Datos personales: la ley llegó, la capacidad no

Por: Daniel S. Acevedo Sánchez | Linkedin | Email*

Durante años, el tratamiento de datos personales en Chile fue percibido como un asunto menor. La Ley 19.628 de 1999 existía, pero su aplicación era débil, su fiscalización prácticamente nula y su peso en la gestión cotidiana de empresas y organismos públicos era marginal. Los datos personales se recogían, almacenaban y compartían con una ligereza que el propio marco normativo permitía por omisión. Eso está a punto de cambiar. Pero que cambie la norma no significa que cambie la forma en que las organizaciones operan.

La Ley 21.719, publicada en diciembre de 2024, reemplaza íntegramente el régimen anterior y entra en vigencia el 1 de diciembre de 2026. Establece nuevas bases de licitud, amplía los derechos de los titulares, introduce obligaciones de evaluación de impacto, exige modelos de prevención de infracciones y crea la Agencia de Protección de Datos Personales como autoridad de control con facultades de fiscalización y sanción. Chile se alinea, por fin, con estándares comparables al GDPR europeo y cumple un compromiso pendiente desde su ingreso a la OCDE en 2010.

Hasta ahí, el avance es claro. Lo que no es claro es si existe la capacidad real para cumplir con ese estándar. Cumplir en serio con una ley de protección de datos no se resuelve redactando una política de privacidad. Implica mapear todos los flujos de datos, identificar bases de licitud para cada tratamiento, rediseñar procesos, capacitar equipos e implementar controles técnicos con trazabilidad suficiente para responder ante la autoridad. La mayoría de las organizaciones chilenas no está estructurada para eso. No porque no quiera, sino porque nunca tuvo que hacerlo.

Esto se nota en el mundo jurídico. Muchas áreas legales y estudios de abogados han tratado la protección de datos como un tema documental: cláusulas, avisos de privacidad, acuerdos de confidencialidad. Pero la gestión real de datos es un problema transversal que involucra tecnología, operaciones y negocio. Eso exige un cambio en el rol del abogado, que pasa de redactor de instrumentos a parte activa del diseño organizacional. Pocos equipos legales están preparados para esa transición.

La creación de la Agencia de Protección de Datos cambia el juego de forma concreta. Lo que antes era un riesgo teórico, sin autoridad que fiscalizara ni sanciones relevantes, ahora se convierte en un escenario de supervisión activa. Pero el mayor riesgo no es la multa. Es operar sin entender realmente cómo fluye la información dentro de la organización, quién accede a qué, con qué justificación y bajo qué controles. Una empresa puede tener una política de privacidad impecable y al mismo tiempo carecer de visibilidad sobre sus propias prácticas de tratamiento. Y esa brecha entre lo declarado y lo operado es exactamente lo que una autoridad competente va a revisar.

La nueva ley no es el punto de llegada. Es el inicio de un examen que Chile se puso a sí mismo. Y ese examen no se aprueba con documentos bien escritos, sino con capacidad real de ejecución: procesos, tecnología, gobernanza y cultura. Las organizaciones que entiendan esto a tiempo van a tener una ventaja. Las que lo traten como un trámite más van a descubrir, probablemente de la peor manera, que la protección de datos dejó de ser un formalismo y se convirtió en una exigencia operativa permanente.

*Daniel S. Acevedo Sánchez | Consultor en transformación digital y estrategia – Legal, Tax & Finance