Ley 21.719 de Datos Personales: lo que tu estudio debe preparar

Chile actualiza sus reglas del juego en datos personales

La Ley 21.719, publicada en diciembre de 2024, moderniza completamente la protección de datos personales en Chile. Reemplaza la Ley 19.628 — que tenía más de 25 años — y se alinea con estándares internacionales como el GDPR europeo.

Fecha clave: La ley entra en plena vigencia en diciembre de 2026. Eso significa que los estudios jurídicos tienen menos de un año para adecuarse.

¿Por qué debería importarle a un estudio jurídico?

Porque los abogados son responsables del tratamiento de datos personales de sus clientes. Cada expediente judicial, cada contrato, cada base de datos de clientes contiene datos protegidos por esta ley.

Y las sanciones no son menores: multas de hasta 10.000 UTM (más de $600 millones CLP) para infracciones gravísimas.

Los 5 cambios principales que debes conocer

1. Nuevas bases de licitud

Ya no basta con tener los datos. Necesitas una base legal para tratarlos: consentimiento, ejecución contractual, interés legítimo, obligación legal, entre otras. Los estudios deben mapear qué datos tratan y bajo qué base legal.

2. Derechos ARCO reforzados

Los titulares ahora pueden ejercer con más fuerza sus derechos de:

• Acceso: saber qué datos tienes de ellos
• Rectificación: corregir datos inexactos
• Cancelación: pedir que elimines sus datos
• Oposición: negarse al tratamiento

Tu estudio necesita un procedimiento claro para responder a estas solicitudes dentro de los plazos legales.

3. Agencia de Protección de Datos Personales

Se crea una autoridad fiscalizadora autónoma (similar a la Agencia Española de Protección de Datos). Esta agencia tendrá facultades para:

• Investigar de oficio
• Aplicar sanciones
• Dictar instrucciones generales
• Resolver reclamos de titulares

4. Evaluaciones de impacto

Para tratamientos de alto riesgo (datos sensibles, perfilamiento, tratamiento masivo), será obligatorio realizar una Evaluación de Impacto en la Protección de Datos (EIPD) antes de iniciar el tratamiento.

5. Notificación de brechas de seguridad

Si sufres una filtración de datos, debes notificar a la Agencia y a los afectados dentro de plazos específicos. Ya no se puede "esconder" un incidente de seguridad.

Plan de acción para tu estudio jurídico

Fase 1: Diagnóstico (ahora → junio 2026)

• Inventario de datos: ¿Qué datos personales tratas? ¿De quiénes? ¿Dónde los almacenas?
• Mapeo de flujos: ¿Quién accede a esos datos? ¿Los compartes con terceros?
• Evaluación de riesgos: ¿Qué pasa si se filtran? ¿Tienes datos sensibles?

Fase 2: Adecuación (junio → octubre 2026)

• Política de privacidad actualizada para tu sitio web y servicios
• Cláusulas contractuales revisadas con clientes y proveedores
• Protocolo ARCO para atender solicitudes de titulares
• Medidas de seguridad técnicas: cifrado, control de acceso, backups
• Registro de actividades de tratamiento

Fase 3: Implementación (octubre → diciembre 2026)

• Capacitación del equipo en protección de datos
• Plan de respuesta ante incidentes de seguridad
• Designación de encargado de protección de datos (si aplica)
• Auditoría interna antes de la entrada en vigencia

La tecnología como aliada del compliance

Un sistema bien diseñado puede facilitar todo esto:

• Base de datos estructurada que registre el consentimiento y la base legal de cada dato
• Control de acceso granular por usuario y rol
• Logs de auditoría que registren quién accedió a qué dato y cuándo
• Automatización de respuestas ARCO con plazos y alertas
• Cifrado de datos en reposo y en tránsito

No es ciencia ficción — es infraestructura básica que cualquier estudio puede implementar con las herramientas correctas.

Conclusión

La Ley 21.719 no es solo una obligación regulatoria. Es una oportunidad para profesionalizar la gestión de datos de tu estudio y diferenciarte como un abogado que toma en serio la privacidad de sus clientes.

¿Necesitas ayuda para adecuar tu estudio? Agenda un diagnóstico gratuito y evaluamos juntos tu situación actual.