Chile se alinea al modelo de la Ley europea de protección de datos.

 Por Cristina Fritz, cofundadora de Digital eXp

La promulgación de la Ley 21.719 sobre Protección de Datos Personales ha sido calificada como un momento histórico para Chile. Y lo es. Después de décadas con una normativa desfasada, el país da un paso importante hacia el reconocimiento de la privacidad como un derecho fundamental en la era digital.

Sin embargo, cuando la tinta aún está fresca, es legítimo preguntarse si esta ley será un verdadero impulsor de transformación y cuánto va a costar a las empresas la adaptación. En Europa el tiempo de adaptación fue muy corto, acá en Chile es de dos años desde que se promulgó, lo que es una ventaja comparativa no menor.

Hoy vivimos en una economía de la información, donde nuestros datos —nombre, Rut, ubicación, huella digital, intereses, historial médico, hábitos de navegación, ADN incluso— son una materia prima explotada sin freno por empresas y gobiernos. Cada acción en línea deja una huella.

Cada aplicación gratuita tiene un precio oculto (“si no le cobran por un producto o servicio, el producto es usted”). Cada “acepto los términos y condiciones” es un acto de consentimiento que pocos comprenden. En ese contexto, proteger los datos personales no es solo una necesidad jurídica, es un acto de defensa de la autonomía, de la identidad y, en última instancia, de la libertad individual.

La nueva ley, inspirada en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, establece un marco ambicioso y moderno. Incorpora principios claros, reconoce derechos para las personas —como el acceso, rectificación, eliminación, portabilidad y oposición al tratamiento automatizado de datos—, y exige a las organizaciones ser responsables, transparentes y proactivas.

También establece sanciones importantes, que en el caso de infracciones gravísimas pueden alcanzar las 20.000 UTM, lo que equivale a más de $1.300 millones. No es menor. Incluso contempla la posibilidad de suspender actividades de tratamiento de datos de manera temporal o indefinida, por vulneraciones en las medidas de seguridad o por violación de los derechos de los titulares de los datos.

Pero como toda norma nueva y no tradicional, la implementación es su mayor foco, donde abogados, consultores TI, especialistas en seguridad, podemos y debemos aportar. Esta ley crea la Agencia de Protección de Datos Personales como entidad fiscalizadora, con atribuciones sancionatorias. Habiendo analizado lo que pasó en Europa por lanzar la ley con premura y sin período de preparación, acá se establece que tanto la Ley como la Agencia comienzan a operar el 1 de diciembre de 2026.

Eso significa que, entre hoy y esa fecha, estando la ley promulgada, si un ciudadano ha sido perjudicado está en todo su derecho de demandar en tribunales civiles. Les invito a no perder esto de vista, La Ley 19.628 y la Ley 21.719, que regulan la protección de datos, permiten que los titulares de datos puedan ejercer acciones judiciales para defender sus derechos.

La otra cara es el impacto en las organizaciones. Desde grandes conglomerados hasta pequeños startups, todas deberán ajustarse a la nueva ley. Y aunque el principio de proporcionalidad existe, lo cierto es que muchas empresas no tienen idea de por dónde comenzar. Se les sugiere (no obliga, recomienda) designar un delegado de protección de datos (DPO), realizar evaluaciones de impacto, establecer protocolos, capacitar equipos y demostrar cumplimiento constante. Pero ¿qué pasa con una pyme que no tiene equipo de tecnología, ni abogados in house, ni presupuesto para contratar consultorías especializadas?

El espíritu de la Ley es impulsar los negocios, procesos, servicios digitales, aportando confianza. Está previsto en la Ley que el DPO y otros servicios se subcontraten, y es de todo sentido que el nivel de especialización requerido hará que sea lo más viable financieramente.

¿Qué es lo primordial? Prepararse a tiempo, ordenarse, catalogar, trabajar con un consultor que revise bases de datos, manejo de consentimientos, cómo las personas van a ejercer sus derechos.

Lo que es aún más preocupante es que muchas empresas no están simplemente desprevenidas: están desinformadas. No saben que almacenar correos electrónicos de clientes sin su consentimiento explícito puede ser una infracción.

 No entienden que una base de datos antigua también debe cumplir la nueva normativa. No han dimensionado que un incidente de seguridad, como un ciberataque, ahora puede tener consecuencias legales y económicas graves, más allá del daño reputacional. No es que no quieran cumplir, es que no saben cómo.

A esto se suma la tecnología en rápida evolución. Hablamos de reconocimiento facial, asistentes virtuales, inteligencia artificial generativa, blockchain, biometría, redes neuronales, big data. Y frente a eso, la ley chilena avanza con cautela, sin abordar en profundidad las implicancias éticas, sociales y jurídicas de estas herramientas.

Por ejemplo, se reconoce el derecho a oponerse a decisiones automatizadas, como cuando un algoritmo decide si una persona accede a un crédito. Pero no está maduro aun el cómo deben implementarse estos mecanismos de revisión humana, contamos con pocos precedentes para analizar.

La protección de nuestros datos personales no es una moda. Es un derecho humano. Pero garantizarla requiere más que leyes. Requiere educación masiva, desde la escuela básica hasta la alta dirección empresarial. Requiere que las personas entiendan qué son sus datos personales, sus datos privados, por qué importan, cómo protegerlos y qué pueden exigir.

Requiere también un cambio de mentalidad: pasar de una lógica reactiva y legalista a una cultura de responsabilidad digital. No se trata solo de cumplir la ley por miedo a la multa, sino de entender que la confianza es el nuevo activo de la era digital.

Chile se encamina a ser un hub tecnológico. Pero no podrá serlo si no genera certezas, reglas claras y entornos confiables. La protección de datos es ser una ventaja competitiva. Puede ser el sello de calidad que nos distinga. Pero para eso necesitamos coherencia, coordinación público-privada, inversión en capacidades estatales, incentivos razonables y, sobre todo, una implementación realista que no mate la innovación en el camino.

Chile ha dado un paso adelante. Pero si ese paso no va acompañado de educación, fiscalización y acompañamiento técnico, podríamos terminar cayendo en un espiral regulatorio.