Tus cámaras de seguridad ya no son solo un tema de seguridad física
Si tu empresa tiene cámaras en accesos, bodegas, estacionamientos o áreas de trabajo, hay una fecha que debería estar en el radar de gerencia y no solo del área de operaciones: el 1 de diciembre de 2026, cuando entra en plena vigencia la Ley 21.719 de protección de datos personales. La norma no habla de seguridad privada, pero alcanza de lleno a cualquier sistema de videovigilancia que capture personas identificables, que es prácticamente todos.
La razón es simple: una imagen de una persona es un dato personal. Un video de una cámara de acceso, un registro de matrícula en el estacionamiento o una grabación de una sala de reuniones caen bajo el mismo régimen que hoy protege una base de datos de clientes. Para el gerente de operaciones o el administrador de contratos que gestiona la seguridad de la empresa, esto significa una responsabilidad nueva que se suma —no reemplaza— a la que ya existe bajo la Ley 21.659 de seguridad privada.
Por qué la videovigilancia corporativa entra de lleno en la ley
La Ley 21.719 reemplaza una normativa de 1999 que había quedado obsoleta frente al volumen de datos que hoy procesan las empresas. Define como dato personal "cualquier información vinculada a una persona natural identificada o identificable", una definición amplia que incluye imágenes y video sin necesidad de mención expresa a cámaras.
Esto tiene consecuencias prácticas concretas para cualquier sistema de videovigilancia:
- Las grabaciones son datos personales desde el momento en que permiten identificar a alguien, aunque sea de forma indirecta (por ejemplo, cruzando la imagen con el registro de acceso).
- El reconocimiento facial y de matrículas puede calificar como dato biométrico o sensible, categoría que exige medidas de seguridad reforzadas y, en varios casos, una base de licitud más estricta que el simple interés legítimo de la empresa.
- La empresa que instala y administra las cámaras es responsable del tratamiento, con independencia de si la operación de las cámaras la ejecuta un proveedor externo de seguridad electrónica o central de monitoreo.
- Los principios de licitud, proporcionalidad, minimización y limitación del plazo de conservación aplican igual que a cualquier otro dato: no basta con grabar "por si acaso"; hay que poder justificar por qué se graba, qué zonas se cubren y cuánto tiempo se conserva el material.
La Evaluación de Impacto en Protección de Datos (EIPD): cuándo es obligatoria
La herramienta central que introduce la ley para este tipo de tratamiento es la Evaluación de Impacto en Protección de Datos (EIPD): un análisis previo y documentado de los riesgos que un tratamiento genera para las personas cuyos datos se procesan. La norma la exige cuando el tratamiento implica, entre otros supuestos, vigilancia sistemática de zonas de acceso público o masivo, perfilamiento o uso de datos sensibles sin consentimiento explícito.
En la práctica, esto cubre buena parte de los sistemas de videovigilancia empresarial: cámaras en recepción, accesos vehiculares, bodegas con flujo de terceros o áreas comunes de un edificio corporativo. Como explicó Revista Innovación Seguridad al analizar el desafío para empresas chilenas, antes de desplegar o ampliar un sistema de cámaras la empresa debería poder responder, con evidencia, para qué se instala, qué alternativas menos invasivas se evaluaron y cómo se protegen las grabaciones.
Qué debería revisar tu empresa antes de diciembre de 2026
La Secretaría de Gobierno Digital publicó una guía práctica de implementación orientada a organizaciones que empiezan a adecuarse. Trasladado al contexto de videovigilancia, el checklist mínimo para un mandante corporativo incluye:
- Inventariar dónde hay cámaras y qué capturan. No solo perímetro y accesos: también estacionamientos, ascensores, áreas comunes y cualquier punto donde se registre a trabajadores o visitas.
- Definir y documentar la finalidad de cada punto de captura. Seguridad patrimonial, control de acceso o prevención de pérdidas son finalidades válidas; la vigilancia genérica sin propósito declarado, no.
- Fijar un plazo de conservación acotado y justificado, con eliminación o anonimización automática una vez cumplido.
- Cifrar el almacenamiento y restringir el acceso a las grabaciones bajo el principio de necesidad de conocer, con registro de auditoría de quién accede y por qué.
- Evaluar si corresponde una EIPD antes de instalar o ampliar sistemas en zonas de acceso masivo, y documentarla aunque la ley aún no esté en plena vigencia.
- Revisar los contratos con proveedores de seguridad electrónica y central de monitoreo, para que las obligaciones de tratamiento de datos queden explícitas y no solo las de servicio.
