¿Las multas de la Ley de Datos Personales de Chile son excesivas y desproporcionadas?

El 1 de diciembre de 2026 comienzan a regir profundas modificaciones a la Ley de Protección de Datos de Chile y toda empresa que utilice datos personales se expone a ser sancionada si no la implementa a tiempo y no la cumple después. Las multas que podrán aplicarse despiertan cierto temor, lo que es previsible, ya que desde 1999 ha existido una Ley de Datos Personales (la Ley 19.628 original), sin reales consecuencias en caso de no ser respetada. Infringir ese texto original, vigente por más de 25 años, prácticamente no le quita el sueño a nadie, por una razón muy simple: no tiene un fiscalizador de los incumplimientos ni tampoco sanciones disuasorias.

Sin embargo, con la modificación introducida por la Ley 21.719, la Ley de Datos Personales ahora sí cuenta con esa institucionalidad, a través de una Agencia de Protección de Datos que podrá aplicar importantes sanciones a las empresas, cualquiera sea su tamaño, si no implementan correctamente la ley o si realizan prácticas que la infrinjan.

Pero junto con la preocupación que despierta un régimen de sanciones que antes no operaba -y que es razonable que exista- me parece importante tener presente algunas ideas para poder responder si las multas que dispone la ley son excesivas y desproporcionadas o no. 

Al día de hoy, febrero de 2026, nadie puede saber con certeza el estilo que tendrá la futura Agencia de Protección de Datos Personales. Eso se verá recién al momento de que aplique multas.¿Será un órgano drástico en sus decisiones? ¿Será proactivo o, más bien, reactivo al fiscalizar? ¿Actuará con autoridad y suficiente independencia ante los grupos de poder, tanto públicos como privados? Si la Agencia aún no está instalada ni se ha elegido a su Consejo Directivo, difícilmente alguien podría saber sobre qué tipo de empresas pondrá el foco en su fiscalización y qué tan gravosas serán las multas que aplique.

Por lo tanto, el temor a que, por ejemplo, el error de un practicante en una empresa, que derive en un incumplimiento de la ley de datos personales, pueda traer consigo una multa impagable, hoy es solo una especulación, una mera opinión sin apoyo en datos que aporten certeza de que eso ocurrirá. 

Con lo anterior, no quiero dar a entender la idea de que las multas que impone la nueva regulación sean irrelevantes. Por el contrario, pueden ser muy altas, disuasorias y preocupantes para cualquier empresa que infrinja la ley. Pero la determinación de sus montos será el resultado de varios elementos que deben concurrir, a saber:

1. La gravedad de la infracción.

2. La existencia de atenuantes de responsabilidad.

3. La existencia de agravantes de responsabilidad.

4. El tamaño de la empresa infractora.

5. Ciertas características del infractor.

¿A cuánto ascienden las multas de la Ley chilena de Protección de Datos?

La ley no fija un monto único de multa para cada tipo de infracción, sino que entrega un rango dentro del cual la Agencia de Protección de Datos puede moverse para determinar la cantidad final de una multa en concreto. Por eso tiene sentido, por ejemplo, el tipo de infracción, la consideración de atenuantes y agravantes, quién es el infractor e, incluso, el reconocer el estilo que tendrá la Agencia en su apreciación.

Las multas que determina la ley se calculan en Unidades Tributarias Mensuales (UTM), que es una unidad de medida tributaria utilizada en Chile, entre otros fines, para fijar el monto de multas a beneficio fiscal, como en este caso. Sin embargo, al ser pagada la multa se realiza su conversión a pesos chilenos según el valor de la UTM de ese mes. Para mayor claridad, veamos el ejemplo de la UTM de enero de 2026. En ese mes 1 UTM ascendía al equivalente de $69.751.- pesos chilenos (aproximadamente 79 dólares estadounidenses). 

Con esa consideración, los rangos entre los que fluctúan las multas son los siguientes:

1. Para infracciones leves se fija una multa con un rango amplísimo, porque no indica el mínimo, sino solo un máximo de 5.000 UTM. Por lo tanto, mientras esto no sea aclarado por la Agencia, la multa de una infracción leve podría partir desde 1 UTM o fracción incluso, pero con un máximo cercano a los 350 millones de pesos. 

   
   

De este modo, la Agencia debe fijar parámetros claros para dar objetividad y predictibilidad a sus sanciones, atendido este espectro tan extenso, en donde goza de discreción para aplicar a una misma infracción leve el mayor rigor (por lo general, cuando la cometa una empresa grande con agravantes) y, en el otro extremo, con montos bajísimos (probablemente respecto de microempresas con atenuantes). De hecho, en este caso, incluso podría reemplazar la multa por una amonestación escrita. 

2. El segundo grupo corresponde a las infracciones graves, que también tienen un rango que deberá aclarar la Agencia, ya que solo se indica el máximo al que puede llegar la sanción y no desde qué monto puede partir. La ley señala que la sanción de una infracción grave será la multa de “hasta” 10.000 UTM, es decir, con un tope máximo de casi 700 millones de pesos. 

