Por Raúl Arrieta Cortés*
La discusión sobre la Agencia de Protección de Datos Personales dejó hace tiempo de ser una conversación meramente política o administrativa. Hoy es una de las contingencias regulatorias más relevantes para las empresas chilenas.
El reciente rechazo en el Congreso de la nómina propuesta para integrar la Agencia ocurre, además, en un momento especialmente sensible: a pocos días de la fecha prevista para el inicio de su consolidación institucional, fijada para el próximo 1 de junio, en medio de un proceso regulatorio que exige orientación urgente para el ecosistema público y privado.
Porque el verdadero desafío de la nueva Ley de Protección de Datos Personales no está únicamente en la publicación de la norma. Está en su implementación práctica.
Y ahí la Agencia pasa a ser indispensable.
Durante años, Chile operó sin una autoridad técnica especializada capaz de consolidar criterios, interpretar estándares y entregar lineamientos claros sobre cómo aplicar el derecho a la protección de datos personales. La nueva ley viene precisamente a llenar ese vacío, elevando significativamente las exigencias de cumplimiento para organizaciones públicas y privadas.
Pero una regulación de esta magnitud no puede operar en el vacío institucional.
Las empresas necesitan criterios, orientación y previsibilidad.
Hoy múltiples organizaciones siguen intentando comprender qué estándares de seguridad serán considerados razonables, cómo se aplicará el principio de proporcionalidad, cuáles serán las exigencias de responsabilidad proactiva o cómo deberán implementarse las evaluaciones de impacto, entre otras cosas.
Ese punto es especialmente crítico.
Porque una implementación tardía o débil de la Agencia no solo afecta la fiscalización futura; afecta directamente la capacidad actual de adaptación del ecosistema completo. Sin criterios institucionales tempranos, la incertidumbre regulatoria puede transformarse rápidamente en una barrera para el cumplimiento y la innovación.
Por eso la instalación de la Agencia no puede limitarse a una lógica burocrática. Lo que se requiere es una autoridad operativa, técnicamente robusta y activa desde el primer momento.
Y eso obliga también a discutir correctamente qué tipo de perfiles necesita la institucionalidad.
La Agencia requiere expertos en tratamiento de datos personales. Requiere abogados, ingenieros, especialistas en ciberseguridad, innovación y gobernanza digital. Personas que comprendan cómo funcionan los ecosistemas tecnológicos modernos y cómo los flujos de información son esenciales para la economía digital.
Porque proteger datos personales no significa impedir el uso de los datos.
El verdadero desafío regulatorio consiste en equilibrar dos dimensiones igualmente relevantes: permitir el tratamiento legítimo de información necesaria para el desarrollo económico y tecnológico, y al mismo tiempo resguardar efectivamente los derechos de las personas.
Esa es, precisamente, la esencia histórica de la protección de datos personales: asegurar la libre circulación de la información dentro de entornos que otorguen garantías adecuadas a los titulares de datos.
Por eso la discusión no debiese centrarse en buscar personas que nunca hayan tenido relación con operaciones de tratamiento de datos, algo prácticamente imposible en la economía moderna, sino en identificar profesionales capaces de comprender la magnitud del desafío y actuar con independencia frente a las presiones públicas y privadas que inevitablemente existirán al momento de interpretar y hacer cumplir la ley.
La experiencia comparada demuestra que las autoridades de protección de datos más eficaces no son necesariamente las que más sancionan, sino aquellas capaces de generar confianza regulatoria. Y esa confianza se construye mediante criterios claros, guías y acompañamiento técnico que permitan transformar principios jurídicos complejos en estándares operativos aplicables.
La Agencia necesita comenzar tempranamente a construir doctrina administrativa y entregar lineamientos sobre consentimiento, seguridad, tratamientos de alto riesgo, transferencias internacionales, gobernanza y gestión de incidentes.
Porque hoy la discusión ya no es teórica.
Mientras las organizaciones avanzan aceleradamente hacia modelos intensivos en datos, inteligencia artificial y automatización, la ausencia de certezas regulatorias comienza a transformarse en un problema operativo concreto.
Por eso el debate sobre la Agencia no puede reducirse únicamente a quiénes integrarán su dirección o cuándo se completará formalmente su instalación. Lo verdaderamente importante es entender que Chile necesita una autoridad plenamente operativa cuanto antes.
No solo para fiscalizar incumplimientos.
Sino para comenzar desde ya a construir las bases de confianza, certeza y madurez institucional que exige la nueva economía digital.
*Raúl Arrieta Cortés. Abogado | Socio de GA-Abogados
