01 · Contexto
¿Qué es la Ley 21.719?
Ley 21.719, publicada en el Diario Oficial el 13 de diciembre de 2024, es la nueva ley de protección de datos personales de Chile. Reemplaza y moderniza la Ley 19.628 de 1999, adaptando el marco legal chileno a estándares internacionales contemporáneos, en línea con el GDPR europeo.
Su objetivo central es establecer las condiciones bajo las cuales organizaciones públicas y privadas pueden tratar datos personales: cuándo está permitido, qué derechos tienen los titulares, qué obligaciones tienen los responsables del tratamiento y qué consecuencias tiene el incumplimiento.
Para los colegios chilenos (tanto los sostenedores como los establecimientos), la ley es especialmente relevante porque procesan grandes volúmenes de datos personales de menores de edad, que son considerados datos sensibles bajo la legislación chilena.
El plazo no es diciembre de 2026. Es diciembre de 2026 menos el tiempo que tarda un colegio en reescribir sus formularios, firmar contratos con proveedores y capacitar a su personal.
02 · Alcance
¿A quién aplica?
La Ley 21.719 aplica a toda persona natural o jurídica que trate datos personales, sin distinción de tamaño ni sector. En el contexto escolar chileno, esto abarca cuatro tipologías:
- Sostenedores
- Personas jurídicas (municipios, corporaciones, fundaciones, empresas) que administran uno o más establecimientos. Son los responsables principales del tratamiento.
- Establecimientos particulares pagados
- Operan de forma independiente. El director o gerencia general asume la responsabilidad del tratamiento de datos.
- Colegios subvencionados
- Incluyendo particulares subvencionados y de administración delegada. La ley no hace distinción por tipo de financiamiento.
- Establecimientos municipales
- Gestionados por municipios o corporaciones municipales. También están obligados, aunque aplican reglas adicionales del sector público.
La ley también aplica a los encargados del tratamiento: los proveedores tecnológicos (plataformas de gestión escolar, comunicaciones, apps educativas) que procesan datos por cuenta del colegio. El sostenedor es responsable de que sus proveedores cumplan mediante contratos de encargo de tratamiento.2
03 · Marco
Principios clave
La ley organiza el tratamiento de datos en torno a seis principios que deben guiar todas las decisiones del colegio sobre gestión de información personal.
01 Licitud
Todo tratamiento debe tener una base de legitimación: consentimiento del titular, obligación legal, interés vital, contrato, interés público o interés legítimo. Sin base, el tratamiento es ilícito.
02 Calidad
Los datos deben ser exactos, completos y actualizados. El colegio no puede mantener registros desactualizados ni datos que excedan la finalidad original.
03 Proporcionalidad
Solo se pueden recoger y tratar los datos estrictamente necesarios para la finalidad declarada. Recopilar más de lo necesario viola este principio.
04 Finalidad
Los datos solo pueden usarse para la finalidad que justificó su recolección. Usar datos de matrícula para marketing sin consentimiento adicional es ilícito.
05 Seguridad
El responsable debe implementar medidas técnicas y organizativas para proteger los datos contra acceso no autorizado, pérdida o destrucción.
06 Confidencialidad
Quienes tratan datos en el colegio tienen deber de confidencialidad, incluso después de terminada su relación laboral.
04 · Titulares
Derechos ARCO+P
Los titulares de datos (apoderados, estudiantes mayores de edad, docentes y administrativos) tienen derechos exigibles ante el colegio. Las solicitudes deben responderse dentro de 30 días hábiles. El incumplimiento constituye infracción grave.3
Acceso
El titular puede solicitar qué datos suyos trata el colegio, con qué finalidad y a quién se han comunicado.
Rectificación
El titular puede exigir corrección de datos inexactos o incompletos.
Cancelación
El titular puede solicitar la supresión de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
Oposición
El titular puede oponerse al tratamiento de sus datos cuando exista causa legítima, en particular para marketing o perfilamiento.
Portabilidad
El titular puede recibir sus datos en formato estructurado, de uso común y lectura mecánica, y transferirlos a otro responsable.
05 · Operación
Obligaciones concretas para colegios
Las obligaciones de la Ley 21.719 no son abstractas. Para un establecimiento, se traducen en acciones específicas que deben estar implementadas antes de diciembre de 2026.
Consentimiento informado
Art. 12-14 · Ley 21.719
- Cada tratamiento que no tenga otra base de legitimación requiere consentimiento explícito, libre, específico e informado. Los formularios de matrícula deben desglosar claramente para qué se usarán los datos del estudiante y su familia.
Inventario de datos
Art. 16 · Ley 21.719
- El colegio debe mantener un registro interno de todas las actividades de tratamiento: qué datos recoge, con qué finalidad, quién tiene acceso, cuánto tiempo se conservan y con qué medidas de seguridad.