   
   

Pero ¿desde qué monto comienza la sanción de una infracción grave? ¿Desde 1 UTM o fracción o desde las 5.001 UTM? Si consideramos que la infracción grave puede ser cometida por cualquier tipo de empresa, una multa que parta en los 350 millones de pesos para una PYME, a pesar de corresponder a una infracción de este tipo, podría traer efectos injustos y llegar a provocar la disolución de muchas empresas. Por esa razón, una interpretación razonable y útil a esta norma creo que sería mantener una amplía discrecionalidad para la Agencia, que le permita sancionar infracciones graves desde cualquier monto, pero con el tope en las 10.000 UTM.

3. Finalmente, en el caso de las infracciones gravísimas, se repite el problema de la redacción legal, porque tampoco es claro el “desde”. Solo señala que las multas serán hasta 20.000 UTM, es decir, casi 1.400 millones de pesos. 

Pero cuidado, los montos indicados más arriba no son los más altos que fija la ley para las multas en general. Cada rango podría recibir un recargo de 50% si la empresa sancionada no adopta las medidas de subsanación que le indique la Agencia, dentro de un plazo máximo de 60 días.

Además, la reincidencia de una infracción dentro de los últimos 30 meses (2 años y medio) faculta a la Agencia para ser más drástica aún, pudiendo aplicar hasta el triple de la multa asignada, esto es, hasta 15.000 UTM para infracciones leves (es decir, más de 1.000 millones de pesos); 30.000 UTM, para las graves (es decir, más de 2.000 millones de pesos); y 60.000 UTM para las gravísimas (es decir, casi 4.200 millones de pesos).

Y, por último, tratándose de infracciones graves y gravísimas cometidas por grandes empresas, en caso de dicha reincidencia, la Agencia podrá optar entre la multa triplicada o hasta el monto correspondiente al 2% de los ingresos anuales por ventas y servicios, si la infracción es grave, y hasta el 4%, si es gravísima.

Reconozco que cuando hice las conversiones a pesos pensé que me había equivocado, pero en realidad son así de altas. Basta mirar cómo en Europa se han aplicado multas altísimas a partir del GDPR (Reglamento General de Protección de Datos), como la que recibió Amazon en Luxemburgo, en 2021, por más de 700 mil millones de pesos (746 millones de euros).

Entonces, ¿estas multas en la ley chilena son realmente desproporcionadas?

En mi opinión son multas cuyos montos pueden oscilar en rangos muy extensos, en los que puede moverse la Agencia, lo que no necesariamente es malo, dado lo heterogéneo de las empresas obligadas y lo variopinto de las infracciones. 

Además, podrían llegar a cifras objetivamente muy altas. Pero eso es muy distinto a señalar que sean, a priori, desproporcionadas, teniendo en cuenta los elementos de gravedad que deben ser ponderados para sancionar.

¿Qué podríamos esperar cuándo comiencen a regir las modificaciones a la Ley de Datos Personales en diciembre de 2026?

Dentro del plano de la especulación, pero basado en mi experiencia y el comportamiento de otros entes públicos fiscalizadores, en mi opinión, creo que la Agencia de Protección de Datos Personales, inicialmente, podría llegar a comportarse como lo hizo en su oportunidad el Consejo para la Transparencia, que es el órgano fiscalizador de la Ley de Acceso a Información Pública. Dicho Consejo también cuenta con potestades para sancionar, imponiendo multas contra los Jefes de Servicios Públicos cuando incumplen injustificadamente sus obligaciones de entregar información pública. 

En los primeros años de entrada en vigor de esa ley, el Consejo se preocupó de advertir las infracciones y buscar cambios en las prácticas de opacidad que mantenían varios órganos públicos. Eso sí, desde que comenzó a regir la Ley de Transparencia en 2009 el Consejo estaba en condiciones de iniciar sumarios y aplicar multas y lo hacía, pero fundamentalmente con aquellos servicios públicos recalcitrantes y obstinados en no respetar el principio de transparencia. Solo tiempo después extendió su alcance fiscalizador y sancionador a otros órganos incumplidores.

Por eso creo que es probable que los inicios de la Agencia de Protección de Datos Personales en Chile sean similares, prudentes y aspirando a instalar primero una mentalidad de protección y una cultura de cumplimiento. No hay que olvidar que en Chile existen prácticas muy arraigadas por años en las empresas y es necesario cambiarlas, lo que no ocurre de la noche a la mañana, a pesar de que ahora constituyen infracciones sancionables. Si la Agencia partiera de inmediato con todo el rigor en la aplicación de sanciones, pese a que esté facultada para hacerlo, podría ser contraproducente para la gran mayoría de empresas, considerando además el poco tiempo otorgado para implementar la ley y el gran desconocimiento legal que tienen en esta materia, lo que tampoco ha ayudado para que actúen con mayor sentido de urgencia. 

En resumen, es sensato tener presente que ahora infringir la Ley de Datos Personales no es gratis. Por el contrario, puede significar sanciones importantes para una empresa, dependiendo de la gravedad de la infracción. Por eso insisto en que la implementación de esta ley debe realizarse de manera efectiva y no solo para cumplir una formalidad, a pesar de que lo que se exige no sea fácil de cumplir ni rápido y sin costo. 

Si quieres ayuda para llevar a cabo la implementación de esta ley de datos personales o para verificar que lo que has realizado cumple con los estándares exigidos en ella, agenda una reunión conmigo a través de mi sitio web www.rodolfoherrera.cl.

Será un gusto conocerte.