Multas de hasta 20.000 UTM: Guía de cumplimiento para sostenedores
La nueva Agencia de Protección de Datos Personales tendrá plenas facultades sancionatorias desde diciembre de 2026. Hasta 20.000 UTM por infracción gravísima y 4% de los ingresos globales bajo Ley 21.719. Esta guía práctica muestra a los sostenedores qué hacer ahora para no ser los primeros sancionados.

TL;DR
La Ley 21.719 permite multas de hasta 20.000 UTM (más de $1.300 millones CLP) y la Ley 21.663 agrega sanciones del 4% de ingresos globales. Los sostenedores necesitan audit log, cifrado, control de acceso y gestión de consentimientos antes de diciembre de 2026.
El nuevo régimen sancionatorio rige desde diciembre de 2026
Durante años, la protección de datos personales en Chile fue una obligación sin consecuencias reales. Eso terminó. La Ley 21.719, publicada en diciembre de 2024, creó la Agencia de Protección de Datos Personales con facultades fiscalizadoras, sancionatorias y normativas. Para los sostenedores escolares, esto no es teoría: es el entorno regulatorio al que deben adecuarse antes de diciembre de 2026.
La pregunta ya no es si cumplir. La pregunta es cuánto cuesta no hacerlo.
La estructura de multas que debe conocer
El régimen sancionatorio opera en dos capas paralelas que los sostenedores deben entender con precisión:
Ley 21.663: la escala por gravedad
Esta ley clasifica las infracciones en tres categorías y fija los montos en Unidades Tributarias Mensuales (UTM):
| Categoría | Multa máxima general | Multa máxima operadores vitales |
|---|---|---|
| Leve | 100 UTM (~$7 millones CLP) | 200 UTM |
| Grave | 5.000 UTM (~$350 millones CLP) | 10.000 UTM |
| Gravísima | 20.000 UTM (más de $1.300 millones CLP) | 40.000 UTM |
Los valores en pesos son referenciales y dependen del valor de la UTM al momento de la sanción. Las infracciones gravísimas incluyen tratamiento ilícito de datos sensibles, vulneraciones masivas, y reincidencia dentro de 24 meses.
Ley 21.719: el 4% de los ingresos globales
En paralelo, la Ley 21.719 introduce una escala alternativa basada en los ingresos del responsable: hasta el 4% de los ingresos anuales globales por infracciones graves o gravísimas. Para sostenedores con múltiples colegios o ingresos consolidados significativos, este techo puede superar ampliamente las multas en UTM. La Agencia aplicará el criterio que resulte mayor.
Qué constituye infracción en un colegio
Los sostenedores operan como responsables del tratamiento de datos de menores de edad, categoría que merece protección reforzada bajo la ley. Las siguientes prácticas comunes en colegios chilenos configuran infracciones bajo la nueva ley:
- Almacenamiento de datos clínicos sin base legal explícita. Fichas médicas, diagnósticos psicológicos o informes de NEE guardados en planillas Excel o sistemas sin control de acceso constituyen tratamiento de datos sensibles sin las medidas de seguridad exigidas.
- Ausencia de registro de actividades (audit log). La ley exige que los responsables puedan acreditar quién accedió a qué dato y cuándo. Sin trazabilidad, la Agencia presume negligencia.
- Sin gestión de consentimiento documentada. Autorizar el uso de imágenes de alumnos en redes sociales, compartir datos con proveedores o enviar información a terceros sin consentimiento informado y revocable del titular o su representante legal es infracción directa.
- Compartir datos con proveedores sin contrato de encargo. Si su plataforma de gestión escolar, proveedor de ERP o sistema de bienestar accede a datos de alumnos sin un contrato de encargo de tratamiento, usted es responsable de esa exposición.
- Transferencias internacionales no documentadas. Muchos sistemas SaaS educativos procesan datos en servidores fuera de Chile. Sin las garantías adecuadas, esto es transferencia internacional no autorizada.
La Agencia se prepara para fiscalizar: lo que esto significa en la práctica
La Agencia de Protección de Datos Personales contará con un equipo técnico especializado y potestades de fiscalización de oficio, es decir, podrá iniciar investigaciones sin denuncia previa desde diciembre de 2026. El sector educacional, por manejar datos de menores y datos sensibles de salud, es prioritario en su agenda regulatoria.
"Los sostenedores que regularicen su situación de forma proactiva antes de una fiscalización tienen acceso a circunstancias atenuantes. Los que esperen enfrentarán el régimen completo." (Principio de buena fe, Art. 46 Ley 21.719)
Cómo prepararse: las cuatro líneas de defensa
1. Auditoría de datos activa. Inventaríe todos los datos personales que su establecimiento almacena: dónde están, quién accede, qué sistema los procesa y bajo qué base legal. Este registro de actividades de tratamiento es obligatorio y el primer documento que solicitará la Agencia en una fiscalización.
2. Cifrado y control de acceso por roles. Los datos de alumnos deben estar cifrados en reposo y en tránsito. El acceso debe estar restringido por rol: un profesor no debería ver el diagnóstico psicológico de un alumno que no es su tutorado. Los sistemas que no ofrecen control granular de permisos son un pasivo regulatorio.
3. Flujo de consentimiento parental documentado. Diseñe un proceso formal para obtener, registrar y gestionar el consentimiento de apoderados. Debe ser específico por finalidad, fechado, y el sistema debe permitir su revocación. Un formulario en papel guardado en una carpeta no es suficiente.
4. Contratos de encargo con todos los proveedores tecnológicos. Revise cada herramienta digital que usa su establecimiento. Si un tercero accede a datos de alumnos, necesita un contrato que establezca las instrucciones de tratamiento, las medidas de seguridad exigidas y las responsabilidades ante incidentes.
Lista de verificación para sostenedores
- Registro de actividades de tratamiento documentado y actualizado
- Política de privacidad publicada y accesible para apoderados
- Contratos de encargo firmados con todos los proveedores SaaS
- Control de acceso basado en roles implementado en todos los sistemas
- Cifrado de datos activo en reposo y en tránsito
- Flujo de consentimiento documentado y revocable
- Procedimiento de respuesta ante brechas de seguridad (máximo 72 horas para notificar)
- Encargado de Protección de Datos designado (obligatorio para establecimientos que traten datos sensibles a gran escala)
- Audit log habilitado en todos los sistemas con acceso a datos de alumnos
- Capacitación al personal documentada sobre manejo de datos personales
El riesgo reputacional supera la multa
Una sanción de la Agencia es pública. Se publica en el registro oficial, aparece en búsquedas y es reportable por medios de comunicación. En un mercado donde los apoderados chilenos valoran cada vez más la seguridad digital de sus hijos, una multa por filtración de datos de menores puede tener un impacto en matrícula que dura años.
El costo de cumplir hoy es una fracción del costo de remediar una brecha mañana. Los sostenedores que adopten plataformas con cumplimiento integrado (audit log nativo, control de acceso por roles, gestión de consentimiento y cifrado por defecto) no solo reducen su exposición legal: construyen una ventaja competitiva real frente a establecimientos que siguen operando con planillas y sistemas sin gobierno de datos.
Para entender cómo la inteligencia artificial puede ayudar a identificar patrones de riesgo en sus datos antes de que se conviertan en infracciones, lea cómo los algoritmos predictivos están cambiando la gestión escolar.
Referencia normativa
Las multas y sanciones descritas en este artículo están establecidas en la Ley 21.719, sobre protección y tratamiento de los datos personales.
Centraliza la información de cada alumno
Ve cómo Ethoz complementa tu sistema actual y protege la información de cada estudiante.
Agendar demo