Designación de DPO
Art. 48 · Ley 21.719
- Los responsables de tratamiento de gran volumen o datos sensibles deben designar un Delegado de Protección de Datos. Para los sostenedores con múltiples establecimientos, designarlo es la vía recomendada para acreditar cumplimiento.
Notificación de brechas
Art. 30 · Ley 21.719
- Ante una brecha de seguridad (acceso no autorizado, pérdida, filtración), el responsable debe notificar a la autoridad de control dentro de 72 horas desde que toma conocimiento. Si la brecha afecta a titulares, también deben ser notificados.
Evaluación de Impacto (DPIA)
Art. 17 · Ley 21.719
- Cuando se implementen nuevos sistemas que traten datos a gran escala o datos sensibles (como una nueva plataforma de gestión escolar), se debe realizar una Evaluación de Impacto antes de la implementación.
Contratos con encargados
Art. 24 · Ley 21.719
- Todo proveedor externo que trate datos por cuenta del colegio debe firmar un contrato de encargo de tratamiento que garantice el cumplimiento de las obligaciones de la ley.
06 · Sanciones
Multas y sanciones
La Agencia de Protección de Datos Personales es el organismo fiscalizador. Las sanciones se clasifican en tres niveles según la gravedad de la infracción. Los montos se expresan en UTM.
01
Leve
Incumplimiento de formalidades, falta de registro
hasta 100 UTM
≈ $6,7M CLP
02
Grave
Tratamiento sin base de legitimación, incumplimiento de derechos ARCO+P
hasta 1.000 UTM
≈ $67M CLP
03
Gravísima
Datos sensibles sin consentimiento, transferencia internacional ilícita, reincidencia
hasta 10.000 UTM o 4% facturación anual
≈ $670M a $1.300M CLP
07 · Calendario
Plazos críticos
- 13 dic 2024
Promulgación de la Ley 21.719
- Dic 2025
Período de adecuación para responsables de tratamiento
- Jun 2026
Plazo sugerido para completar adecuaciones internas (ya vencido)
- Dic 2026
Vigencia plena: enforcement completo por la Agencia de Protección de Datos Personales
El plazo de adecuación de dos años desde la promulgación es razonable para organizaciones que parten desde cero. A un colegio que recién comienza hoy le quedan menos de seis meses para completar inventario de datos, revisión de contratos, capacitaciones y ajustes técnicos. Empezar antes no es prudencia burocrática: es gestión de riesgo.
08 · Verificación
Checklist de cumplimiento
Quince acciones concretas que su establecimiento debe completar antes de diciembre de 2026. No es exhaustivo, pero cubre los puntos que la autoridad fiscalizadora verificará primero.
- 01
Designar un Delegado de Protección de Datos (DPO), la vía recomendada para acreditar cumplimiento
- 02
Elaborar inventario de datos personales tratados
- 03
Revisar y actualizar formularios de consentimiento
- 04
Implementar consentimiento parental para datos de menores
- 05
Establecer procedimiento para solicitudes ARCO+P
- 06
Definir plazos de respuesta (30 días hábiles)
- 07
Crear protocolo de notificación de brechas (72 horas)
- 08
Realizar Evaluación de Impacto en Protección de Datos (DPIA)
- 09
Revisar contratos con proveedores (encargados de tratamiento)
- 10
Implementar cifrado de datos almacenados y en tránsito
- 11
Configurar controles de acceso por rol (principio de mínimo privilegio)
- 12
Activar audit log para acciones sobre datos sensibles
- 13
Capacitar a docentes y administrativos en protección de datos
- 14
Publicar política de privacidad actualizada en sitio web
- 15
Revisar cumplimiento de sistemas legados (ERP, plataformas externas)
¿Quiere una evaluación personalizada? Solicite una revisión gratuita con un especialista Ethoz.
09 · Herramienta
¿Cómo Ethoz ayuda con la Ley 21.719?
Ethoz no reemplaza el sistema de gestión escolar que ya usa su colegio. Agrega la capa de seguridad, privacidad y compliance que esos sistemas no tienen por diseño.
Cifrado y RLS por diseño
Datos cifrados en reposo y en tránsito. Cada persona del colegio accede solo a lo que le corresponde, verificado en cada consulta.
Conocer másAudit log inmutable
Cada acción sensible queda registrada con usuario, timestamp e IP. Trazabilidad exigida por Circular N°30 y necesaria ante brechas.
Conocer másGestión de derechos ARCO+P
Panel para registrar y responder solicitudes de acceso, rectificación y supresión dentro de los plazos legales.
Conocer másIntegración con sistemas actuales
Ethoz se conecta a Napsis, Syscol y Lirmi. No tiene que migrar ni reemplazar su ERP escolar.
Conocer más