Una de las preguntas más frecuentes que recibimos en PrivacidadWeb es: ¿cuánto me puede multar la APDP si no cumplo con la Ley 21.719? La respuesta corta es: hasta 5.000 UTM para infracciones leves, 10.000 UTM para graves y 20.000 UTM (~$1.400 millones de pesos) para infracciones gravísimas.
Pero las multas no son el único costo. No cumplir con la ley puede implicar también paralización del tratamiento de datos, daño reputacional y acciones civiles de los afectados.
Aquí te explicamos el sistema completo.
¿Quién aplica las sanciones?
La Agencia de Protección de Datos Personales (APDP) es el organismo creado por la Ley 21.719 con facultades para fiscalizar e imponer sanciones. Opera de forma independiente del gobierno y puede iniciar investigaciones:
- Por denuncia de un titular de datos cuyos derechos fueron vulnerados
- De oficio, cuando la APDP detecta posibles infracciones a través de medios públicos o sus propias fiscalizaciones
El sistema de tres niveles de infracciones
La Ley 21.719 clasifica las infracciones en tres categorías, con multas progresivas:
Infracciones Leves — Hasta 5.000 UTM (~$350M CLP)
Son las de menor gravedad y generalmente están relacionadas con procedimientos o plazos:
- No responder una solicitud ARCOP dentro del plazo de 30 días corridos
- No designar un representante o encargado cuando corresponde
- Incumplir formalidades de menor importancia en el tratamiento
Ejemplo real: Una empresa que no responde la solicitud de acceso de un cliente dentro del plazo de 30 días corridos, sin justificación válida, puede recibir una amonestación y/o una multa de hasta 5.000 UTM.
Infracciones Graves — Hasta 10.000 UTM (~$700M CLP)
Son las más comunes en la práctica empresarial cotidiana:
- Tratar datos sin base legal válida (sin consentimiento, sin contrato que lo justifique)
- No tener política de privacidad o que esta sea incompleta o engañosa
- No informar adecuadamente al momento de recopilar datos
- Ceder datos a terceros sin autorización del titular
- Usar datos para finalidades distintas a las declaradas al momento de recopilarlos
- No atender el derecho de supresión cuando corresponde
- No implementar medidas de seguridad básicas
Ejemplo real: Una tienda online que usa los correos electrónicos recopilados en el proceso de compra para enviar publicidad de una empresa asociada (sin consentimiento específico para esa finalidad) puede ser sancionada con hasta 10.000 UTM.
Infracciones Gravísimas — Hasta 20.000 UTM (~$1.400M CLP)
Son las más severas y se reservan para los casos de mayor riesgo:
- Tratar datos sensibles sin base legal válida (salud, biometría, origen étnico, religión, opiniones políticas, vida sexual)
- No notificar una brecha de seguridad a la APDP sin dilaciones indebidas (Art. 14 sexies; como práctica: 72 horas para datos sensibles, 5 días hábiles para otras brechas)
- Obstaculizar el ejercicio de los derechos de los titulares de forma deliberada
- Transferir datos al extranjero sin cumplir los requisitos legales
- Reiterar infracciones graves una vez sancionado
Ejemplo real: Una clínica cuyo sistema informático es vulnerado y filtra fichas clínicas de 500 pacientes, pero no notifica a la APDP sin dilaciones indebidas (Art. 14 sexies), puede recibir una multa de hasta 20.000 UTM (~$1.400 millones CLP).
¿Pueden las multas ser más altas?
Sí. Para grandes empresas, la Ley 21.719 establece que las multas pueden calcularse como porcentaje de la facturación anual, lo que puede superar ampliamente los topes en UTM. Este mecanismo, similar al GDPR europeo (que permite multas de hasta el 4% de la facturación global), busca que las sanciones sean realmente disuasorias para empresas grandes.
Para pymes y microempresas, los topes en UTM suelen ser el límite aplicable en la práctica.
