Por Raúl Arrieta Cortés, GA-Abogados
La entrada en vigencia de la ley de datos personales en diciembre de 2026 no es simplemente un avance regulatorio; es un punto de inflexión. Después de años de discusiones, finalmente hemos dado el salto para alinearnos con los estándares de referencia en protección de datos personales. Pero ese progreso llega acompañado de una etapa inevitablemente incómoda: la transición. Y en esa zona gris, donde la norma está escrita pero aún no vive del todo, la autoridad y el mercado empieza a moverse entre el entusiasmo y la inquietud.
El Segundo Informe de la Comisión de Implementación para la Ley de Protección de Datos Personales, fechado el 1 de septiembre de 2025, refleja precisamente esa tensión. Consciente del riesgo de quedar atrapados en un “desfase normativo” que afecte la competitividad del país, la Comisión propone una agenda ambiciosa: que el Ministerio de Economía apruebe cláusulas contractuales tipo y normas corporativas vinculantes antes de diciembre de 2025, y que la Cancillería avance con determinación en la declaración de países adecuados.
La intención es comprensible. Nadie quiere un apagón regulatorio que frene el flujo de datos ni un escenario donde Chile pierda terreno frente a otras jurisdicciones más ágiles. Pero es justo aquí donde debemos hacer una pausa. Porque en el esfuerzo por llenar este vacío, corremos el riesgo de tensionar, incluso sin quererlo, la arquitectura jurídica que el propio legislador diseñó en la Ley 21.719.
La pregunta no es si necesitamos avanzar. La pregunta es quién puede hacerlo en los términos que el ordenamiento jurídico permite.
La Ley 21.719 es explícita en este punto: la potestad de aprobar cláusulas contractuales modelo, normas corporativas vinculantes y las decisiones sobre adecuación recae en un órgano específico, técnico y autónomo: la Agencia de Protección de Datos Personales. El artículo 28 de la Ley 19.628, en su nueva versión, no deja margen para interpretaciones expansivas.
Por eso resulta inevitable cuestionarse la propuesta de la Comisión de que ministerios sectoriales, amparados en sus potestades orgánicas como el DFL Nº 88 de 1953 en el caso de Economía, adelanten definiciones que la ley reservó a la Agencia. El propio informe reconoce que estas decisiones ministeriales podrían ser “ratificadas, modificadas o incluso descartadas” una vez que el Consejo Directivo entre en funciones. Y esa admisión abre una grieta que no podemos ignorar.
El riesgo es evidente: que empujemos a las empresas a realizar ajustes contractuales, inversiones tecnológicas y cambios operativos basados en actos administrativos transitorios, adoptados por autoridades que no cuentan, al menos para estos efectos, con la competencia específica que la ley exige para dotar de fuerza vinculante a las garantías adecuadas.
La pregunta práctica es brutal en su simpleza: ¿Qué ocurrirá si una empresa implementa antes de que se cree la Agencia de Protección de Datos las cláusulas aprobadas por el Ministerio de Economía y en 2027 la Agencia determina que esos estándares eran insuficientes o que requieren ajustes sustantivos?
La respuesta es un escenario conocido para quienes trabajamos en regulación: doble cumplimiento, duplicidad de costos y una incertidumbre jurídica que, paradójicamente, se pretendía evitar.
La ansiedad por otorgar certezas no puede empujarnos a construir soluciones de corto plazo sobre bases institucionales frágiles. Hay ámbitos donde sí es posible avanzar con plena legitimidad, y el informe los identifica correctamente, como la agenda diplomática, las gestiones para promover la adecuación ante la Unión Europea o el impulso a la adhesión al Convenio 108+. Esas materias descansan en atribuciones propias de la Presidencia y no invaden competencias técnicas reservadas a la Agencia.
Pero otra cosa muy distinta es anticipar, vía decreto ministerial, decisiones que la ley entregó a un órgano autónomo precisamente para evitar arbitrariedades, presiones coyunturales o enfoques sectoriales.
La “certeza interina” prometida por estos actos podría transformarse en la “incertidumbre estructural” del mañana. Las empresas no solo necesitan reglas claras; necesitan reglas definitivas, dictadas por la autoridad competente y concebidas para perdurar. La transición hacia este nuevo régimen puede, y debe, ser ágil. Pero esa agilidad no puede traducirse en sacrificar la seguridad jurídica ni en generar cargas económicas que, más temprano que tarde, podrían resultar inútiles.
En momentos de transición, la tentación de llenar los vacíos rápidamente es grande. Pero es precisamente en esa transición donde más debemos respetar los cauces institucionales que sostendrán el sistema en el largo plazo.
Un aporte especialmente valioso sería impulsar la elaboración de lineamientos, buenas prácticas y orientaciones técnicas que permitan a las empresas, sobre todo de tamaño más pequeño, comprender y planificar su proceso de adecuación. No se trata solo de entregarles documentos de referencia, sino de ayudarles a dimensionar el esfuerzo real que implica la nueva regulación y de guiarlas en una transición ordenada. Que comprendan que la Ley 21.719 no impide tratar datos personales; exige hacerlo con la actitud propia de un buen ciudadano corporativo, consciente de los derechos de los titulares y de la necesidad de gestionar la información con criterios de responsabilidad y transparencia. El desafío es que los responsables del tratamiento de datos entiendan que poner a las personas en el centro no es una barrera, sino una condición mínima para participar con confianza y legitimidad en el entorno digital.
