Lo que aprenderás en este artículo
- Qué exige exactamente la Ley 21.719 a las empresas chilenas antes del 1 de diciembre de 2026
- Por qué la responsabilidad legal es tuya, no del proveedor de CRM que contrataste
- Cuánto puedes arriesgar en multas (en pesos chilenos reales, con la UTM de junio 2026)
- Qué derechos tienen tus clientes sobre sus datos y cómo debes responderles
- Cómo IMPULSA CRM e IMPULSA SAC ya están preparados para cumplir la ley
La ley que cambia las reglas del juego en Chile
El 1 de diciembre de 2026 entra en vigor la Ley 21.719 de Protección de Datos Personales. Fue publicada en el Diario Oficial el 13 de diciembre de 2024 y reemplaza íntegramente a la antigua Ley 19.628 vigente desde 1999, una ley que llevaba 27 años sin actualizarse.
Lo que cambia no es solo una formalidad. Cambia quién responde cuando los datos de tus clientes se exponen, se pierden o se usan sin autorización. Y lo que la ley establece con claridad es que el responsable eres tú como empresa, independiente del software que uses para almacenar esos datos.
Si tienes un CRM con RUTs, correos, teléfonos o historial de compras de clientes chilenos, esta guía es para ti.
¿Qué datos protege la ley?
La Ley 21.719 protege cualquier dato que identifique o permita identificar a una persona natural. En el contexto de un CRM de ventas chileno, eso incluye:
- Nombre y RUT del cliente o prospecto
- Correo electrónico y número de teléfono (incluyendo el celular personal)
- Dirección (región, comuna, calle)
- Historial de compras y cotizaciones
- Conversaciones de WhatsApp o redes sociales
- Datos de comportamiento en el sitio web (si usas formularios de captación)
Y si en tu CRM almacenas información como sueldo, situación laboral, condición de salud o afiliación religiosa de un cliente, eso se clasifica como dato sensible y exige requisitos de protección aún más estrictos.
¿Quién responde si algo sale mal?
La ley establece dos figuras:
- Responsable del tratamiento: la empresa que decide para qué y cómo se usan los datos. Esa empresa eres tú.
- Encargado del tratamiento: el tercero que procesa los datos en tu nombre, tu proveedor de CRM, tu agencia de marketing digital, tu plataforma de email.
El error más común: creer que si el CRM tiene un incidente de seguridad, la responsabilidad cae sobre el proveedor. No funciona así. La APDP (Agencia de Protección de Datos Personales) te fiscaliza a ti como responsable. Tú debes demostrar que tomaste las medidas adecuadas, incluyendo tener un contrato formal con tu proveedor que regule cómo trata esos datos.
Errores frecuentes y su impacto legal
| Error común en empresas chilenas | Consecuencia bajo Ley 21.719 |
|---|---|
| Datos de clientes en Excel sin control de acceso | Infracción grave — no hay trazabilidad del tratamiento |
| Sin contrato ATD firmado con el proveedor de CRM | La multa recae sobre ti, no sobre el proveedor |
| Sin protocolo de notificación de brechas | Incumplimiento del plazo de 72 horas → sanción directa |
| Todos los usuarios del CRM con acceso total | Exposición innecesaria de datos = riesgo de infracción |
| Sin política de privacidad actualizada en el sitio web | Captación de datos sin consentimiento válido |
Pro tip 1: La ley no castiga que tengas datos de clientes. Castiga que no tengas control documentado sobre ellos. El primer paso es saber exactamente qué datos tienes, dónde están y quién puede acceder.
Las multas en pesos chilenos
La Ley 21.719 clasifica las infracciones en tres niveles. Aquí los montos reales:
| Nivel de infracción | Multa máxima en UTM | Multa máxima en pesos |
|---|---|---|
| Leve | 5.000 UTM | ~$357.530.000 |
| Grave | 10.000 UTM | ~$715.060.000 |
| Gravísima | 20.000 UTM | ~$1.430.120.000 |
En casos de reincidencia, la multa puede triplicarse hasta 60.000 UTM (~$4.290.360.000) o aplicarse como porcentaje de los ingresos anuales en Chile: 2% para infracciones graves y 4% para gravísimas.
Además de la multa, la APDP puede ordenar la suspensión temporal del tratamiento de datos por hasta 30 días — lo que en la práctica significa que tu CRM queda bloqueado.
¿Y si soy pyme? Las empresas clasificadas como pequeñas según la Ley 20.416 tienen un período de gracia: durante los primeros 12 meses desde la entrada en vigor (diciembre 2026 a diciembre 2027), reciben amonestación escrita en la primera infracción. Pero la segunda ya genera multa económica. Y la amonestación queda registrada en el Registro Nacional de Sanciones de la APDP — que es público.
