
PROTECCIÓN DE DATOS PERSONALES: ¿CÓMO DEBEN PREPARARSE LAS EMPRESAS?
🏢 La nueva ley de protección de datos personales en Chile ya está en marcha. Aunque aún falta tiempo para entre en vigencia y se constituya la Agencia de Protección de Datos Personales (todo previsto para fines de 2026), las transformaciones que implica esta norma conllevan importantes desafíos para las empresas.
📊El flujo de datos y la proliferación de información que circula en el país se ha regido, hasta ahora, por la ley 19.628, que data de 1999 y estaba obsoleta respecto de los estándares mundiales.
La nueva ley, que ubicará a Chile al nivel de la reglamentación europea, otorga a las personas herramientas legales para proteger su información personal. Entre los derechos incluidos se encuentran el acceso, rectificación, supresión, oposición y portabilidad, lo que les permitirá verificar cómo y por qué se utiliza su información y exigir su eliminación si no se ajusta a las disposiciones legales.
A su vez, las instituciones públicas y privadas deberán cumplir con estrictos parámetros en la gestión de datos, lo que implica ajustar sus procesos actuales.
🛡Esto es particularmente relevante si consideramos que, según un estudio de la Cámara de Comercio de Santiago, el 80% de las organizaciones en Chile considera que el tratamiento de información personal es importante o crítico para su operación.
⚖ Romina Garrido, directora de Protección de Datos y Ciberseguridad en Prieto Abogados y subdirectora de GobLab de la Universidad Adolfo Ibáñez, señala que, en general, las empresas en nuestro país están en una fase inicial y carecen, en su mayoría, de una cultura organizacional centrada en la protección de datos. “Las grandes empresas, que tienen controladores sujetos a la normativa europea (GDPR), están más avanzadas y han comenzado a implementar programas de cumplimiento. Una cuestión preocupante es que se piensa que el tiempo de implementación que da la vacancia legal (24 meses) es mucho, cuando en realidad no hay mediciones de madurez o diagnósticos previos que permitan dimensionar los esfuerzos que deben desplegarse”, señala.
✅Para abordar esta nueva realidad, el ex director general del Consejo para la Transparencia y socio de Exempla, Raúl Ferrada, indica que el primer paso que deben dar las empresas es realizar un diagnóstico o evaluación de procesos, considerando que toda organización trata datos personales, a lo menos de sus colaboradores, clientes y proveedores, y realiza operaciones de recolección, procesamiento, almacenamiento, comunicación, transmisión o utilización de datos a los que se les aplican los estándares definidos por la ley. “Se debe diseñar y ejecutar un plan de intervención que asegure, en todo el ciclo de vida de un dato personal, el cumplimiento de las nuevas exigencias legales, lo que dará lugar a la elaboración de políticas, revisión de procesos y protocolos, generación de controles, monitoreo y nuevos roles al interior de la organización”, acota.
👥En términos prácticos, las empresas tendrán que establecer políticas internas claras sobre el manejo de esta información, capacitar a sus colaboradores en buenas prácticas de protección y evaluar los riesgos asociados a proyectos que involucren información sensible mediante procesos como las Evaluaciones de Impacto en la Protección de Datos (PIAs).
También será esencial definir protocolos de respuesta ante incidentes, como brechas de seguridad o accesos no autorizados, y establecer un ciclo de vida para los datos, desde su recolección hasta su eliminación segura.
💻 En el ámbito tecnológico, las organizaciones deberán adoptar medidas específicas, ya que los datos son, en su mayor parte, activos digitales.
Romina Garrido advierte que, aunque no existe un listado herramientas tecnológicas en la misma ley, algunas soluciones básicas para las organizaciones incluyen un DLP (Data Loss Prevention), firewalls, sistemas de detección de intrusos (IDS) y protección avanzada contra malware. “Las empresas que manejen grandes volúmenes de información personal o que dependan del consentimiento de los usuarios deberán considerar herramientas de gestión de consentimientos (Consent Management Platforms) para registrar y gestionar los permisos de uso de datos personales”, indica.
La necesidad de una cultura de protección
Más allá de las modificaciones en sus procesos y la implementación de nuevas tecnologías, las compañías e instituciones enfrentan desafíos aún más profundos.
🛡A juicio de Raúl Ferrada, “el más importante es la instalación de una cultura de la protección de datos personales, tanto en la ciudadanía como en las entidades públicas y privadas, para enfrentar un contexto donde se han instalado prácticas de recolección, registro y comunicación de datos personales, como el RUT e incluso datos biométricos como la huella digital para finalidades y bajo condiciones que, con una alta probabilidad, no aprobarían un test de legalidad a la luz de los estándares que prontamente entrarán en vigencia en Chile”.
📈Por su parte, la abogada Romina Garrido subraya la resistencia al cambio como una dificultad importante, especialmente en culturas organizacionales que no priorizan la protección de información y ven la normativa como un costo y no como un valor. “Probablemente estábamos acostumbrados a una forma de gestión, al envío de información por canales o vías más informales, a no tener directrices claras. Todos estos cambios no solo son documentos, sino también cultura, e implementarlos significa también invertir en tecnología y personal especializado. Esta ley se veía venir hace años y son pocos los que han partido antes”, concluye.
