Desde hoy, Chile tiene la Ley N.º 21.719 sobre Protección de Datos Personales, una nueva herramienta para resguardar la privacidad de la ciudadanía. La normativa busca regular cómo empresas, instituciones y organismos públicos manejan la información, estableciendo reglas claras para así evitar abusos y proteger derechos básicos de la población.

La legislación establece una serie de derechos fundamentales que permiten a las personas solicitar acceso a sus datos, exigir su corrección en caso de errores o cambios y requerir su eliminación cuando se considere que estos ya no sean necesarios.

Además, se incluye el derecho a la portabilidad, que permite trasladar información personal entre distintas entidades. Para poder garantizar su cumplimiento, la ley crea también la Agencia de Protección de Datos Personales, un organismo encargado de supervisar y sancionar cualquier infracción, que tendrá un rol protagónico en la ejecución de las medidas.

Felipe Harboe, exparlamentario y uno de los impulsores clave de esta normativa, destaca que la ley es el resultado de un esfuerzo legislativo integral. “Teníamos, por un lado, la norma constitucional, y el proyecto de ley, que era la bajada de la norma constitucional... Y si uno ve, la norma constitucional dice: ‘La protección de los datos será de conformidad con la ley’, entonces era esta ley la que necesitábamos”, dice el abogado socio de H&Co.

La normativa otorga a los ciudadanos herramientas legales para la protección de su información personal, conocidas como los derechos ARCO: acceso, rectificación, cancelación y oposición. Estas permiten verificar cómo y por qué sus datos están siendo usados y exigir su eliminación si no se cumplen los requisitos establecidos por la ley.

Harboe explica que las empresas tienen una alta responsabilidad en esta legislación. “La carga de la prueba es de la empresa o la persona que administra datos de otros… Si no logra probar que tiene la información desde una fuente legítima, tendrá que borrar el dato o adecuarlo”, señala el especialista. Esto implica, dice, que todas las entidades con bases de datos deben de demostrar su origen o tendrán que enfrentar sanciones con multas importantes. En casos de alta gravedad, apunta, incluso podría decretarse la prohibición de gestionar datos por parte de estas entidades.

Además, uno de los principales retos es que las empresas tendrán que ajustar sus estructuras internas para cumplir con la ley. Esto no solo incluye implementar políticas de privacidad más estrictas, sino también fomentar una cultura corporativa alineada con los principios de protección de datos. “Implicará necesariamente que las empresas vayan adecuando sus estructuras, sus normas de tratamiento y también sus culturas corporativas a esta nueva exigencia”, subraya Harboe.

Otro desafío que destaca es la falta de conocimientos generales sobre protección de datos en el país. Tanto los ciudadanos, las empresas y organismos públicos tendrán que adquirir capacidades necesarias para implementar correctamente la ley. En su momento, dice, “muchos parlamentarios ni siquiera entendían la importancia de la digitalización y los riesgos asociados”.

Harboe recuerda que el proceso para llegar a esta ley comenzó en 2017, cuando presentó un proyecto que buscaba cambiar por completo la Ley N.º 19.628. “Eso motivó que la Presidenta Bachelet finalmente enviara su proyecto, y como los parlamentarios tenemos limitaciones para crear institucionalidad, decidí fusionar los proyectos.... Sacamos una parte del proyecto Bachelet, otra del nuestro, y armamos un proyecto completo, que hoy día es único”, explica.

“Chile fue pionero en 1999 con la Ley 19.628, pero como no tenía institucionalidad, quedó como letra muerta... En Chile nunca hubo una cultura de protección de datos”, destaca en relación a los orígenes de la regulación.

Una de las innovaciones más relevantes de la Ley N.º 21.719 es la protección específica para datos sensibles, como aquellos vinculados a la salud, biometría o convicciones personales. La normativa establece un nivel de resguardo más alto para este tipo de data y cualquier uso incorrecto puede derivar en sanciones severas.

“Pensemos, por ejemplo, en los datos de salud, que tienen un carácter de reserva mayor, y su infracción trae sanciones mayores... Por eso, el consentimiento para tratar estos datos debe ser explícito y otorgado de forma clara”, agrega Harboe.

El legislador también explica que las sanciones no dependerán del tamaño de la empresa, sino de la criticidad que tenga el dato. “Una pyme que hace test de VIH, por ejemplo, no tendrá sanciones menores solo por ser pequeña, sino que su obligación está directamente relacionada con la naturaleza crítica de los datos que maneja”, señala.

La nueva ley otorga especial atención a los datos de niños, niñas y adolescentes. En este sentido, el exsenador aclara que “el consentimiento, por ejemplo, no vale si viene de un menor de edad y, aun cuando el niño ponga ‘aceptar’ en una política de privacidad, ese consentimiento no vale porque ese niño es menor de edad”.

La implementación de la nueva ley busca no solo establecer reglas claras, sino también fomentar un cambio cultural en el manejo de la data personal. Harboe recalca la necesidad de una mayor conciencia sobre el tema. “Esto va a implicar necesariamente que las empresas vayan adecuando sus estructuras, sus normas de tratamiento y también sus culturas corporativas a esta nueva exigencia”, apunta.

El exparlamentario también destaca la importancia de que los ciudadanos se empoderen y comprendan la relevancia que tienen sus datos. “El caso de World Coin es un ejemplo claro de ignorancia.... Muchas personas entregaron su iris a cambio de criptomonedas sin considerar el valor futuro de ese dato biométrico”, comenta.

Harboe agrega que ya es considerado un sistema de confirmación e identificación que se utiliza internacionalmente. “Esta gente ya lo cedió a una empresa y lo mandó a quién sabe dónde”, enfatiza, subrayando el riesgo de entregar información tan sensible sin evaluar las consecuencias.

La agencia de Protección de Datos Personales contará con una serie de herramientas para garantizar el cumplimiento de la normativa. Esta podrá: supervisar y fiscalizar a empresas y organismos públicos mediante auditorías y revisiones de cumplimiento; resolver reclamaciones de los titulares de datos y mediar en conflictos relacionados con el tratamiento de información personal; imponer sanciones administrativas, como multas, en caso de incumplimientos graves; llevar un registro público de las bases de datos que procesen información sensible o de gran escala; promover campañas de educación y concienciación, además de capacitar a las entidades responsables del tratamiento de datos.

“No debiera ser eminentemente sancionadora al principio, sino cumplir un rol formativo, con campañas de difusión y educación en colegios y universidades”, puntualiza Harboe.

El reglamento complementario a la ley estaría listo en junio de 2025. La normativa tendría que entrar en vigencia completa en un plazo de dos años posteriores a esta fecha, mientras que se proyecta que la Agencia de Protección de Datos Personales quede constituida hacia finales de 2026.

Con esta normativa, Chile se alinea con estándares internacionales en materia de protección de datos personales, como los implementados en países como España y Brasil. “Nuestros datos son valiosos, y esta ley busca protegernos como nunca antes”, señala Harboe. El desafío, eso sí, ahora recae en la correcta aplicación de estas disposiciones y en la educación de todos los actores involucrados para garantizar su efectividad.

Una de las críticas más recurrentes es que la ley llega a destiempo. ¿Qué opina al respecto? “Sí, efectivamente, la ley llega tarde... Pero lo que va a ocurrir es que va a obligar a todas las personas naturales o jurídicas que administran datos a adecuar su actuar, a crear una cultura de protección de datos y a revisar sus bases de datos”, cierra Harboe.