Los derechos que tienen tus clientes sobre sus datos (ARCO+)
La ley amplía los derechos de los titulares de datos. Si un cliente chileno te los pide, tienes 30 días hábiles para responder. Los derechos son:
- Acceso: el cliente puede pedirte que le muestres qué datos suyos tienes almacenados
- Rectificación: puede pedirte que corrijas información incorrecta
- Cancelación o supresión: puede pedirte que elimines sus datos de tu base
- Oposición: puede oponerse a que uses sus datos para una finalidad específica (por ejemplo, marketing)
- Portabilidad: puede pedirte sus datos en formato exportable para llevarlos a otra empresa
Esto tiene un impacto directo en cómo configuras tu CRM. Necesitas poder:
- Encontrar todos los datos de un cliente específico en segundos
- Exportarlos en formato estándar si lo solicita
- Eliminarlos completamente si ejerce su derecho de supresión
- Documentar que respondiste dentro del plazo legal
Pro tip 2: No basta con tener los datos ordenados. Si no puedes responder una solicitud ARCO+ en 30 días hábiles, eso es una infracción en sí misma, aunque tus datos estén bien resguardados.
Qué debes hacer como empresa antes del 1 de diciembre de 2026
El cumplimiento no se logra en un día. En orden de urgencia:
1. Levanta un inventario de datos personales
Lista todos los datos que manejas: nombre, RUT, correo, teléfono, región, historial de compras. Define para qué los usas, dónde están almacenados y quién tiene acceso. Este registro es la base de todo lo demás.
2. Firma un Acuerdo de Tratamiento de Datos (ATD) con tu proveedor de CRM
Cada proveedor que toque los datos de tus clientes se convierte en «encargado del tratamiento». La ley exige un contrato escrito que defina las obligaciones de ese proveedor. Sin ese documento, si hay un incidente, respondes tú solo ante la APDP.
Cláusula básica que debe incluir tu ATD:
«El Encargado solo tratará los datos personales bajo las instrucciones documentadas del Responsable, y no los utilizará para fines propios. El Encargado no podrá subcontratar el tratamiento a terceros sin autorización escrita previa del Responsable.»
3. Configura roles y permisos en tu CRM
Principio de minimización: cada integrante del equipo accede solo a lo que necesita para su función. El vendedor de la Región Metropolitana no tiene por qué ver los datos del equipo de Valparaíso. Un analista no necesita exportar toda la base de prospectos.
4. Define tu protocolo de respuesta ante brechas de seguridad
La Ley 21.719 exige notificar a la APDP dentro de 72 horas desde que detectas un incidente. Ese plazo corre desde el momento en que tú o alguien de tu equipo toma conocimiento del problema.
Protocolo mínimo de respuesta:
- Detectar y contener el acceso no autorizado de inmediato
- Documentar qué datos fueron expuestos y cuántos clientes se ven afectados
- Notificar a la APDP dentro de las 72 horas (el organismo ya tiene formulario en línea)
- Comunicar a los titulares afectados si el riesgo para ellos es alto
5. Actualiza tus formularios de captación en el sitio web
El consentimiento bajo la Ley 21.719 debe ser libre, informado y específico. El texto «al enviar este formulario aceptas nuestros términos» ya no es suficiente. El usuario debe saber exactamente para qué vas a usar sus datos antes de dártelos, y debe tener la opción real de no dártelos.
Pro tip 3: El proceso de actualizar formularios tarda menos de lo que crees, pero si lo dejas para noviembre, vas a estar apurado. El mayor cuello de botella es obtener la aprobación legal del texto de consentimiento. Empieza eso ahora.
Indicadores para medir tu nivel de cumplimiento
| KPI | Cómo calcularlo | Meta |
|---|---|---|
| % de proveedores con ATD firmado | ATD firmados / Total proveedores con acceso a datos × 100 | 100% antes de dic 2026 |
| % de usuarios del CRM con roles específicos | Usuarios con rol asignado / Total usuarios × 100 | 100% |
| Tiempo de respuesta ante solicitudes ARCO+ | Promedio de días de respuesta últimos 6 meses | ≤ 30 días hábiles |
| Tiempo de reacción ante incidentes | Simulacro interno semestral | < 48 horas |
| % de formularios con consentimiento válido | Formularios conformes / Total formularios activos × 100 | 100% |
Fórmula de riesgo:
Nivel de exposición = (Proveedores sin ATD + Usuarios sin roles + Formularios sin consentimiento) / Total de ítems evaluados × 100
Un resultado sobre el 30% es señal de alerta crítica. Actúa antes de que la APDP lo detecte.
Cómo IMPULSA CRM e IMPULSA SAC ya están preparados
Si tu empresa usa IMPULSA CRM o IMPULSA SAC, tienes ventaja real de cara a diciembre.
IMPULSA CRM — Control de acceso por roles
IMPULSA CRM incluye gestión de roles de usuario desde el Plan Esencial. Puedes definir exactamente qué parte de la base de datos puede ver cada persona del equipo, por módulo y por embudo. Eso te permite cumplir el principio de minimización que exige la ley sin complicaciones técnicas.
