El panorama regulatorio en Chile está a punto de transformarse radicalmente. Con la promulgación de la Ley N.º 21.719 de Protección de Datos Personales, las empresas chilenas, especialmente aquellas en los sectores financiero, tecnológico y de servicios, se enfrentan a un escenario de cumplimiento que se asemeja en rigor al GDPR europeo.
Para los Directorios, CFOs y Oficiales de Cumplimiento (Compliance Officers), esta ley ya no es un tema exclusivo del departamento de TI; es un asunto crítico de gestión de riesgos y exposición financiera. Aquí detallamos los aspectos clave que todo comité ejecutivo debe conocer.
1. La fecha límite y el nuevo ente regulador
La Ley N.º 21.719 entrará plenamente en vigor el 1 de diciembre de 2026.
Para supervisar su cumplimiento, la ley crea un organismo público autónomo y descentralizado: la Agencia de Protección de Datos Personales (APDP). A diferencia de otros modelos, la APDP no dependerá de un ministerio; tendrá patrimonio propio, facultades para fiscalizar tanto a organismos públicos como privados, investigar incumplimientos, resolver reclamos y aplicar sanciones.
2. Exposición financiera: Un régimen de multas sin precedentes
El riesgo regulatorio cambia de escala con esta nueva legislación. Las multas establecidas por la APDP se clasifican según la gravedad de la infracción y pueden tener un impacto severo en el balance financiero de cualquier organización:
- Infracciones Leves: Multas de hasta 5.000 UTM (aprox. USD $397,000).
- Infracciones Graves: Multas de hasta 10.000 UTM (aprox. USD $794,000).
- Infracciones Gravísimas: Multas de hasta 20.000 UTM (aprox. USD $1.59 millones).
Sin embargo, la disposición que más debe preocupar a los directivos es la sanción por reincidencia relevante, la cual puede llegar hasta el 4% de los ingresos anuales de la empresa. Ante este escenario, la inversión en un programa de cumplimiento resulta insignificante frente al riesgo de exposición a multas y al daño reputacional asociado a figurar en el nuevo Registro Nacional de Sanciones y Cumplimiento.
3. Reportes y Accountability: ¿Cómo demostrar cumplimiento?
A diferencia de los reportes mensuales o trimestrales exigidos por entidades como la CMF, la APDP no contempla (hasta el momento) un portal de reportes periódicos para operaciones normales. Lo que la ley exige es el principio de «Accountability» o responsabilidad demostrable.
La empresa debe estar preparada para una fiscalización en cualquier momento, manteniendo un Expediente de Cumplimiento que incluya:
- Registro de Actividades de Tratamiento (RAT).
- Evaluaciones de Impacto en la Privacidad (PIA).
- Evidencia de gestión de derechos ARCO (Acceso, Rectificación, Cancelación, Oposición).
- Inventario y clasificación de datos.
La excepción a la regla: Las brechas de seguridad. En caso de ocurrir un incidente que vulnere los datos y genere un riesgo para los titulares, la empresa está obligada a notificar a la APDP sin dilación injustificada (el estándar operativo internacional que se toma como referencia son 72 horas).
4. Plan de Acción: ¿Por dónde empezar?
Para construir una resiliencia operativa y regulatoria, las organizaciones deben abandonar las políticas de papel y adoptar un Programa de Cumplimiento Ley 21.719. La ruta más práctica para iniciar la implementación es: Inventario → RAT → Clasificación de datos → Análisis de riesgos (PIA) → Controles de seguridad → Políticas → Capacitación → Auditoría continua.
En conclusión, el cumplimiento de la Ley N.º 21.719 no se trata solo de marcar casillas legales; se trata de proteger la confianza del cliente y blindar a la organización frente a multas millonarias. El momento de comenzar la adecuación es ahora; esperar a 2026 será demasiado tarde.