Otras consecuencias más allá de la multa
La multa económica es solo una de las consecuencias posibles. La APDP también puede:
Ordenar la suspensión del tratamiento
La APDP puede ordenar que dejes de recopilar, procesar o usar datos mientras dura la investigación o hasta que corrijas el incumplimiento. Para un e-commerce, esto puede significar no poder operar.
Ordenar la eliminación de datos
Si los datos fueron recopilados ilegalmente, la APDP puede exigir su eliminación total de todos los sistemas.
Hacer públicas las resoluciones
Las resoluciones sancionatorias de la APDP son públicas. El daño reputacional de aparecer en la lista de empresas sancionadas puede ser más grave que la multa misma.
Acciones civiles de los afectados
Los titulares de datos cuyos derechos fueron vulnerados pueden iniciar acciones civiles independientes para obtener reparación por los daños sufridos.
Las multas más caras por sector
Basado en los tipos de datos que trata cada sector y las infracciones más frecuentes, estos son los sectores con mayor riesgo de multas altas:
| Sector | Riesgo principal | Multa potencial | |---|---|---| | Clínicas y hospitales | Brecha de fichas clínicas | Hasta 20.000 UTM (gravísima) | | Gimnasios (biometría) | Uso de huella sin consentimiento | Hasta 20.000 UTM (gravísima) | | E-commerce | Marketing sin consentimiento | Hasta 10.000 UTM (grave) | | Colegios | Fotos de menores sin autorización | Hasta 10.000 UTM (grave) | | Startups SaaS | Sin política de privacidad | Hasta 10.000 UTM (grave) | | Consultorios psicológicos | Brecha de fichas psicológicas | Hasta 20.000 UTM (gravísima) |
¿Hay atenuantes?
Sí. La ley considera circunstancias que pueden reducir la sanción:
- Subsanación voluntaria antes de la resolución final
- Colaboración con la APDP durante la investigación
- Ausencia de daño real a los titulares
- Ser primera infracción documentada
- Adoptar medidas preventivas adicionales durante el proceso
Por otro lado, agravan la sanción: la reincidencia, el número de afectados, el beneficio económico obtenido con la infracción y la negativa a cooperar con la APDP.
Cómo evitar las multas más comunes
La mayoría de las infracciones más frecuentes (y sus multas asociadas) son prevenibles con medidas básicas:
1. Publica una Política de Privacidad
Es obligatoria si tienes un sitio web. Debe informar qué datos recopilas, para qué, con quién los compartes y cuáles son los derechos de los titulares. Genera la tuya gratis en PrivacidadWeb.
2. Pide consentimiento explícito para marketing
El correo del proceso de compra no es un cheque en blanco para marketing. Necesitas un consentimiento separado, específico y fácilmente revocable.
3. Instala un banner de cookies
Si usas Google Analytics, Meta Pixel u otras herramientas de rastreo, el banner es obligatorio. No basta con mencionar las cookies en la política de privacidad.
4. Ten un procedimiento para solicitudes ARCOP
Necesitas saber qué hacer cuando un cliente te pide acceder a sus datos, corregirlos o eliminarlos. Tienes 30 días corridos para responder (Art. 11).
5. Prepara un protocolo de brechas
¿Sabes qué harías si mañana hackean tu base de datos? La ley exige notificar a la APDP sin dilaciones indebidas (Art. 14 sexies). Como práctica recomendada: dentro de 72 horas para datos sensibles, y dentro de 5 días hábiles para otras brechas con riesgo.
Conclusión: el costo del incumplimiento supera al del cumplimiento
Cumplir con la Ley 21.719 tiene un costo real en tiempo y organización. Pero ese costo es significativamente menor que las multas, el daño reputacional y los costos operativos de una brecha o una sanción.
Las herramientas de PrivacidadWeb te permiten empezar a cumplir hoy, gratis, sin registro y en minutos.