La reciente y muy esperada promulgación de la Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, no solo representa un hito en la historia regulatoria de Chile, sino que también es un llamado a las empresas para abrazar estándares más altos de cumplimiento en materia de protección de datos. Esta ley, que sustituye el marco de la antigua Ley N° 19.628, introduce un enfoque robusto basado en principios fundamentales como la licitud, proporcionalidad y seguridad, al tiempo que crea la Agencia para garantizar su implementación efectiva.
Entre las novedades más relevantes está la obligatoriedad de realizar evaluaciones de impacto en privacidad (EIPD) en tratamientos de alto riesgo para los derechos de los titulares de los datos personales, una práctica ya estándar en legislaciones como el GDPR europeo. Además, se amplían los derechos de los titulares, incluyendo el derecho a la portabilidad y a oponerse a decisiones automatizadas. Estas disposiciones exigen que las organizaciones adopten una visión proactiva y preventiva en el manejo de datos, integrando el principio de responsabilidad proactiva o accountability en sus procesos, algo completamente novedoso en la regulación chilena.
De esta forma, un pilar fundamental de esta ley es el principio de responsabilidad proactiva, que exige a los responsables del tratamiento implementar técnicas organizativas adecuadas para garantizar y demostrar que están tomando medidas concretas para garantizar el cumplimiento de la normativa. Esto sin duda implica un cambio profundo en la forma en que las empresas han abordado la protección de datos: ya no basta con reaccionar ante los problemas, ahora deben adoptar controles preventivos, capacitar a sus equipos, documentar sus procesos y mantener evidencias que respalden cada decisión relacionada con el tratamiento de datos. Este enfoque requiere integrar la protección de datos como parte esencial de la gobernanza corporativa y no como un requisito aislado, promoviendo una cultura de cumplimiento en todos los niveles de la organización.
Relacionado: Ley N°19.628: La convergencia regulatoria y certeza jurídica en la ley de datos personales de Chile
Otro aspecto clave de la nueva normativa es su enfoque en la seguridad de los datos personales, imponiendo obligaciones específicas para la adopción de medidas técnicas y organizativas que garantizan la confidencialidad, integridad y resiliencia de los sistemas. Este cambio responde a un contexto en el que los incidentes de seguridad son cada vez más frecuentes y costosos, tanto en términos económicos como reputacionales. Las empresas ahora deberán no solo prevenir brechas de datos, sino también reportarlas a la nueva Agencia de forma expedita, marcando un antes y un después en la transparencia frente a los titulares.
Otra novedad significativa es la posibilidad de designar un Delegado de Protección de Datos (DPO). Este rol se convierte en una figura clave para garantizar el cumplimiento continuo, actuar como enlace con la Agencia de Protección de Datos y fomentar una gestión adecuada dentro de las organizaciones. El DPO no solo debe poseer conocimientos especializados en normativa y prácticas de privacidad, sino también contar con autonomía para supervisar las actividades de tratamiento de datos y reportar directamente a los niveles más altos de dirección. Para muchas empresas esto implicará reestructurar sus equipos o buscar profesionales externos que cumplan con estos estándares.
Para las organizaciones internacionales con operaciones en Chile, la ley también introduce disposiciones de aplicación extraterritorial, algo que exige revisar contratos, políticas y transferencias transfronterizas de datos para asegurar que cumplen con los estándares locales. Además, establece un Registro Nacional de Sanciones y Cumplimiento, un instrumento que no solo refuerza la supervisión por parte de la Agencia, sino que también incentiva a las empresas a adoptar modelos de prevención de infracciones.
En conclusión, el desafío es enorme, pero también lo son las oportunidades. Más allá del cumplimiento, las empresas tienen la posibilidad de fortalecer la confianza de sus clientes, diferenciarse en el mercado y posicionarse como líderes en la gestión ética y responsable de los datos personales. El cumplimiento ya no es solo una obligación legal, es una ventaja competitiva en un mundo donde la protección de los datos es, cada vez más, sinónimo de reputación y éxito empresarial.
*Carla Illanes es consejera de DLA Piper - Chile.
Add new comment