Por Raúl Arrieta Cortés. GA-Abogados*
En el Derecho Público, la inseguridad jurídica rara vez es fruto de la mala fe. Con mayor frecuencia, surge de intervenciones bien intencionadas que, en su afán de eficacia, desatienden los límites estructurales del sistema de competencias. La reciente dictación de la Resolución Exenta N° RAEX202503748 del Ministerio de Economía, orientada a anticipar la regulación de las transferencias internacionales de datos personales, constituye un buen caso de este fenómeno. Nos sitúa ante una reflexión necesaria: el peligro de la ansiedad regulatoria y el resurgimiento de una concepción expansiva de las potestades administrativas que el ordenamiento chileno ha buscado proscribir.
Con la publicación de la Ley N° 21.719 en diciembre de 2024, el legislador adoptó una decisión institucional deliberada: la creación de una Agencia de Protección de Datos Personales autónoma, dotada de competencias técnicas exclusivas, acompañada de una vacancia legal de 24 meses. Este plazo, que termina el 1 de diciembre de 2026, no responde a una omisión; es un diseño legislativo que reconoce que la implementación de un sistema moderno de protección de datos exige una maduración técnica y organizacional que no admite atajos.
La temporal inactividad del órgano especializado no genera una competencia vacante susceptible de ser capturada por otras instituciones. Pretender «llenar» este espacio mediante una resolución ministerial no solo tensiona el principio de legalidad, sino que lesiona la voluntad soberana del Congreso, que radicó la potestad de aprobar cláusulas contractuales tipo de manera expresa y excluyente en la futura Agencia de Protección de Datos.
El fundamento invocado para esta intervención, el fomento de la inversión extranjera al amparo del DFL N° 88 de 1953, revela el núcleo del riesgo. Se recurre a la tesis de los poderes implícitos: la idea de que un objetivo general de política pública permite al órgano administrativo para adoptar medidas específicas no previstas por el legislador, incluso cuando estas inciden en derechos fundamentales.
Aceptar este razonamiento implica un riesgo sistémico. Si el fomento económico permitiera regular estándares técnicos de datos personales, bajo la misma lógica se podría justificar la flexibilización de normas laborales o ambientales o de cualquier tipo bajo el pretexto de la competitividad. La jurisprudencia administrativa y constitucional ha sido categórica: las potestades son de derecho estricto y no admiten extensiones analógicas fundadas en finalidades programáticas. Desdibujar los límites competenciales no fortalece la acción del Estado; erosiona su legitimidad.
Por otra parte, desde la perspectiva de los administrados, el escenario es inquietante. Las empresas que, actuando de buena fe, incorporen estas cláusulas enfrentan una interrogante ineludible: ¿Qué valor normativo tienen hoy estas cláusulas?
Bajo el marco legal vigente, estas cláusulas no constituyen una fuente de licitud para el tratamiento de datos. Al emanar de un órgano manifiestamente incompetente en la materia, carecen de la calidad jurídica para configurar las «garantías adecuadas» que exige la nueva normativa y que, por lo demás la ley vigente no reconoce. Así, son, en esencia, acuerdos privados inoponibles como estándar de cumplimiento ante la futura autoridad de control.
A ello se suma la falsa expectativa de una convalidación futura. En Derecho Público, la nulidad por incompetencia absoluta es un vicio de tal magnitud que difícilmente admite saneamiento. La Agencia, una vez instalada, no tendrá el deber jurídico, y probablemente tampoco la facultad, de validar actos que nacieron viciados por una usurpación de funciones. El riesgo práctico es evidente: inversiones realizadas hoy en estándares sin respaldo legal podrían no solo carecer de efecto protector, sino incluso agravar la exposición regulatoria por incumplimiento retroactivo.
Respetar los tiempos institucionales y el diseño del legislador no es ineficiencia ni falta de ambición regulatoria; es la condición mínima de legitimidad para una normativa que debe otorgar certeza jurídica real. Solo desde reglas claras, competencias bien delimitadas y estándares jurídicamente válidos es posible promover la innovación, atraer inversión sostenible y facilitar el desarrollo de modelos de negocio basados en datos. La libre circulación de la información, elemento esencial para la economía digital, no se logra mediante atajos administrativos, sino a través de un marco institucional sólido que permita a Chile aspirar, con credibilidad, a ser reconocido como un país con niveles adecuados de protección de datos, integrado plenamente a los flujos internacionales de información y al crecimiento de largo plazo.
