Por Lucas Chavez Grille, Facultad de Derecho U. de Chile*
La entrada en vigor de la Ley N.º 21.719 marca un punto de inflexión en la evolución del marco normativo chileno en materia de protección de datos personales. A diferencia del régimen anterior —predominantemente declarativo y reactivo—, la nueva normativa se erige sobre una lógica de cumplimiento proactivo, responsabilidad demostrada y rendición de cuentas. Tal desafío no solo conlleva mayores exigencias para los responsables del tratamiento, sino también una redefinición sustantiva de los instrumentos jurídicos mediante los cuales se resguarda la privacidad en un entorno marcado por una experiencia crecientemente digital
Uno de los pilares más transformadores de este nuevo enfoque es, sin duda, el principio de protección desde el diseño y por defecto, consagrado en el artículo 14 quáter. Esta disposición impone a los responsables del tratamiento la obligación de incorporar medidas técnicas y organizativas adecuadas desde el inicio mismo del desarrollo de cualquier sistema, proceso o tecnología que implique tratamiento de datos personales. No se trata ya de reaccionar ante una infracción, sino de prevenir activamente su ocurrencia, estructurando ex ante condiciones que resguarden los derechos y libertades de los titulares.
El cambio de paradigma es evidente: la privacidad deja de ser un accesorio legal para convertirse en una condición estructural. Desde esta perspectiva, cualquier solución tecnológica —una aplicación, una base de datos, una arquitectura algorítmica o una interfaz de usuario— debe concebirse, desde sus primeras líneas de código, conforme a criterios de minimización de datos, segmentación funcional, control granular de accesos y configuraciones predeterminadas que favorezcan la privacidad. El tratamiento debe ceñirse estrictamente a lo necesario, tanto en volumen, como en duración y accesibilidad.
Ahora bien, para comprender en toda su profundidad el sentido y el alcance del principio de protección desde el diseño y por defecto, es imprescindible adoptar una perspectiva que supere la mera dimensión técnica de este deber y permita situarlo en el contexto regulatorio más amplio del entorno digital. En este sentido, resulta especialmente esclarecedora la tesis formulada por el profesor Lawrence Lessig en su influyente obra “Code and Other Laws of Cyberspace” (1999), acuña el famoso termino: “Code is law”. Esta expresión, lejos de ser una mera metáfora, encierra una idea de gran potencia normativa: en el ciberespacio, el software —esto es, el código que estructura el funcionamiento de las plataformas digitales— opera como un mecanismo regulador tan eficaz como la propia legislación escrita.
Lessig sostiene que existen al menos cuatro formas en que se regula la conducta humana: la ley, el mercado, las normas sociales y la arquitectura. En el entorno digital, esta última —entendida como la estructura técnica y lógica que organiza el ciberespacio— adquiere una relevancia preponderante. En efecto, es el código quien define qué puede y qué no puede hacer un usuario, en qué condiciones se accede a ciertos servicios, qué información puede recopilarse, con qué grado de visibilidad y a través de qué trayectorias se despliega la experiencia del usuario. Así, el código no solo habilita funciones técnicas, sino que impone restricciones, habilita posibilidades y condiciona comportamientos. De allí que Lessig afirme que “el código es ley”.
Esta concepción tiene implicancias decisivas para el derecho de protección de datos. Si aceptamos que el diseño del sistema actúa como un regulador fáctico del comportamiento, entonces resulta evidente que cualquier intento por garantizar la privacidad de los titulares debe actuar sobre esa arquitectura. No basta con establecer derechos y obligaciones en un texto legal si, en la práctica, el diseño del sistema digital impide o dificulta su ejercicio efectivo. Por ejemplo, si una aplicación recolecta más datos de los necesarios, dificulta la configuración de privacidad o esconde opciones de rechazo de cookies tras múltiples clics, el titular se verá privado de un control efectivo, aunque formalmente la ley lo ampare.
De allí que el principio de protección desde el diseño y por defecto adquiera una dimensión estratégica: constituye el punto de intersección entre el derecho y la ingeniería de datos. Implica reconocer que la protección de datos no puede ser concebida como una política que se aplica una vez finalizado el diseño del sistema, sino como un criterio estructurante que debe orientar todas las fases del desarrollo tecnológico. En términos concretos, esto significa que el diseño de software, interfaces, bases de datos y procesos algorítmicos debe incorporar —desde sus etapas iniciales— mecanismos que garanticen, por ejemplo, la minimización de datos, la transparencia, el control granular, la seguridad por defecto, la seudonimización temprana y la destrucción oportuna de la información.
Este enfoque preventivo, consagrado normativamente por el artículo 14 quáter de la Ley N.º 21.719, permite precisamente traducir la tesis de Lessig en obligaciones jurídicas concretas. Así, al exigir que el responsable adopte medidas “desde el diseño y por defecto”, el legislador reconoce que la verdadera protección no se obtiene mediante avisos legales o condiciones de uso redactadas en letra pequeña, sino mediante decisiones técnicas que estructuran la experiencia del usuario desde el primer momento. En este plano, el diseño se transforma en un vehículo para la efectividad de los derechos, o bien, en un obstáculo insalvable cuando se implementa de manera opaca o manipulativa.
En definitiva, el principio de protección desde el diseño y por defecto no solo constituye un mandato jurídico, sino que representa una herramienta regulatoria destinada a traducir los derechos fundamentales en criterios técnicos aplicables al desarrollo de sistemas digitales. Comprender que “el código es ley” —en los términos propuestos por Lawrence Lessig— permite apreciar con mayor claridad que el diseño de tecnologías no es neutral, sino que configura una arquitectura normativa en sí misma. En este contexto, resulta indispensable que dicha arquitectura se estructure desde sus etapas iniciales en conformidad con las exigencias legales, de modo tal que la protección de la privacidad no dependa exclusivamente de fiscalizaciones posteriores, sino que se encuentre incorporada en el diseño mismo del sistema, desde su programación básica hasta la interfaz final con el usuario.
