Nuevo módulo · GRC · Ley 21.719 de protección de datos

Cumple la Ley 21.719
antes de que muerda.

El 1 de diciembre de 2026 la nueva ley de protección de datos entra en plena vigencia, con una Agencia que fiscaliza evidencia — no buenas intenciones. BSHARK GRC convierte la ley en flujos de trabajo: riesgos, consentimientos, derechos, brechas y evidencia de cumplimiento en un solo lugar.

Vigencia plena 01 · 12 · 2026
días
horas
min
seg
Diagnóstico gratuito Qué exige la ley
Alineado a GDPR Evidencia lista para fiscalización Integrado a tu CRM y ERP
La ley en números

La 19.628 era declarativa. La 21.719 tiene dientes.

0 UTM
Multa máxima por infracción gravísima (~$1.400 millones CLP)
0%
De los ingresos anuales en caso de reincidencia gravísima
0 hrs
Estándar para notificar brechas de seguridad a la Agencia
0 días
Plazo máximo para responder solicitudes de derechos de titulares
Lo que exige · lo que resuelve

Seis obligaciones. Un módulo que las opera.

La Agencia de Protección de Datos no fiscaliza políticas en PDF: fiscaliza logs, registros y plazos cumplidos. Cada obligación de la ley es un flujo de trabajo en BSHARK GRC.

Art. consentimiento

Consentimiento y bases de licitud

Solo puedes tratar datos con consentimiento explícito u otra base legal. GRC registra qué base ampara cada tratamiento, con fecha, versión del aviso y prueba del opt-in — conectado a los formularios de tu CRM.

  • Bóveda de consentimientos con trazabilidad
  • Avisos de privacidad versionados
  • Revocación en un clic, propagada a toda la suite
Ver gestión de consentimiento
Registro de tratamientos

ROPA siempre al día

La ley exige documentar cómo y para qué usas datos personales. GRC mantiene el registro de actividades de tratamiento vivo: finalidad, base legal, categorías de datos, destinatarios y plazos de conservación.

  • Inventario de datos por sistema y proceso
  • Flujos de datos con terceros y encargados
  • Export listo para presentar a la Agencia
Ver registro de tratamientos
Derechos ARCOP

Derechos con SLA de 30 días

Acceso, rectificación, cancelación, oposición, portabilidad y bloqueo: cada solicitud entra a un flujo con plazo, responsable y evidencia de respuesta.

Ver flujos de derechos
Brechas de seguridad

Incidentes contra el reloj

Ante una vulneración, el reloj corre. GRC activa el protocolo: severidad, notificación a la Agencia, aviso a titulares si hay alto riesgo, y bitácora completa.

Ver gestión de brechas
EIPD / DPIA

Evaluaciones de impacto

Para tratamientos de alto riesgo — perfilamiento, datos sensibles, monitoreo masivo — GRC guía la evaluación de impacto con plantillas y aprobaciones.

Ver evaluaciones
DPO y gobernanza

Tu Delegado de Protección de Datos, con tablero propio

La ley contempla la figura del DPO para tratamientos significativos. GRC le da un puesto de mando: riesgos abiertos, solicitudes en plazo, brechas activas, capacitaciones y actas — todo auditable.

  • Matriz de riesgos viva, clasificada por gravedad
  • Tareas y vencimientos regulatorios
Ver tablero DPO
Accountability

Bóveda de evidencia para fiscalización

Cuando la Agencia golpee la puerta, no buscarás correos: políticas versionadas, logs de acceso, registros datados, EIPDs aprobadas y certificados de capacitación, listos para exportar.

  • Evidencia datada e inmutable
  • Base para certificar tu Modelo de Prevención (atenuante legal)
Ver bóveda de evidencia
El costo de no hacer nada

Tres niveles de infracción. Ningún lugar donde esconderse.

El régimen sancionatorio clasifica las infracciones en leves, graves y gravísimas, con multas en UTM y agravantes por reincidencia.

