A seis meses de la entrada en vigor de la Ley 21.719, las pólizas vigentes en el mercado no cubren explícitamente las multas de hasta USD $1,55 millones que puede imponer la nueva Agencia de Protección de Datos. Los expertos advierten que el margen para corregir esa brecha se está cerrando
Santiago, Junio de 2026 - El 1 de diciembre de este año entra en vigencia la Ley 21.719 de Protección de Datos Personales, la norma más exigente en materia de privacidad que ha tenido Chile. La ley crea la Agencia de Protección de Datos Personales (APDP) y establece multas de hasta 20.000 UTM —equivalentes a USD $1,55 millones— por infracciones gravísimas, con posibilidad de aplicar el 2% o 4% de los ingresos anuales para las empresas de mayor tamaño. Sin embargo, una revisión del mercado asegurador chileno revela que ninguna póliza comercializada actualmente cubre de forma explícita las sanciones que esta agencia puede imponer.
La brecha no es menor. Las empresas que manejan bases de datos de clientes, registros de operadores o información de trabajadores —lo que incluye a la práctica totalidad del tejido empresarial chileno— quedan expuestas a un riesgo financiero y reputacional sin red de contención aseguradora. Y el tiempo para estructurar esa red se acorta: los procesos de suscripción de pólizas de ciberriesgo pueden tomar semanas o meses cuando las aseguradoras exigen evaluación previa de la postura de seguridad de la empresa.
Por qué las pólizas actuales no son suficientes
El error más frecuente que cometen las empresas es asumir que un seguro existente —sea de responsabilidad civil, de incendio o incluso de ciberriesgo— las cubre automáticamente frente a la nueva ley. En la mayoría de los casos, no es así.
Las pólizas de responsabilidad civil general están diseñadas para cubrir daños a terceros por acciones u omisiones, no multas administrativas impuestas por un regulador del Estado. Las pólizas de ciberriesgo disponibles en Chile fueron estructuradas antes de que existiera la APDP y no mencionan sus sanciones. Además, especialistas de Ventus Group, especialistas en seguros del rubro las pólizas de property no contemplan ningún componente de riesgo digital o regulatorio. En los tres casos, la empresa que sufre una infracción bajo la Ley 21.719 enfrenta los costos sin respaldo.
La mayoría de las empresas cree que si tiene un seguro contratado está cubierta para todo. Cuando revisan el texto de sus pólizas frente a la Ley 21.719, descubren que ningún capítulo de su programa responde a este riesgo específico. Lucas Benchke, especialista en pólizas, señala: “El problema no es que las empresas no tengan seguros. Es que los seguros que tienen no fueron diseñados para esta ley”.
Cuatro frentes de exposición que las empresas deben cubrir
La Ley 21.719 no crea un solo tipo de riesgo: crea una secuencia. Cada etapa tiene costos propios que deben estar contemplados en el programa de seguros:
- Defensa legal ante la APDP: desde el inicio de un procedimiento de fiscalización, la empresa requiere asesoría jurídica especializada. Esos honorarios no están contemplados en la mayoría de los presupuestos de cumplimiento ni en las pólizas estándar.
- Notificación a afectados: la ley obliga a notificar a cada persona cuya información fue comprometida, en plazos estrictos. Para empresas con decenas de miles de registros, ese proceso tiene costos operacionales y de comunicación significativos.
- Multas administrativas: el desenlace más visible, con montos que escalan según la gravedad y la reincidencia. Para grandes empresas, el cálculo puede aplicarse sobre un porcentaje de los ingresos anuales.
- Daño reputacional: la ley crea un Registro Nacional de Sanciones de acceso público. Aparecer en ese registro tiene consecuencias sobre la confianza de clientes y socios comerciales que ningún seguro puede revertir, pero cuya gestión de crisis sí puede estar cubierta.
Qué debe tener una póliza para responder a esta ley
Un programa de seguros adecuado para la Ley 21.719 debe verificar explícitamente cuatro componentes, sin asumir que están incluidos por defecto:
- Privacy Liability: cobertura de reclamaciones de terceros por daños derivados de una brecha o uso indebido de datos personales. Es el componente más disponible en el mercado y el punto de partida obligatorio.
- Breach Response Costs: cubre investigación forense, notificación a afectados y gestión de crisis. Los plazos que impone la ley hacen que estos costos sean urgentes e inevitables una vez que ocurre el incidente.
- Regulatory Defense & Penalties: el componente más crítico y el más escaso en el mercado chileno. Cubre honorarios legales ante la APDP y, en la medida en que sea asegurable bajo la legislación vigente, las multas administrativas. Debe solicitarse como endoso explícito.
- Sub-límites adecuados al tamaño real de la empresa: una póliza con cobertura total de USD $5 millones pero sub-límite de USD $100.000 para gastos regulatorios ofrece protección ilusoria. El monto de cada componente debe ser proporcional al volumen de datos y al tamaño de la operación.
Lo que más nos encontramos en grandes empresas es que tienen las coberturas correctas pero con sub-límites que no corresponden a su tamaño real de exposición. Benchke, especialista de Ventus Group, señala: “Una empresa con cien mil registros de clientes y un sub-límite de notificación de USD $50.000 está efectivamente desprotegida. El número grande en la carátula del seguro no es la única cifra que importa”.
El margen de tiempo se cierra
El período de adecuación vence el 1 de diciembre de 2026. A diferencia de las PYMEs —que durante el primer año de vigencia solo recibirán amonestaciones— las grandes empresas quedan sujetas al régimen sancionatorio pleno desde el primer día.
Estructurar o actualizar un programa de seguros frente a este riesgo no es un trámite rápido. Las aseguradoras exigen declaración detallada de la postura de seguridad de la empresa: sistemas de autenticación, políticas de backup, capacitación del personal, parches aplicados. En algunos casos condicionan la cobertura a mejoras previas, lo que agrega semanas al proceso. Las empresas que inicien esa revisión en el último trimestre del año no tendrán margen real para corregir.
