¿Qué es la Ley 21.719 de Chile?

La Ley 21.719 modifica la Ley 19.628 sobre Protección de la Vida Privada y establece nuevos estándares para el tratamiento de datos personales en Chile, alineándose con regulaciones internacionales como el GDPR europeo. Todas las empresas que traten datos personales deben cumplir antes de diciembre de 2026.

¿Cuánto tiempo toma crear una política de datos con TratoDatos?

Con nuestro proceso guiado de 12 pasos, puedes crear tu política de tratamiento de datos personales en aproximadamente 30 minutos, sin necesidad de conocimientos legales previos.

¿Es válida legalmente la política generada por TratoDatos?

Sí, las políticas generadas por TratoDatos están 100% alineadas con los requerimientos de la Ley 21.719 de Chile. Sin embargo, recomendamos una revisión por un profesional legal para casos específicos o complejos.

¿En qué formatos puedo descargar mi política?

Puedes descargar tu política en formato PDF y Word (DOCX). El plan gratuito incluye PDF con marca de agua, mientras que los planes pagados ofrecen documentos sin marca de agua y exportación a Word.

Volver al blog

Multas reales7 min de lectura

9 multas absurdas del RGPD europeo que podrían pasar en Chile

Un policía que espió a su novia, una tienda que grabó la calle, una empresa que llamó 155 veces al mismo cliente. Las multas más insólitas del RGPD europeo — y por qué la Ley 21.719 hace que sean perfectamente posibles en Chile.

Cuando pensamos en multas de protección de datos, imaginamos a Meta pagando miles de millones. Pero la realidad europea tiene historias mucho más cercanas a tu día a día: vecinos multados por sus cámaras, empresas sancionadas por un Excel sin protección, personas naturales penalizadas por stalking digital.

La Ley 21.719 de Chile está modelada directamente sobre el RGPD europeo. Mismos principios, misma lógica, multas proporcionales. Lo que pasó en Europa va a pasar aquí. Estas son las historias más insólitas — y lo que significan para tu negocio.

€6.600M+

Total de multas RGPD desde 2018

2.800+

Sanciones emitidas en Europa

€50

La multa más baja registrada

👮

El policía que buscó a su futura esposa en la base de datos

Estonia €48

Un oficial de policía en Estonia usó la base de datos policial para buscar información personal sobre la mujer con la que estaba empezando a salir. No fue un hackeo ni una operación sofisticada — solo curiosidad personal usando el acceso que tenía por su cargo.

¿La multa? Solo €48. Pero el caso sentó un precedente importante: el acceso no autorizado a datos personales cuenta como infracción aunque no hagas nada "malo" con la información. El solo hecho de mirar datos sin justificación legítima es una violación.

🇨🇱 En Chile: La Ley 21.719 sanciona el tratamiento de datos sin base jurídica. Si un empleado tuyo accede a datos de clientes por curiosidad personal — sin relación con sus funciones — tu empresa podría ser responsable.

👔

H&M: espionaje de pasillo convertido en perfiles de empleados

Alemania €35.300.000

La cadena de ropa H&M llevaba años haciendo algo que muchas empresas podrían considerar "inofensivo": tras las vacaciones o ausencias por enfermedad, los supervisores tenían conversaciones informales con los empleados y anotaban detalles personales — problemas de salud, situaciones familiares, creencias religiosas, diagnósticos médicos.

Toda esta información se almacenaba en un drive compartido. Un día, un error técnico hizo que el drive fuera accesible para todos los empleados durante unas horas. La prensa se enteró, la autoridad investigó, y descubrieron años de perfiles secretos basados en chismes de pasillo. Resultado: €35,3 millones de multa.

🇨🇱 En Chile: Los datos de salud son "datos sensibles" bajo la Ley 21.719, con protección reforzada. Ese Excel de RRHH con notas sobre las enfermedades de los empleados que muchas empresas manejan informalmente podría ser una bomba de tiempo.

