Skip to content

La entrada en vigencia de la Ley N° 21.719 eleva sustancialmente el estándar de protección de datos en Chile, alineándolo con normativas internacionales como el GDPR europeo. Para la alta dirección, comprender estos cambios es imperativo, ya que impactan la estrategia comercial, la gestión de personas y la relación con clientes.

Más allá del cumplimiento técnico, la nueva normativa consagra un cambio de paradigma: los datos personales dejan de ser un activo de libre disposición de la empresa para convertirse en información bajo su custodia temporal y responsable. A continuación, se explican los puntos clave para una gobernanza de datos adecuada.

1. Principios Fundamentales: La Base de Toda Decisión

La ley se estructura sobre ocho principios rectores (Art. 3°) que deben guiar todas las operaciones. Su inobservancia es sancionable por sí misma.

  • Finalidad: Los datos deben utilizarse exclusivamente para el objetivo específico informado al titular al momento de la recolección.
    • Ejemplo: Una empresa no puede utilizar la base de datos de postulantes a un empleo para enviarles publicidad, a menos que haya obtenido un consentimiento separado y específico para ese nuevo fin.
  • Proporcionalidad (Minimización): Se debe recolectar solo la información estrictamente necesaria para la finalidad declarada.
    • Ejemplo: Si una tienda solicita el RUT y la dirección para emitir una boleta electrónica (cuyo requisito legal puede ser solo el correo electrónico), podría estar violando este principio si no justifica la necesidad de los datos adicionales.
  • Seguridad y Confidencialidad: Se deben implementar medidas técnicas (cifrado, firewalls) y organizativas (políticas de acceso) robustas para proteger la información y guardar secreto sobre ella, incluso después de terminada la relación con el titular.

2. Bases de Licitud: Alternativas al Consentimiento

Es un error común asumir que el consentimiento del titular es la única vía válida para tratar datos. La ley (Art. 13) establece diversas bases de licitud (justificaciones legales para el tratamiento):

  • Ejecución de un Contrato: Es la base ideal para la relación con clientes y proveedores. Si el tratamiento es necesario para cumplir con el servicio contratado (ej. despacho, facturación, soporte), no se requiere un consentimiento adicional para esos fines.
  • Obligación Legal: El tratamiento es lícito cuando una ley lo exige (ej. pago de cotizaciones previsionales).
  • Interés Legítimo: Permite el tratamiento cuando es necesario para los fines legítimos del responsable, siempre que no prevalezcan los derechos del titular.
    • Ejemplo: Prevención de fraude en comercio electrónico o videovigilancia por razones de seguridad. Esta base requiere realizar y documentar una "prueba de ponderación" (balance de intereses).

3. Gestión de los Derechos ARCO-P

La normativa empodera a las personas mediante los derechos ARCO-P (Acceso, Rectificación, Cancelación/Supresión, Oposición y Portabilidad). Las empresas están obligadas a establecer procedimientos de respuesta ágiles, con un plazo máximo de 30 días corridos (Art. 11), prorrogable por una sola vez.

La falta de respuesta o la obstaculización de estos derechos son infracciones directas.


4. Consecuencias del Incumplimiento: Un Nuevo Régimen Sancionatorio

El incumplimiento conlleva riesgos significativos que deben ser gestionados al más alto nivel, dada la creación de la Agencia de Protección de Datos Personales (APDP):

  • Sanciones Económicas Elevadas: La APDP tiene la facultad de imponer multas sustancialmente mayores:
    • Infracciones Gravísimas: Hasta 20.000 UTM.
    • Infracciones Graves: Hasta 10.000 UTM.
  • Daño Reputacional: La pérdida de confianza de los clientes ante una filtración o mal manejo de sus datos puede tener un impacto financiero superior al de las multas.
  • Responsabilidad Civil: Los titulares afectados pueden demandar indemnización por los perjuicios causados (daño patrimonial y moral).

El cumplimiento de la Ley N° 21.719 no debe abordarse como una carga administrativa, sino como un estándar de calidad y un imperativo estratégico para la sostenibilidad del negocio.

 

Noticias relacionadas

Guía Básica de la Nueva Ley de Datos (N° 21.719): Definiciones y Principios Fundamentales

La nueva Ley de Protección de Datos Personales cambia las reglas del juego en Chile, otorgando a las personas un control real sobre su información y creando una autoridad fuerte para fiscalizar su cumplimiento. A continuación, se explican los conceptos esenciales de la normativa.

Más Allá de la Multa: Cuándo un Ciberataque se Transforma en un Hecho Esencial para la CMF

El panorama de riesgos tras un ataque informático ha cambiado drásticamente. Anteriormente, el costo se medía principalmente en términos operativos. Hoy, la Ley Marco de Ciberseguridad (N° 21.663) y la Ley de Protección de Datos Personales (N° 21.719) añaden el riesgo de multas administrativas significativas.

Sin embargo, limitar el análisis a estas dos aristas es insuficiente. El riesgo se extiende a otros ámbitos regulatorios críticos:

  1. Delitos Económicos: Los efectos de la Ley N° 21.595 si el incidente constituye un delito informático y revela fallas en los modelos de prevención de la empresa.
  2. Responsabilidad ante el Mercado de Capitales: Para las sociedades anónimas abiertas y entidades registradas ante la Comisión para el Mercado Financiero (CMF), la obligación de informar al mercado.

Sistemas de CCTV y sus Desafíos Regulatorios

Históricamente, los sistemas de circuito cerrado de televisión (CCTV) han sido gestionados como herramientas pasivas, responsabilidad exclusiva del área de operaciones o seguridad física. Bajo el nuevo marco legal chileno, esta visión es insuficiente y expone a la organización a riesgos significativos.

Los sistemas de CCTV ilustran perfectamente la convergencia de las nuevas normativas. Un solo sistema de cámaras genera hoy una triple obligación regulatoria y, consecuentemente, un triple riesgo de sanción.