Tras siete años de tramitación, el Congreso despachó el 26 de agosto la nueva normativa que regula la Protección y el Tratamiento de Datos Personales y crea la Agencia de Datos Personales. Su aprobación ha generado múltiples conversaciones, artículos de prensa y columnas de opinión en las últimas semanas.

¿Por qué suscita tal nivel de interés esta nueva legislación?

La extensa tramitación de esta normativa, refleja los desafíos y complejidades de su implementación. Es un cambio de alta trascendencia que busca responder a los retos de la economía digital, en virtud de la cual, la cantidad de datos creados a nivel mundial se cuadriplicará al 2030, según la consultora International Data Corporation (IDC), por lo que su correcto manejo es un punto crucial para equilibrar la privacidad de las personas con la libre circulación de la información.

La nueva norma introduce modificaciones sustanciales a la actual Ley N° 19.628 sobre Protección de la Vida Privada, que elevan el estándar de protección al establecer que toda persona tiene derecho de acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos personales. Asimismo, consagra nuevas fuentes de licitud para el tratamiento de datos, crea una autoridad de control -la Agencia de Datos Personales que supervisará su cumplimiento- y define sanciones altísimas que pueden alcanzar hasta 5 mil UTM (alrededor de $330 millones) en caso de faltas leves y 20 mil UTM (alrededor de $1.300 millones) en caso de faltas gravísimas, además de multas por reincidencia de infracciones graves y gravísimas para grandes compañías, las que pueden llegar hasta el 4% de sus ingresos anuales. Cabe hacer presente, que esta norma no sólo afecta a entidades chilenas, sino también a aquellas extranjeras que ofrecen bienes o servicios a titulares de datos en el país.

El fondo de esta legislación se basa en el consentimiento y en resguardar el secreto, la seguridad y la mantención de la integridad del dato. Así, las organizaciones podrán utilizar datos personales sólo si obtuvieren consentimiento y para los fines para los cuales recibieron autorización. Adicionalmente, la nueva ley establece el derecho a saber quiénes disponen de nuestra información y el derecho a oposición, el cual, por ejemplo, impediría el tan criticado “spam telefónico” para ofrecer productos y servicios.

Hasta hoy, las empresas están acostumbradas a tratar bases de datos con muchos registros, por lo cual, adaptarse a la nueva ley implicará modificar procesos, invertir en tecnología, gestionar información sensible y capacitar a los equipos para hacerlo. También se crearán nuevos roles, como los delegados de Protección de Datos, quienes serán puntos de contacto con la Agencia de Datos Personales. En grandes empresas, deberán ser independientes de la administración. En las pymes, la ley permite que el dueño o la máxima autoridad de la compañía asuma este rol.

¿Estamos preparados para esta nueva realidad?

Para avanzar en la implementación correcta de esta normativa, debemos dejar de ver la gobernanza de datos como una responsabilidad exclusiva del área de tecnología. Este proceso es mucho más amplio y deberá impulsar una transformación que involucre a toda la organización, a través de políticas y procedimientos que permitan un manejo coherente de los datos en la empresa.

Además, esta nueva normativa debe convivir y lograr ser compatible con una serie de otras nuevas regulaciones que han surgido en el último tiempo, como la Ley de Delitos Económicos y la que crea el Registro de Deuda Consolidada. En el caso de la primera, las empresas deben crear modelos de prevención al igual que para la protección de datos y, por tanto, será clave avanzar hacia programas de cumplimiento consistentes o crear un modelo unificado para evitar eventuales ineficiencias prácticas a la hora de dar cumplimiento a los deberes de dirección y supervisión. En el caso del Registro de Deuda Consolidada, en tanto, se ha sostenido que podrían producirse controversias entre la Comisión para el Mercado Financiero (CMF) que administrará dicho registro y la Agencia de Datos Personales.

Sin duda, la nueva ley de Protección de Datos Personales es una medida necesaria para que Chile se adapte a las exigencias que impone un entorno digital cada vez más complejo y representa una oportunidad de fortalecer la confianza del mercado en cuanto al tratamiento de la información, sin embargo, su implementación representa un desafío significativo que las organizaciones deberán sortear antes de su entrada en vigencia en 2026.