Directorios y comités de Riesgo: ¿Cómo integrar un modelo de infracciones en la gestión organizacional?
La entrada en vigencia de la Ley 21.575 representa un hito para la gobernabilidad en protección de datos en Chile. Las organizaciones enfrentan el desafío de incorporar nuevos estándares regulatorios que no solo exigen el cumplimiento normativo, sino también la demostración de responsabilidad activa ('accountability').
Según los datos publicados por la Agencia Española de Protección de Datos (AEPD) en 2024, las tres infracciones más reportadas fueron la comunicación de datos sin consentimiento del titular, el incumplimiento del principio de confidencialidad y la falta de medidas de seguridad técnicas u organizativas.
Estas infracciones reflejan fallas en la gestión del consentimiento, deficiencias en los controles internos y debilidad en la gobernanza del riesgo digital.
En este contexto, el modelo de infracciones es una herramienta que permite identificar, categorizar y gestionar las transgresiones a los principios y obligaciones legales establecidas en las leyes de protección de datos. Actúa como un marco para anticipar, evaluar y mitigar los riesgos legales, reputacionales y operacionales derivados del tratamiento indebido de datos personales.
Para convertir el modelo de infracciones en una herramienta activa de gestión, es necesario realizar cinco acciones: Medir la cultura de protección de datos, clasificar las infracciones más probables y asociarlas a vulnerabilidades y amenazas, implementar controles específicos alineados con la ISO/IEC 27001 e ISO/IEC 27701, definir el apetito de privacidad con métricas claras y aplicar enfoques de cambio de comportamiento como Nudges, Modelo ADKAR y Fogg.
Junto a ello, la gestión de riesgos de privacidad debe ir de la mano con la definición explícita del apetito de riesgo, enmarcado en la estrategia corporativa. El apetito de privacidad representa el nivel de riesgo residual que la organización está dispuesta a aceptar respecto de la protección de datos personales. Junto con ello, se debe impulsar una cultura organizacional que priorice la ética digital, la protección del titular y la prevención de incidentes. Evaluar esta cultura permite segmentar a los colaboradores y diseñar intervenciones adaptadas.
Estas prácticas permiten integrar la privacidad en el sistema de gestión de riesgos y fortalecer la resiliencia organizacional.
La privacidad no se protege con buenas intenciones, sino con una gobernanza efectiva y acciones sistemáticas. Pasar de la teoría a la práctica exige una visión estratégica, capacidades operativas, y liderazgo cultural. Los directorios y comités de riesgo deben incorporar el modelo de infracciones como parte del tablero de control estratégico, no como una reacción a la sanción o multa, según el tipo de infracción, sino como una inversión en confianza y sostenibilidad.
José Lagos
Docente UEjecutivos
Facultad de Economía y Negocios
Universidad de Chile
