Ley 21.719: Lo que todo colegio debe saber antes de diciembre 2026
La nueva ley de protección de datos personales en Chile entra en vigencia en diciembre de 2026. Conozca qué implica para los colegios, qué datos están protegidos, cuáles son las multas y cómo comenzar el proceso de cumplimiento hoy.

TL;DR
La Ley 21.719 entra en vigencia en diciembre de 2026 y obliga a los colegios a obtener consentimiento parental, registrar cada acceso a datos sensibles y responder solicitudes ARCO+P. Las multas llegan hasta 20.000 UTM (más de $1.300 millones). Los colegios que operan con Excel no cumplen.
Una ley que transforma la relación entre colegios y datos personales
El 13 de diciembre de 2024, Chile publicó la Ley 21.719 en el Diario Oficial, actualizando de manera sustancial la Ley 19.628 de 1999. A partir de diciembre de 2026, toda institución que trate datos personales, incluyendo colegios, liceos y jardines infantiles, deberá cumplir un estándar radicalmente más exigente. El plazo parece amplio, pero la experiencia del RGPD europeo muestra que las organizaciones que esperan el último trimestre enfrentan costos entre 3 y 5 veces mayores que las que planifican con anticipación.
Este artículo revisa los aspectos que más directamente afectan la operación diaria de un establecimiento educacional.
¿Qué datos maneja un colegio y por qué casi todos están protegidos?
Un colegio típico almacena: nombres, RUT y domicilios de estudiantes y apoderados; registros académicos y de asistencia; informes psicológicos y psicopedagógicos; fichas médicas y de salud; comunicaciones disciplinarias; y datos biométricos si usa control de acceso por huella o facial. Bajo la Ley 21.719, todos estos datos son personales y la gran mayoría (médicos, psicológicos, disciplinarios) caen en la categoría de datos sensibles, que reciben protección reforzada.
El Artículo 16 bis de la ley establece restricciones específicas para datos de salud: solo pueden ser tratados con consentimiento explícito del titular o bajo supuestos muy acotados (emergencia médica, obligación legal). Esto tiene implicancias directas para los equipos de convivencia escolar y los profesionales de la salud mental que operan dentro de los colegios.
Derechos ARCO+P: la nueva exigencia operacional
La ley consagra los derechos de Acceso, Rectificación, Cancelación, Oposición y Portabilidad (ARCO+P) para todo titular de datos. En el contexto escolar, esto significa que:
- Un apoderado puede solicitar acceso completo a todos los datos que el colegio tiene sobre su hijo en un plazo de 30 días hábiles (Art. 11).
- Puede exigir la corrección de datos inexactos o desactualizados.
- Puede solicitar la eliminación de datos cuando ya no sean necesarios para la finalidad que justificó su recolección.
- Puede oponerse al tratamiento para fines de marketing o comunicaciones no solicitadas.
- A partir del año 2, podrá ejercer el derecho de portabilidad: recibir los datos en formato electrónico interoperable para trasladarlos a otro establecimiento.
Para responder estos derechos dentro del plazo legal, el colegio necesita saber exactamente dónde está cada dato. Un establecimiento que maneja información en hojas de cálculo dispersas, correos electrónicos y carpetas físicas tendrá serias dificultades para cumplir. Las razones técnicas de esto se desarrollan en el artículo Multas de hasta 20.000 UTM: Guía de cumplimiento para sostenedores.
Consentimiento parental para menores de 14 años
El Artículo 20 de la ley establece que el tratamiento de datos de menores de 14 años requiere consentimiento del padre, madre o tutor legal. No basta la firma de una matrícula genérica. El consentimiento debe ser:
- Específico: indicar exactamente para qué se usarán los datos.
- Informado: el apoderado debe entender qué implica.
- Libre: no puede condicionarse la matrícula a la entrega de datos no esenciales.
- Verificable: el colegio debe poder demostrar que obtuvo el consentimiento.
Esto obliga a revisar los formularios de matrícula, los términos de uso de plataformas digitales que usan los estudiantes, y los convenios con proveedores de tecnología educativa.