Vista conceptual: Panel de administración donde el gerente asigna roles por usuario — con restricciones por módulo, embudo de ventas y nivel de acceso a datos de contacto.
IMPULSA CRM — Trazabilidad de interacciones
Cada acción registrada en el CRM queda con historial de quién la realizó y cuándo. Si la APDP te pide demostrar que trataste los datos de forma legítima y con propósito definido, tienes ese registro disponible.
IMPULSA SAC — Conversaciones centralizadas
IMPULSA SAC concentra WhatsApp, Instagram y Facebook en un solo canal con historial completo. Esto no solo mejora la atención: crea el registro trazable de comunicaciones que la ley exige para probar que el tratamiento tuvo base legítima.
Acuerdo de Tratamiento de Datos (ATD) disponible
IMPULSA, como empresa que almacena y procesa datos de tus clientes en tu nombre, puede trabajar contigo el ATD que la Ley 21.719 exige. Este contrato cubre la responsabilidad de ambas partes y te protege ante cualquier fiscalización de la APDP.
Pro tip 4: Si ya eres cliente de IMPULSA, no tienes que esperar a diciembre para realizar el ATD. Contáctanos ahora y lo revisamos antes de que sea urgente.
Checklist para cumplir la Ley 21.719
Lo que puedes hacer esta semana:
- Descarga el listado de usuarios de tu CRM y revisa quién tiene acceso a qué
- Revisa si tu contrato actual con el proveedor de CRM menciona tratamiento de datos, si no, necesita actualizarse
- Identifica todos los formularios activos en tu sitio web y evalúa si el consentimiento es explícito y específico
- Designa a la persona de tu empresa que coordinará la respuesta ante solicitudes ARCO+ y ante brechas de seguridad
Errores que debes evitar:
- Creer que la responsabilidad es del proveedor de CRM; la ley dice lo contrario
- Esperar a que la APDP te contacte para actuar; la agencia ya tiene facultades de fiscalización de oficio
- Tener una política de privacidad en el sitio sin procesos reales detrás, eso no protege en una auditoría
- Pensar que por ser pyme estás exento; el período de gracia aplica solo a la primera sanción, y la amonestación queda en el padrón público de la APDP
Preguntas frecuentes sobre la Ley 21.719 y los CRM
¿La Ley 21.719 aplica a todas las empresas chilenas?
Sí. Aplica a cualquier empresa que trate datos personales, sin importar tamaño ni rubro. Las pymes clasificadas bajo Ley 20.416 tienen un período de gracia de 12 meses donde reciben amonestación escrita antes de multa económica. Pero la amonestación es pública y la segunda infracción ya tiene costo.
¿Qué pasa si mi CRM está en la nube y los servidores están fuera de Chile?
La ley aplica al responsable del tratamiento: tú, como empresa chilena. Que el servidor esté en otro país no te exime. Necesitas el ATD y debes verificar que el proveedor cumpla estándares equivalentes a los exigidos por la legislación chilena.
¿Cuánto son exactamente las multas en pesos?
Con la UTM de junio 2026 ($71.506): infracciones leves hasta $357 millones de pesos, graves hasta $715 millones, gravísimas hasta $1.430 millones (~$1,43 mil millones). En reincidencia grave o gravísima, puede aplicarse el 2% o 4% de los ingresos anuales de la empresa en Chile.
¿Qué es la APDP y cuándo empieza a fiscalizar?
La Agencia de Protección de Datos Personales es el organismo autónomo creado por la ley, con potestad sancionatoria plena desde el 1 de diciembre de 2026. Puede iniciar investigaciones sin que un cliente te haya denunciado. Los primeros sectores fiscalizados serán banca, salud y educación, pero no son los únicos.
¿Tengo que contratar un Delegado de Protección de Datos (DPO)?
Depende. El DPO es obligatorio para organismos públicos y empresas cuya actividad principal involucra tratamiento masivo de datos sensibles o monitoreo sistemático a gran escala. Para la mayoría de las pymes chilenas con un CRM comercial, no es obligatorio, pero sí conviene designar un referente interno que coordine el cumplimiento.
¿IMPULSA CRM incluye el Acuerdo de Tratamiento de Datos (ATD)?
Sí. IMPULSA puede trabajar el ATD para clientes nuevos y para clientes actuales que lo necesiten. Contacta al equipo de soporte para comenzar a trabajarlo antes de diciembre de 2026.
Actúa antes de que la APDP llegue primero
El 1 de diciembre de 2026 llega igual, con o sin preparación. Las empresas que se ordenaron antes llegan con procesos documentados y sin apuro. Las que esperaron llegan corriendo, o reciben la primera notificación de la APDP mientras todavía están armando el protocolo.
Si quieres saber si tu operación actual cumple con la Ley 21.719, el equipo de IMPULSA puede ayudarte a revisarlo. Tenemos los roles de usuario configurables desde el primer día y el historial de interacciones centralizado en un solo lugar.
Agenda una demo gratuita y lo revisamos juntos antes de diciembre.