📞

La teleco que llamó 155 veces al mismo cliente en un mes

Italia €27.800.000

La empresa de telecomunicaciones italiana TIM realizó millones de llamadas de marketing sin consentimiento. Pero lo que hizo famoso el caso fue un detalle específico: una persona recibió 155 llamadas comerciales en un solo mes. A pesar de haber solicitado repetidamente que dejaran de contactarla.

La autoridad italiana determinó que TIM no tenía medidas técnicas ni organizativas adecuadas para gestionar el consentimiento de los usuarios. No bastaba con tener una política escrita — necesitaban sistemas que efectivamente respetaran las preferencias de cada persona.

🇨🇱 En Chile: El derecho de oposición bajo la Ley 21.719 permite a cualquier persona pedir que dejes de tratar sus datos para fines de marketing. Si ignoras esa solicitud, estás en infracción — y si la ignoras 155 veces, estás en un problema serio.

📹

El vecino multado por su cámara de seguridad

España €3.000

Un ciudadano español instaló cámaras de seguridad en su casa. Hasta ahí, todo legal. El problema: las cámaras grababan parte de la vereda pública y la propiedad del vecino. Al grabar espacios públicos, el ciudadano se convirtió automáticamente en un "responsable del tratamiento" bajo la ley — con todas las obligaciones que eso implica.

No solo fue multado por grabar donde no debía, sino también por no informar a las personas de que estaban siendo grabadas. Sin cartel, sin aviso, sin nada.

🇨🇱 En Chile: La videovigilancia en espacios públicos es un tema que la Ley 21.719 regula. Si tu negocio tiene cámaras que graban la calle o veredas, necesitas un aviso visible y justificación legal. Y sí, también aplica para timbres inteligentes tipo Ring.

🏥

El hospital donde 985 personas podían ver tu historial médico

Portugal €400.000

El Hospital Barreiro Montijo, cerca de Lisboa, tenía 985 cuentas de usuario con perfil de "médico" en su sistema — pero solo empleaba a 296 médicos. Técnicos, administrativos y personal sin justificación clínica tenían el mismo nivel de acceso a los historiales médicos de los pacientes.

No hubo una "filtración" en el sentido clásico. El problema fue sistémico: falta de control de accesos basado en roles. Si todos pueden ver todo, nadie está protegiendo nada.

🇨🇱 En Chile: La ley exige "medidas técnicas y organizativas" para proteger los datos. Un sistema donde cualquier empleado puede ver datos de clientes, pacientes o usuarios sin restricción por rol es exactamente el tipo de vulnerabilidad que la Agencia de Protección de Datos va a sancionar.

📊

Amazon: vigilar a los trabajadores segundo a segundo

Francia €32.000.000

Amazon France Logistique implementó un sistema de escáneres que registraba con exactitud la velocidad de trabajo de cada empleado de bodega: tiempo entre cada ítem escaneado, pausas, inactividad. Un nivel de vigilancia tan granular que la CNIL lo consideró una monitorización intrusiva y desproporcionada.

El argumento de Amazon fue la eficiencia operacional. Pero la autoridad francesa determinó que el impacto en la privacidad de los empleados era desproporcionado respecto al beneficio legítimo del empleador.

🇨🇱 En Chile: El principio de proporcionalidad de la Ley 21.719 exige que el tratamiento de datos sea adecuado y no excesivo. Si tu empresa usa software de monitoreo de empleados que graba pantallas, registra cada clic o mide tiempos al segundo, podrías estar cruzando la línea.

🛍️

La tienda que infirió enfermedades a partir de las compras

Reino Unido £1.480.000

La tienda por catálogo Easylife usaba el historial de compras de sus clientes para inferir condiciones médicas. Si alguien compraba ciertos productos, Easylife asumía que tenía una condición de salud específica y le enviaba marketing de productos relacionados. Sin consentimiento. Sin informar. Sin base legal para tratar datos de salud.