Infracciones leves
hasta 5.000 UTM · amonestación o multa
  • Incumplimientos formales y deberes de información
  • Faltas no clasificadas como graves o gravísimas
Infracciones graves
hasta 10.000 UTM
  • Tratar datos sin consentimiento ni base legal
  • Usar datos para fines distintos a los recolectados
  • Impedir u obstaculizar el ejercicio de derechos
Infracciones gravísimas
hasta 20.000 UTM · reincidencia: hasta 4% de ingresos anuales o multa triplicada
  • Tratamiento fraudulento de datos personales
  • Vulnerar la confidencialidad de datos sensibles
  • Transferencias internacionales ilícitas a sabiendas
Las sanciones se publican en el Registro Nacional de Sanciones y Cumplimiento durante 5 años — visible para clientes, bancos y licitaciones. Las empresas de menor tamaño (Ley 20.416) reciben amonestación escrita en su primera infracción durante el primer año. Un Modelo de Prevención de Infracciones certificado opera como atenuante.
Ruta de cumplimiento

De cero a fiscalizable en cuatro etapas.

Nuestro equipo implementa GRC con una metodología probada — sin consultorías eternas ni PDFs que nadie opera.

01
01 · Diagnóstico

Mapea tus datos y tu brecha legal

Inventario de tratamientos, sistemas y flujos con terceros. Sales con tu matriz de riesgos inicial y un plan priorizado.

02
02 · Implementación

Activa controles y flujos

ROPA, consentimientos, flujos ARCOP, protocolo de brechas y EIPD configurados sobre tu operación real, no en abstracto.

03
03 · Operación

Genera evidencia todos los días

Cada solicitud, brecha y revisión queda datada y auditable. El tablero del DPO muestra el estado de cumplimiento en vivo.

04
04 · Certificación

Certifica tu Modelo de Prevención

Te acompañamos a certificar el MPI ante la Agencia: el atenuante que puede marcar la diferencia si algo sale mal.

Preguntas frecuentes

Lo que todos preguntan antes del 1 de diciembre.

A toda organización pública o privada que trate datos personales en Chile — clientes, colaboradores o proveedores — sin importar su tamaño. Si usas un CRM, formularios web o sistemas de soporte, te aplica. Las PYMEs tienen una ventana de amonestación (no multa) en su primera infracción durante el primer año.
La ley se publicó el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026. Desde esa fecha la Agencia de Protección de Datos Personales puede fiscalizar y sancionar. Una implementación seria toma entre 6 y 12 meses: el momento de partir es ahora.
Sí. La 21.719 está fuertemente alineada con el GDPR europeo: puedes reutilizar políticas, registros de tratamiento y procedimientos. GRC te ayuda a adaptarlos a las particularidades chilenas (UTM, Agencia local, Registro Nacional de Sanciones, plazos propios).
Debes notificar a la Agencia sin dilación indebida — el estándar internacional al que se alinea la ley es 72 horas — y avisar a los titulares afectados cuando exista alto riesgo para sus derechos. GRC activa el protocolo completo con bitácora, plantillas de notificación y reloj visible para el equipo.
La ley contempla la figura del DPO para organizaciones con tratamientos de alto riesgo o de gran volumen, y para organismos públicos. Aunque no estés obligado, designar un responsable con herramientas reales es la forma más simple de demostrar accountability ante la Agencia.
Nativamente. Los consentimientos se capturan desde los formularios del CRM, las solicitudes de derechos pueden entrar por el portal de clientes o el Service Manager, y la evidencia se genera sobre los datos reales de tu ERP. Un solo login, una sola fuente de verdad.

Este contenido es informativo y no constituye asesoría legal. Los montos en UTM y pesos son referenciales según el valor vigente al momento de la infracción.

Quedan días

El reloj de la Agencia ya corre. ¿Y el tuyo?

Agenda un diagnóstico de 30 minutos: revisamos tus tratamientos de datos, identificamos tu brecha frente a la Ley 21.719 y te entregamos una ruta priorizada.

Hablar por WhatsApp Hacer el diagnóstico