El 28 de enero de 2006, el Convenio 108 del Consejo de Europa, primer tratado internacional sobre protección de datos personales, abrió la puerta a su firma por parte de países fuera del continente europeo. Esta expansión marcó un hito en la protección global de la información personal, razón por la cual se celebra, hoy, el Día Internacional de la Protección de Datos Personales.

En sintonía con las tendencias globales, Chile adoptó, a partir de 2018, la protección de los datos personales como un derecho fundamental, consagrado por la Constitución Política (19 N°4). Este avance ha hecho que su resguardo se convierta en una prioridad, pues la falta de medidas adecuadas puede tener consecuencias graves, tanto para las personas —incluyendo discriminación, daños a la privacidad y vulneración de la dignidad— como para las empresas, las cuales pueden enfrentar severos perjuicios financieros y reputacionales.

En este contexto, la promulgación de la Ley N°21.719, que modifica la obsoleta Ley N°19.628, ha elevado significativamente los estándares de protección de datos personales en Chile, alineándolos con los establecidos por el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. La nueva legislación no solo establece principios claros sobre el tratamiento de los datos, sino que también crea nuevas obligaciones, amplía los derechos de los titulares (todos los ciudadanos) e introduce un nuevoCompliance y la figura del Delegado de Protección de Datos. Además, contempla sanciones severas por el incumplimiento de sus disposiciones y establece una Agencia técnica encargada de dictar directrices, fiscalizar y sancionar a los infractores (hasta 20 mil UTM).

Aunque la ley entrará en vigencia el 1° de diciembre de 2026, el tiempo para su implementación es limitado. En efecto, a pesar de que pueda parecer un plazo generoso, expertos internacionales han destacado que la aplicación del GDPR en Europa requirió más de dos años debido a su complejidad, que no solo abarca aspectos legales, sino que también exige ajustes en los procedimientos, prácticas y modelos de negocio. En este sentido, muchas organizaciones debieroncomenzar a adaptarse con urgencia o enfrentarse a consecuencias graves, que fueron desde daños irreparables a su reputación hasta multas millonarias en euros que, en algunos casos, condujeron a la quiebra.

Entonces, ¿por dónde empezar? El primer paso es realizar un diagnóstico interno: identificar qué datos se están recolectando, cómo se gestionan, quiénes tienen acceso a ellos y qué medidas de protección y control se están implementando, entre otros. Es decir, la clave está en establecer una gobernanza de datos eficiente. Solo con una estructura ordenada será posible detectar brechas de seguridad y adoptar las acciones correctivas necesarias en línea con la nueva ley. Esto implica, por ejemplo, diseñar programas de prevención de infracciones, establecer una hoja de ruta clara, aplicar controles adecuados, definir responsables y capacitar a la organización, entre otros, para garantizar el cumplimiento de la nueva normativa y generar desde ya una cultura corporativa en la materia.

En suma, adelantarse es clave: se llega a tiempo con la casa en orden, los datos protegidos y seguros, con un menor riesgo de ser sancionado por la futura Agencia y de sufrir daños reputacionales ante clientes, empleados e inversores, mientras se construye una sólida cultura de protección de datos. Es hora de actuar, garantizar el cumplimiento y proteger tanto a las personas como a las organizaciones. (Santiago, 28 de enero de 2025)