Muchas microempresas creen que la protección de datos personales es un tema reservado para grandes compañías, bancos, clínicas o plataformas digitales. Pero no es así.

La nueva Ley 21.719, que regula la protección y el tratamiento de datos personales en Chile, también alcanza a negocios pequeños: almacenes, talleres, servicios técnicos, peluquerías, consultas profesionales, emprendimientos familiares, restaurantes, distribuidoras, inmobiliarias pequeñas, oficinas contables y cualquier empresa que maneje información de personas.prieto+1

El punto clave es este: no tener un sistema informático no significa no tratar datos personales.bcn+1

Qué datos puede estar tratando una microempresa

Una microempresa puede no usar CRM, ERP ni software propio, pero aun así manejar datos todos los días a través de facturas, correos electrónicos, WhatsApp, planillas Excel, agendas de contactos, formularios web, órdenes de trabajo, presupuestos, contratos, carpetas en Google Drive o Dropbox, fichas de clientes, currículums, datos de trabajadores, comprobantes de transferencia, fotografías, direcciones y teléfonos.soho+1

Todo eso puede contener datos personales.

La Ley 21.719 fue publicada el 13 de diciembre de 2024 y comenzará a regir el 1 de diciembre de 2026. Aunque parezca lejos, ordenarse a tiempo puede evitar costos, pérdida de información, reclamos de clientes y futuras sanciones.anguitaosorio+3

Qué se considera dato personal

Un dato personal es cualquier información vinculada a una persona natural identificada o identificable.twind+1

Ejemplos comunes:

  • Nombre.
  • RUT.
  • Teléfono.
  • Correo electrónico.
  • Dirección.
  • Firma.
  • Cargo.
  • Fotografía.
  • Datos bancarios.
  • Datos de salud.
  • Historial de compras.
  • Reclamos.
  • Conversaciones por WhatsApp.
  • Datos laborales.
  • Ubicación.
  • Antecedentes financieros.twind+1

Ojo con un detalle importante: los datos de una empresa, como la razón social, el RUT de la empresa o el giro comercial, no siempre son datos personales. Pero en la práctica muchas facturas, correos y órdenes de trabajo sí incluyen datos de personas: representante legal, contacto comercial, vendedor, cliente persona natural o trabajador.soho+1

Ahí la ley sí entra a jugar.

Cuando “solo uso correo y facturación”

Una microempresa típica puede operar así:

  • Emite facturas en el sistema del SII o en un software básico.
  • Recibe pedidos por WhatsApp.
  • Responde cotizaciones por Gmail.
  • Guarda datos de clientes en el celular.
  • Usa Excel para registrar pagos.
  • Conserva documentos en carpetas locales.
  • Comparte archivos por correo.
  • Usa una misma cuenta entre varias personas.

Aunque parezca informal, eso también es tratamiento de datos personales.wikiguias.digital+1

La ley entiende por tratamiento acciones como recolectar, almacenar, consultar, modificar, comunicar, transmitir, usar o eliminar datos. En otras palabras, casi cualquier manejo de información.twind+1

Por eso, el riesgo no está solo en “sistemas grandes”. En las microempresas, muchas veces el problema aparece en prácticas cotidianas:

  • Correos antiguos con datos sensibles.
  • Adjuntos reenviados sin control.
  • Teléfonos con WhatsApp lleno de datos de clientes.
  • Contraseñas compartidas.
  • Computadores sin clave.
  • Respaldos inexistentes.
  • Planillas copiadas entre personas.
  • Carpetas sin permisos.
  • Datos guardados “por si acaso”.
  • Formularios sin aviso de privacidad.
  • Clientes contactados para publicidad sin claridad sobre consentimiento.wikiguias.digital+1

Qué exige la ley en simple

La Ley 21.719 establece principios y obligaciones. Para una microempresa, lo más importante se puede resumir así:

1. Tener una razón válida para usar datos

No todo requiere consentimiento. Por ejemplo, emitir una factura o guardar antecedentes contables puede estar justificado por una obligación legal o contractual.prieto+1

Pero si usas datos para otros fines, como campañas comerciales, promociones, bases de mailing o difusión por WhatsApp, debes revisar bien la base de legitimidad.soho+1

No mezcles datos para prestar el servicio con datos para hacer marketing. Son finalidades distintas.

2. Informar al cliente qué haces con sus datos

La ley exige transparencia. El cliente debe poder saber quién usa sus datos, para qué se usan, qué datos se recopilan, cuánto tiempo se guardan, si se comparten con terceros y cómo puede pedir acceso, corrección o eliminación.prieto+1

Para una microempresa, esto puede resolverse con una política simple de tratamiento de datos, publicada en la web, enviada por correo o disponible en el local.

3. Usar solo los datos necesarios

Si para vender un producto basta con nombre, teléfono y dirección de despacho, no tiene sentido pedir RUT, fecha de nacimiento o datos familiares.soho

Mientras más datos guardas, más riesgo asumes.

4. Proteger la información

La ley exige medidas de seguridad adecuadas al riesgo. Para una microempresa, eso no significa comprar una plataforma cara, pero sí aplicar controles básicos:prieto+1

  • Contraseñas fuertes.
  • Doble factor de autenticación.
  • Computadores bloqueados.
  • Celulares protegidos.
  • Cuentas separadas por usuario.
  • Respaldo periódico.
  • Antivirus o actualizaciones al día.
  • Permisos mínimos.
  • Eliminación de datos antiguos.
  • Cuidado con adjuntos y enlaces.
  • Acceso restringido a carpetas con datos sensibles.prieto+1

La seguridad mínima ya no es opcional.