Multas y fiscalización: qué arriesga la empresa que no se adecua
La ley crea la Agencia de Protección de Datos Personales (APDP), la primera autoridad chilena independiente dedicada exclusivamente a esta materia, con facultades para fiscalizar de oficio, exigir información, ordenar el cese de un tratamiento y sancionar. Las infracciones gravísimas —entre las que se puede encuadrar un tratamiento de videovigilancia sin base de licitud o sin medidas de seguridad adecuadas— contemplan multas de hasta 20.000 UTM, y en caso de reincidencia la sanción puede llegar al 4% de los ingresos anuales por ventas y servicios de la empresa en Chile, o al triple de la multa original, lo que resulte mayor.
Para una empresa que ya invierte en seguridad física, el riesgo no es solo la multa: es que un incidente de videovigilancia mal gestionado —una filtración de grabaciones, un reclamo de un trabajador o un cliente— se convierta en un problema regulatorio adicional al problema de seguridad original.
Tabla comparativa: régimen actual vs. Ley 21.719 aplicada a videovigilancia
| Aspecto | Régimen actual (Ley 19.628) | Ley 21.719 desde dic-2026 |
|---|---|---|
| Autoridad fiscalizadora | Sin agencia dedicada; vía tribunales civiles | Agencia de Protección de Datos Personales (APDP) |
| Evaluación previa de riesgo | No exigida | EIPD obligatoria en vigilancia de zonas públicas o masivas |
| Plazo de conservación de grabaciones | Sin exigencia explícita de justificación | Debe ser acotado, justificado y documentado |
| Sanciones máximas | Bajas y de difícil aplicación práctica | Hasta 20.000 UTM; 4% de ingresos anuales en reincidencia |
| Responsable ante fiscalización | Difuso | La empresa que trata los datos, aunque delegue la operación |
Cómo lo abordamos en Gard Security
La videovigilancia bien implementada sigue siendo una herramienta central de seguridad física, pero desde diciembre de 2026 tiene que operar dentro de un marco de protección de datos verificable. En nuestro servicio de seguridad electrónica diseñamos los sistemas de cámaras considerando finalidad, cobertura y plazos de retención desde el diseño, y en central de monitoreo aplicamos control de acceso y trazabilidad sobre quién revisa cada grabación. Son las mismas prácticas que exige la nueva ley, aplicadas antes de que sea obligatorio hacerlo.
Si tu empresa está evaluando instalar, ampliar o auditar su sistema de videovigilancia y quiere hacerlo con ese estándar desde el inicio, cotiza con nosotros: revisamos tu operación actual y te proponemos una solución dimensionada a tu riesgo real, sin cámaras de más ni vacíos de cumplimiento.
Preguntas frecuentes
¿Las cámaras de seguridad de mi empresa quedan sujetas a la Ley 21.719? Sí. Las imágenes que capturan personas identificables son datos personales bajo la ley, y en contextos de control de acceso o reconocimiento pueden calificar como datos biométricos, con exigencias de tratamiento reforzadas.
¿Qué es la Evaluación de Impacto en Protección de Datos (EIPD) y cuándo debo hacerla? Es un análisis documentado de los riesgos que un tratamiento genera para los titulares de los datos. La ley la exige antes de desplegar sistemas de vigilancia de zonas públicas o de acceso masivo, como suele ser la videovigilancia corporativa.
¿Es obligatorio nombrar un Delegado de Protección de Datos por tener cámaras? No de forma automática. La ley solo lo exige si la empresa adopta voluntariamente un Modelo de Prevención de Infracciones certificado ante la Agencia. Sin ese modelo, la responsabilidad del tratamiento recae igualmente en la empresa.
¿Por cuánto tiempo puedo conservar las grabaciones de videovigilancia? La ley no fija un número de días único: exige definir y justificar un plazo de conservación acotado según la finalidad del tratamiento, y eliminar o anonimizar las grabaciones apenas dejen de ser necesarias para esa finalidad.
¿Qué pasa si mi empresa no cumple antes del 1 de diciembre de 2026? Se expone a sanciones de la Agencia de Protección de Datos Personales de hasta 20.000 UTM por infracción, y hasta el 4% de los ingresos anuales por ventas y servicios en caso de reincidencia, además del daño reputacional ante clientes y trabajadores.
Fuentes: Biblioteca del Congreso Nacional — Ley 21.719; Secretaría de Gobierno Digital — Guía práctica de implementación de la Ley de Protección de Datos Personales; Revista Innovación Seguridad — "Videovigilancia y privacidad: el desafío que deben resolver las empresas chilenas antes de diciembre de 2026".