Además, realizaron más de 1,3 millones de llamadas de marketing predatorias. El ICO consideró que la falta de transparencia y las tácticas agresivas eran infracciones graves.

🇨🇱 En Chile: Inferir datos sensibles (salud, orientación política, religión) a partir de datos no-sensibles es igualmente un tratamiento de datos sensibles bajo la ley. Si tu algoritmo de recomendaciones deduce condiciones médicas a partir de patrones de compra, estás tratando datos sensibles — con todas las obligaciones que eso implica.

🎓

El colegio que expuso los datos de 35.000 estudiantes

Noruega €170.000

El municipio de Bergen, en Noruega, tenía archivos con las credenciales de acceso de 35.000 estudiantes y empleados almacenados de forma accesible para cualquiera. Un estudiante los descubrió. Sin autenticación multifactor, cualquier persona con las credenciales podía acceder a la plataforma educativa digital, que contenía trabajos escolares y evaluaciones docentes.

Lo peor: la autoridad noruega señaló que el municipio ya había sido advertido previamente — tanto por personas externas como por un denunciante interno — de que necesitaba mejorar su seguridad.

🇨🇱 En Chile: La ley agrava las sanciones cuando el responsable fue advertido previamente. Y cuando los afectados son menores de edad, la protección es aún más estricta. Colegios, universidades e instituciones educativas: esto les habla directamente.

💘

La persona que suplantó a alguien en Tinder con sus fotos

Irlanda Sanción personal

En Irlanda, una persona fue sancionada por tomar fotos de otra persona y usarlas para crear perfiles falsos en Tinder y WhatsApp, haciéndose pasar por ella. No fue una empresa ni una organización — fue un individuo.

El caso demostró que las leyes de protección de datos también aplican entre personas naturales cuando el uso de datos personales va más allá del ámbito doméstico o personal.

🇨🇱 En Chile: La Ley 21.719 aplica a toda persona natural o jurídica que trate datos personales fuera del ámbito puramente doméstico. Usar las fotos de alguien para crear perfiles falsos es un tratamiento ilícito de datos personales, con consecuencias legales reales.

• • •

¿Qué tienen en común todos estos casos?

Ninguno involucró hackers sofisticados ni conspiraciones corporativas. Fueron errores cotidianos: un empleado curioso, un Excel compartido sin protección, cámaras que graban un poco más de lo debido, llamadas de marketing sin control, falta de permisos diferenciados. Cosas que pasan todos los días en empresas chilenas.

La Ley 21.719 está diseñada con la misma lógica que el RGPD europeo. Los principios son los mismos: licitud, finalidad, proporcionalidad, seguridad, transparencia. Las multas pueden llegar hasta el 4% de los ingresos anuales o 20.000 UTM. Y la nueva Agencia de Protección de Datos Personales tendrá capacidad real de investigar y sancionar.

⚠️

El dato más incómodo

En Europa, España es el país que más sanciones ha emitido a PYMEs y pequeñas empresas. No son solo las Big Tech. La AEPD española ha multado a restaurantes, tiendas, clínicas dentales y comunidades de vecinos. La ley chilena se inspiró en buena parte en la experiencia española. Toma nota.

La buena noticia

Todos estos casos eran evitables. Con medidas simples: un aviso de privacidad claro, control de accesos basado en roles, una política de retención de datos, un protocolo para responder solicitudes de derechos, y un poco de sentido común. No se necesitan equipos legales gigantes ni presupuestos millonarios.

La Ley 21.719 entra en vigencia en diciembre de 2026. Tienes tiempo para prepararte. Pero si algo enseñan estas historias europeas, es que los que se prepararon a tiempo no aparecen en las listas de multas.

Cumple con la Ley 21.719

TratoDatos te ayuda a crear tu política de datos personales paso a paso. Sin abogados, sin complicaciones.

Empezar ahora

Ver todos los artículos

¿Qué tienen en común todos estos casos?

⚠️

El dato más incómodo

La buena noticia