5. Responder solicitudes de titulares

Las personas tendrán derechos sobre sus datos: acceso, rectificación, supresión, oposición, portabilidad y bloqueo.twind+1

Ejemplo simple: un cliente puede preguntar qué datos tiene la empresa sobre él, pedir que se corrija su teléfono o solicitar que no se usen sus datos para publicidad.twind

La microempresa debe tener al menos un canal claro para recibir esas solicitudes: correo, formulario o un medio equivalente.

6. Cuidar los datos sensibles

Los datos de salud, biométricos, información financiera, menores de edad, afiliación sindical, creencias, vida sexual u otros datos sensibles requieren especial cuidado.soho+1

Ejemplos en microempresas:

  • Consulta médica, dental o kinesiológica.
  • Centro estético que guarda fotos corporales.
  • Gimnasio con fichas de salud.
  • Colegio, jardín infantil o taller infantil.
  • Empresa que recibe licencias médicas.
  • Empleador que guarda antecedentes de trabajadores.

En estos casos, el nivel de cuidado debe ser mayor que en una base comercial común.

7. Controlar proveedores

Aunque una microempresa use servicios externos, sigue siendo responsable.prieto+1

Ejemplos:

  • Contador.
  • Software de facturación.
  • Agencia de marketing.
  • Hosting web.
  • Proveedor de correo.
  • Sistema de reservas.
  • Gestor de campañas.
  • WhatsApp Business API.
  • Empresa de soporte informático.

Al menos debe quedar claro qué proveedor accede a qué datos y para qué.

Riesgos reales

Las sanciones de la ley pueden llegar a montos altos: hasta 5.000 UTM para infracciones leves, 10.000 UTM para graves y 20.000 UTM para gravísimas.ciberseguridad.udec+2

Pero para una microempresa el riesgo no es solo la multa. También está la pérdida de confianza del cliente, los reclamos, la filtración de información, el uso indebido de datos por exempleados, la pérdida de correos o planillas, los problemas con proveedores, la falta de respaldos y la exposición pública de malas prácticas.anguitaosorio+1

Una mala gestión de datos puede salir cara incluso sin sanción formal.

Checklist mínimo

Si tu empresa tiene pocos sistemas o ninguno, empieza por esto:

Datos y documentos

  • Identifica dónde guardas datos personales.
  • Revisa correo, WhatsApp, Excel, carpetas y facturación.
  • Elimina datos que ya no necesitas.
  • Separa información de clientes, proveedores y trabajadores.
  • No pidas datos “por si acaso”.

Correos y cuentas

  • Usa correo corporativo, no cuentas personales.
  • Activa doble factor de autenticación.
  • Evita cuentas compartidas.
  • No envíes planillas con datos sensibles sin protección.
  • Ordena carpetas y elimina adjuntos innecesarios.

WhatsApp

  • Usa WhatsApp Business si corresponde.
  • No mezcles conversaciones personales y comerciales.
  • No agregues clientes a listas de difusión sin base clara.
  • No compartas capturas con datos de clientes.
  • Define quién puede responder y desde qué equipo.

Facturación

  • Guarda documentos tributarios según la obligación legal.
  • Restringe acceso al sistema de facturación.
  • No descargues listados completos si no es necesario.
  • Protege archivos con datos tributarios.
  • Evita enviar facturas o datos de terceros a destinatarios incorrectos.

Formularios y web

  • Agrega aviso de privacidad.
  • Explica para qué se piden los datos.
  • No pidas más información de la necesaria.
  • Si haces marketing, separa el consentimiento comercial.
  • Mantén visible un correo de contacto.

Trabajadores

  • Protege contratos, liquidaciones, licencias y datos bancarios.
  • Limita acceso solo a quienes lo necesitan.
  • No guardes CV indefinidamente.
  • Define cuánto tiempo conservar antecedentes de postulantes.

Seguridad básica

  • Contraseñas únicas.
  • Doble factor.
  • Respaldos.
  • Equipos actualizados.
  • Bloqueo automático de pantalla.
  • Permisos mínimos.
  • Papelera y documentos físicos bajo control.

Una oportunidad para ordenar

La microempresa no necesita partir comprando un software complejo. Necesita orden, criterio y evidencia.preyproject+1

Un buen primer paso es construir un kit mínimo:

  • Inventario simple de datos.
  • Política de tratamiento de datos.
  • Canal de solicitudes.
  • Reglas de conservación.
  • Protocolo básico ante incidentes.
  • Revisión de formularios y WhatsApp.
  • Control de acceso a correo y facturación.
  • Respaldo seguro.
  • Capacitación breve al dueño y colaboradores.

La clave es poder demostrar que la empresa sabe qué datos trata, para qué los usa, cómo los protege y cómo responde si una persona ejerce sus derechos.preyproject+1

Cierre

La Ley 21.719 no es solo un tema para grandes empresas. También obliga a mirar cómo trabajan las microempresas chilenas en la práctica: con correo, WhatsApp, facturación, Excel y carpetas compartidas.wikiguias.digital+1

La buena noticia es que una microempresa puede avanzar mucho con medidas simples y de bajo costo.

El error sería esperar hasta diciembre de 2026 para recién empezar a ordenar los datos.bcn+1

El mejor momento para hacerlo es ahora: antes de que llegue una fiscalización, un reclamo, una filtración o una pérdida de información.

Cumplir la ley no parte comprando tecnología. Parte sabiendo qué datos tienes, por qué los tienes, quién accede a ellos y cómo los proteges.

21719consentimientodatos privadoslegalley 21.719