La entrada en vigencia de la Ley 21.719 sobre Protección de Datos Personales promete reconfigurar la forma en que las empresas chilenas gestionan la información de sus clientes, empleados y proveedores.

Con sanciones que pueden alcanzar los 20.000 UTM (aproximadamente US $1,39 millones), y la posibilidad de suspender el uso de datos por hasta 30 días, esta legislación, comparada con la región, es una de las más exigentes en materia de privacidad.

Pero más allá de las multas, el verdadero cambio radica en una transformación cultural hacia la responsabilidad digital. Aprobada en diciembre de 2024 y con vigencia efectiva desde diciembre de 2026, la normativa crea por primera vez en Chile un organismo autónomo para velar por los derechos de los titulares de datos: la Agencia de Protección de Datos Personales.

Su tarea será fiscalizar, sancionar y educar sobre prácticas adecuadas en el tratamiento de datos, algo que hasta ahora estaba disperso entre tribunales y organismos como el SERNAC. La norma también establece categorías especiales de protección para datos sensibles, como aquellos relativos a la salud, biometría, historial delictivo, finanzas y la información de menores.

A partir de esto, consagra derechos como la portabilidad, eliminación y oposición al tratamiento de datos. Además, obliga a las organizaciones a implementar medidas concretas en materia de políticas de privacidad, herramientas tecnológicas, canales de atención y un modelo claro de gobernanza de datos. Aún faltan casi dos años para que se empiece a aplicar, pero los expertos advierten que no hay tiempo que perder.

La adecuación exige un trabajo técnico, legal y cultural que, de no iniciarse pronto, puede traducirse en riesgos económicos y reputacionales de gran envergadura.

Brechas que deben cerrar las empresas para cumplir con la ley

Gonzalo Ortega, gerente de Risk Advisory Services en BDO Chile -sociedad chilena de auditoría y consultoría-, considera que uno de los desafíos más complejos es el mapeo de datos personales dentro de las organizaciones.

Ese registro será la hoja de ruta para implementar procedimientos y controles efectivos, entre ellos, una Política de Protección de Datos Personales y cláusulas de privacidad en todos los puntos de captura de datos.

“El objetivo es dar transparencia desde el primer momento: para qué se usan los datos, por cuánto tiempo, quién los verá y qué derechos tiene el titular”, señala Ortega.

Por su parte, Óscar Orellana, CISO Global de Inside Security -empresa chilena especializada en ciberseguridad-, apunta a que muchas empresas cometen el error de adquirir tecnologías costosas sin evaluar si realmente sirven para proteger el bien jurídico en cuestión.

Ambos expertos hacen hincapié en la necesidad de involucrar a todas las áreas del negocio, especialmente recursos humanos, tecnología y compliance, y contar con el compromiso activo de los altos mandos.

La norma exige herramientas técnicas y una nueva cultura organizacional. Una oportunidad para repensar la relación con los datos Más allá de cumplir con lo exigido por la normativa, la Ley 21.719, “esta legislación parte de una base: los datos personales no son propiedad de las empresas, son del titular.

Y por lo tanto, su uso debe ser informado, limitado y justificado”, explica Raimundo Díaz, abogado de Auditeris -empresa especializada en servicios de outsourcing y diversas asesorías- Díaz advierte que las sanciones no se limitan a lo económico, ya que las organizaciones también estarán expuestas a “la suspensión del uso de datos puede paralizar una operación.

Eso es más grave que una multa. Imaginemos a una empresa que no puede usar su base de clientes por 30 días. Es una sanción con efectos reputacionales profundos”. Sin embargo, reconoce que muchas empresas cuentan ya con herramientas útiles que no han sido identificadas como parte de su estrategia de protección de datos. “No se trata de empezar de cero, sino de identificar lo que ya tienen y ajustarlo al estándar que exige la ley”, explica.

La nueva ley toma como referencia el Reglamento General de Protección de Datos (GDPR) europeo, considerado uno de los más estrictos del mundo. Por eso, los especialistas insisten en que las organizaciones deben partir por comprender el alcance ético y legal del tratamiento de datos.

Solo recolectar lo necesario, usarlo con fines lícitos y específicos, y nunca más allá de lo autorizado por el titular, explican.

¿Qué deben hacer hoy las empresas?

Para prepararse antes de 2026, los especialistas recomiendan una hoja de ruta con las siguientes acciones: Realizar un mapeo de datos y análisis de brechas: identificar qué datos se recolectan, dónde se almacenan, cómo se procesan y qué brechas existen.

Diseñar políticas y procedimientos claros: redactar políticas de privacidad accesibles para usuarios y trabajadores, junto con cláusulas que informen los fines del tratamiento de datos.

Fortalecer la gobernanza de datos: asignar responsables, capacitar equipos y asegurar el compromiso del directorio. Crear plataformas accesibles para los titulares: portales donde los usuarios puedan consultar, modificar o eliminar sus datos.

Educar a los colaboradores: incluir los temas de privacidad en procesos de inducción y capacitaciones constantes.

“La ley chilena da tiempo, pero no margen para improvisar. Si una empresa espera al último minuto, no solo se arriesga a sanciones: también puede quedar fuera de juego frente a consumidores que exigirán más transparencia y control sobre sus datos”, concluye Orellana.