás solo. La mayoría de las PyMEs en Chile todavía no está al tanto, y muchas están cometiendo prácticas que a partir de diciembre serán problemáticas:
-
“Soy muy chico, esto no me aplica”: Falso. La ley aplica a toda persona natural o jurídica que trate datos personales, sin importar el tamaño del negocio.
-
Datos de clientes en Excel sin contraseña: Cualquiera que acceda a ese computador puede ver nombres, RUTs y teléfonos. Eso es una brecha de seguridad esperando a pasar. Si todavía gestionas tu negocio con planillas sin protección, este es otro motivo para cambiar.
-
WhatsApp masivo sin consentimiento: Agregar clientes a grupos o enviar mensajes promocionales sin que hayan aceptado recibirlos será una infracción clara bajo la nueva ley.
-
Compartir listas de clientes con terceros: Si le pasas tu base de datos a otro proveedor, a un vendedor o a un socio sin que tus clientes lo sepan, estás transfiriendo datos personales sin autorización.
-
No tener ningún registro de qué datos manejas: Si no sabes exactamente qué información tienes, de quién, y dónde está almacenada, no puedes protegerla ni cumplir con la ley.
Cómo empezar a prepararte ahora (checklist práctico)
No necesitas contratar un abogado ni un consultor de ciberseguridad para dar los primeros pasos. Esto es lo que puedes hacer hoy:
1. Audita qué datos tienes Revisa todos los lugares donde guardas información de clientes: cuadernos, planillas, correo electrónico, WhatsApp, software. Haz una lista. Si tienes tus registros desordenados, este es el momento de poner orden.
2. Decide qué datos realmente necesitas ¿Necesitas la dirección de un cliente que nunca recibe despacho? ¿Necesitas el RUT de alguien que solo te compra con boleta? Si no lo necesitas, no lo guardes. Menos datos = menos riesgo.
3. Protege la información que sí necesitas Como mínimo: contraseñas en tus archivos y equipos, acceso restringido solo a quienes lo necesiten, respaldos periódicos. Si estás usando un cuaderno o un Excel suelto, considera migrar a un software que maneje los datos de forma segura.
4. Redacta una política de privacidad simple No tiene que ser un documento legal de 15 páginas. Puede ser un párrafo claro que diga: qué datos recopilas, para qué los usas, cómo los proteges y cómo un cliente puede pedir que los elimines.
5. Implementa un mecanismo de consentimiento Para tu lista de WhatsApp, para tu mailing, para cualquier uso de datos que no sea estrictamente necesario para entregar el producto o servicio. Puede ser tan simple como un mensaje: “¿Te puedo enviar ofertas por WhatsApp?” y que la persona diga que sí.
6. Usa herramientas que te ayuden a cumplir Un software de gestión con acceso controlado, respaldos automáticos y registro de operaciones te pone en una posición mucho mejor que carpetas en el escritorio o libretas detrás de la caja. No se trata de tecnología por tecnología, sino de tener la información donde corresponde.
Protege los datos de tus clientes con CERTAIN
CERTAIN almacena la información de tus clientes de forma segura, con acceso controlado y respaldos automáticos. No es un cuaderno que cualquiera puede abrir ni un Excel que se pierde en un pendrive.
Cuando la ley entre en vigencia, tú ya vas a estar cumpliendo. Contáctanos y te mostramos cómo.