La Ley 21.719: El nuevo estándar de protección de datos personales

Durante años, la protección de datos personales fue un tema que muchas empresas en Chile sabían que existía, pero que rara vez ocupaba un lugar prioritario en la agenda. Era algo que se revisaba en momentos puntuales: al redactar una política de privacidad, al firmar un contrato, o frente a algún requerimiento específico.

La entrada en escena de la Ley 21.719 cambia completamente ese escenario.

No porque introduzca conceptos desconocidos (muchos de ellos ya existían), sino porque redefine el estándar bajo el cual las organizaciones deben operar. A partir de ahora, la gestión de datos personales deja de ser una práctica implícita o informal, y pasa a convertirse en una capacidad que debe ser diseñada, implementada y sostenida en el tiempo.

Y ese es el verdadero cambio.

De entender la ley a convivir con ella

Uno de los errores más comunes al enfrentar este tipo de regulaciones es abordarlas como un problema de interpretación. Se estudia la ley, se revisan sus implicancias, se consultan abogados. Todo eso es necesario, pero insuficiente.

Porque el punto en el que realmente comienza el desafío no es cuando se entiende la norma, sino cuando esta empieza a cruzarse con la operación diaria.

Es ahí donde aparecen preguntas mucho más concretas:

• ¿Qué datos personales estamos usando en este proceso?
• ¿Tenemos base legal para hacerlo?
• ¿Quién es responsable?
• ¿Podemos explicarlo si alguien lo pregunta?

Cuando esas preguntas no tienen una respuesta clara, el problema deja de ser legal y pasa a ser operacional.

Un cambio de estándar, no sólo de regulación

La Ley 21.719 instala en Chile un modelo que ya se ha consolidado en otras jurisdicciones: el de la responsabilidad activa.

Esto significa que las empresas no solo deben cumplir, sino ser capaces de demostrar cómo cumplen, de forma continua y verificable.

En la práctica, esto implica varias cosas al mismo tiempo:

• Tener claridad sobre los datos que se manejan.
• Definir una base legal para cada tratamiento.
• Establecer medidas de seguridad acordes al riesgo.
• Contar con procesos que permitan responder los derechos de los titulares de manera estructurada y trazable.

A esto se suma un entorno institucional mucho más exigente. La creación de una Agencia de Protección de Datos con facultades de fiscalización y sanción, junto con un régimen de multas que puede alcanzar hasta el 4% de los ingresos, cambia radicalmente el nivel de exposición para las organizaciones.

El punto ciego de muchas organizaciones

En nuestra experiencia, el principal problema no es que las empresas no tengan información sobre los datos que manejan. Esa información existe. Está en contratos, sistemas, planillas, correos y en el conocimiento acumulado de distintas áreas.

El problema es que no está organizada ni disponible de forma estructurada.

Cuando se necesita responder una pregunta concreta —por ejemplo, si un proveedor tendrá acceso a datos personales—, la respuesta no está en un solo lugar. Hay que reconstruirla. Y esa necesidad de reconstrucción constante es, en sí misma, una señal de riesgo.

La ley, en este sentido, no exige solo conocimiento, sino capacidad de gestión continua.

Aún estás a tiempo, pero no indefinidamente

Hoy las empresas en Chile están en una posición particular. La ley ya está definida, sus exigencias son claras, pero todavía existe margen para prepararse de manera estratégica.

Esa ventana no es permanente.

Las organizaciones que actúen ahora podrán diseñar su modelo de cumplimiento con tiempo, integrarlo a su operación y construir una base sólida. Las que no, probablemente tendrán que hacerlo bajo presión, con mayor costo y menor control.

¿Tu organización está preparada?