La nueva Agencia de Protección de Datos Personales
La ley crea una autoridad de control autónoma, la Agencia de Protección de Datos Personales, con facultades de fiscalización, investigación y sanción. A diferencia del modelo anterior, basado en autoregulación, la Agencia puede iniciar procedimientos de oficio o por denuncia de cualquier persona.
Las sanciones se estructuran en tres tramos:
| Infracción | Multa máxima |
|---|---|
| Leve (ej.: no responder solicitud ARCO+P en plazo) | 1.000 UTM (~$70 millones CLP) |
| Grave (ej.: tratar datos sin base de legitimación) | 5.000 UTM (~$350 millones CLP) |
| Gravísima (ej.: vulnerar datos sensibles de menores) | 20.000 UTM o 4% de ingresos anuales |
Para un colegio con ingresos anuales de $1.000 millones CLP, el 4% equivale a $40 millones. Para uno con ingresos de $5.000 millones, equivale a $200 millones. La regla aplica el monto mayor entre las 20.000 UTM y el 4%, lo que convierte la escala de sanciones en un factor de riesgo financiero concreto, no abstracto.
Obligaciones de seguridad y notificación de brechas
El Artículo 14 quáter exige implementar medidas de seguridad técnicas y organizativas proporcionales al riesgo. Además, ante una brecha de seguridad que pueda afectar los derechos de los titulares, el responsable del tratamiento debe:
- Notificar a la Agencia dentro de 72 horas de conocida la brecha.
- Comunicar a los afectados cuando exista riesgo para sus derechos.
- Documentar todas las brechas ocurridas, incluso las que no requieran notificación.
En la práctica, esto requiere tener un inventario de datos, un protocolo de respuesta a incidentes y registros de auditoría. Un colegio que no sabe qué datos tiene ni dónde los almacena no puede cumplir la obligación de notificación en 72 horas.
El Registro de Actividades de Tratamiento
Toda organización que trate datos debe mantener un Registro de Actividades de Tratamiento (RAT) actualizado (Art. 14 ter). Este registro debe documentar, por cada actividad de tratamiento: la finalidad, las categorías de datos, los destinatarios, los plazos de conservación y las medidas de seguridad aplicadas. Para un colegio mediano, esto puede implicar entre 15 y 30 actividades distintas de tratamiento.
Hoja de ruta para un colegio que comienza hoy
Las organizaciones que completaron el proceso de adecuación al RGPD europeo con anticipación lo hicieron en tres fases consecutivas:
- Diagnóstico (2-3 meses): inventario de datos, mapeo de flujos, identificación de brechas respecto a la ley.
- Diseño (2-3 meses): política de privacidad, base de legitimación por actividad, revisión de contratos con proveedores, formularios de consentimiento.
- Implementación (3-6 meses): capacitación al equipo, adecuación de sistemas, pruebas de los procesos ARCO+P, primera auditoría interna.
Con diciembre de 2026 como fecha límite, el margen disponible es suficiente solo si el diagnóstico comienza en el primer semestre de 2026. Los colegios que gestionan información de convivencia escolar (un ámbito que involucra datos especialmente sensibles, como se analiza en La crisis de convivencia escolar 2025) tienen una carga adicional de adecuación que justifica iniciar antes.
Conclusión
La Ley 21.719 no es una formalidad administrativa. Establece derechos exigibles por los apoderados, una autoridad con facultades reales de sanción y multas que pueden representar el 4% de los ingresos de un establecimiento. El cumplimiento requiere cambios en procesos, contratos y sistemas. Los colegios que traten esto como una gestión de infraestructura, igual que la seguridad del edificio o el sistema de incendios, estarán en mejor posición que los que lo traten como papeleo legal.
Contar con sistemas que centralicen la información estudiantil, generen registros de auditoría automáticos y faciliten la respuesta a solicitudes ARCO+P no es un lujo: es la base técnica que hace posible el cumplimiento.
Fuente oficial
Ley 21.719: regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. Publicada en el Diario Oficial el 13 de diciembre de 2024.
Centraliza la información de cada alumno
Ve cómo Ethoz complementa tu sistema actual y protege la información de cada estudiante.
Agendar demo