Día Internacional de la Protección de Datos: las claves para que las empresas chilenas se preparen ante la ley

Archivado en: Columnistas
| miércoles, 28 de enero de 2026, 17:38

La


En el marco del Día Internacional de la Protección de Datos, la discusión sobre privacidad y uso responsable de la información personal cobra especial relevancia en Chile. Esto, porque a menos de un año de la entrada en vigencia de la Ley 21.719, fijada para el 1 de diciembre de 2026, las organizaciones enfrentan un escenario de cambio profundo en la forma en que deben gestionar los datos personales de clientes, usuarios, colaboradores y proveedores.


La nueva normativa eleva el estándar de cumplimiento, incorporando un enfoque de responsabilidad proactiva y rendición de cuentas que exige a las empresas no solo cumplir, sino también demostrar que cumplen. En este contexto, el primer paso clave es la realización de un diagnóstico de cumplimiento. Conocer qué datos personales se tratan, con qué finalidad, bajo qué base legal y cómo se gestionan los consentimientos y los derechos de los titulares resulta fundamental para identificar brechas y priorizar acciones antes de la entrada en vigencia de la ley.


Uno de los pilares de este nuevo marco regulatorio es la obligación de mantener un registro detallado de las actividades de tratamiento. Este instrumento deberá reflejar de manera clara las finalidades del tratamiento, las categorías de datos y titulares involucrados, los responsables y encargados, las transferencias internacionales, las medidas de seguridad implementadas y los plazos de conservación. Más que un requisito formal, este registro se convertirá en una evidencia central ante eventuales fiscalizaciones.


La Ley 21.719 también refuerza la necesidad de una gobernanza robusta en materia de protección de datos. Las organizaciones deberán definir roles y responsabilidades internas, evaluar la designación de un Delegado de Protección de Datos cuando corresponda e integrar la privacidad en sus estructuras de cumplimiento, gestión de riesgos y tecnología. La protección de datos deja de ser un asunto aislado del área legal y pasa a formar parte de la estrategia organizacional.


Otro elemento relevante es la incorporación efectiva del principio de “privacidad desde el diseño y por defecto”. Esto implica que la protección de datos debe considerarse desde la etapa inicial de desarrollo de productos, servicios y procesos, especialmente en entornos digitales, aplicaciones, plataformas tecnológicas y sistemas que utilizan automatización o inteligencia artificial. La minimización de datos y las configuraciones de máxima privacidad por defecto serán exigencias cada vez más observadas por la autoridad.


La gestión de los derechos de los titulares adquiere un rol central. Las empresas deberán contar con procedimientos claros, accesibles y documentados para atender solicitudes de acceso, rectificación, cancelación, oposición, portabilidad y otros derechos reconocidos por la ley, respetando estrictamente los plazos legales y manteniendo registros que permitan acreditar una respuesta oportuna y adecuada.


En materia de consentimiento, el nuevo marco normativo exige un estándar más alto. Cuando esta sea la base de licitud, deberá ser previo, libre, informado, específico e inequívoco, y además trazable. Esto obligará a revisar contratos, formularios y experiencias digitales para asegurar que no existan prácticas ambiguas o potencialmente manipulativas.


La ley también introduce la obligación de realizar evaluaciones de impacto en privacidad en aquellos tratamientos que puedan implicar altos riesgos para los derechos de las personas, como el uso de datos sensibles, el monitoreo sistemático o la elaboración de perfiles automatizados. Estas evaluaciones deberán apoyarse en metodologías claras, análisis de riesgos y medidas de mitigación debidamente documentadas.


La gestión de incidentes de seguridad es otro aspecto crítico. Las organizaciones deberán contar con protocolos de respuesta que incluyan la detección, análisis, registro y notificación de brechas de seguridad, tanto a la autoridad como a los titulares cuando corresponda, dentro de plazos que serán estrictamente regulados.


A esto se suma la necesidad de revisar los contratos con terceros que actúan como encargados de tratamiento. La Ley 21.719 exige cláusulas específicas sobre instrucciones, confidencialidad, subcontratación y deber de asistencia, lo que obliga a revisar en profundidad la relación con proveedores y socios estratégicos.


Finalmente, la norma pone un fuerte énfasis en la formación y en la cultura organizacional. La protección de datos debe ser comprendida y aplicada por todas las personas dentro de la organización, a través de capacitaciones periódicas, protocolos internos claros y una definición precisa de responsabilidades.


En este Día Internacional de la Protección de Datos, el mensaje es simple y claro: la entrada en vigencia de la Ley 21.719 no es un trámite más, sino un cambio estructural en la forma en que las empresas chilenas deben relacionarse con la información personal. Aquellas organizaciones que inicien hoy su proceso de adecuación estarán mejor preparadas para enfrentar los desafíos regulatorios, fortalecer la confianza y competir en un entorno cada vez más exigente en materia de privacidad.


José Lagos

Docente UEjecutivos

Facultad de Economía y Negocios

Universidad de Chile

europapress