Logo
Contactanos
Análisis de Nueva Ley de Protección de Datos en Chile
Una guía práctica sobre las nuevas exigencias de consentimiento, el rol de la APDP y las medidas técnicas obligatorias para evitar multas millonarias.

Con la llegada de la nueva Ley N° 21.719 de Protección de Datos Personales, cambian totalmente las formas en las que una organización debe gestionar, procesar y proteger la información personal de sus usuarios.

Esta ley, que entrará en vigencia en diciembre de 2026, no es una simple actualización de políticas de privacidad, sino un cambio de paradigma. La misma exige a las empresas pasar de simplemente declarar que cumplen y están alineadas con las buenas prácticas en el manejo de datos personales, a la demostración de sus medidas de seguridad en la práctica.

Es necesario analizar las implicancias reales de esta ley, los riesgos de ignorarla y los puntos claves para alcanzar un cumplimiento normativo real.

Qué cambia realmente con la nueva ley

El nuevo marco regulatorio introduce transformaciones profundas en la gestión de datos. El impacto se puede medir en cuatro dimensiones fundamentales que alteran la operación diaria de cualquier organización.

DimensiónParadigma AnteriorNuevo Paradigma (Ley 21.719)
ConsentimientoImplícito o tácitoExplícito, libre e informado
CumplimientoDeclarativoProactivo (Evidencia auditable y continua)
FiscalizaciónReactiva ante denunciasProactiva (APDP puede iniciar una investigación en cualquier momento)
SancionesBajas y de difícil ejecuciónMultas millonarias (hasta % de ingresos)

El Requisito del Consentimiento: De Implícito a Explícito

Hay una práctica común en las organizaciones de asumir por defecto que el usuario consiente la utilización de sus datos. Esto muchas veces se ve en casillas de permisos pre-marcadas en formularios, o también muchas veces se da por sentado por el solo uso del servicio que se está ofreciendo. Esto va en contra de la nueva reglamentación, que exige un consentimiento explícito, libre e inequívoco para cada pedazo de información que se almacena del usuario.

Hoy día, para las organizaciones que estén almacenando información de usuarios para la que no cuenten con consentimiento explícito, será necesario ejecutar campañas de re-permisificación de los mismos, para obtener el consentimiento que exige la ley (explícito, libre e inequívoco). Esto será necesario para que las organizaciones puedan operar con esos datos, ya que en caso contrario, a partir de la entrada en vigencia de la ley, su posesión será considerada ilícita.

El Estándar de Cumplimiento: De la Declaración a la Evidencia

Uno de los puntos centrales de la Ley 21.719 es el principio de Accountability (Responsabilidad Proactiva). El foco legal deja de estar en tener políticas y documentos que digan cómo la organización protege los datos de sus usuarios, sino que pasa a estar en que la organización ahora debe generar continuamente evidencia de cómo lo está haciendo.

De aquí surge el concepto de Inversión de la Carga de la Prueba: ya no es el Estado o el usuario quien debe demostrar que la empresa hizo algo mal. Es la empresa la que debe probar, con evidencia auditable, que hizo todo lo técnica y legalmente posible para proteger el dato. No solo se debe cumplir con la nueva ley, sino que también hay que poder demostrar que se está cumpliendo.

La responsabilidad de definir y mantener los procesos necesarios para lograr esto recae en quien asuma el nuevo rol de Data Protection Officer que introduce esta nueva ley, del cuál se hablará en detalle más adelante en este artículo.

El Rol de la Agencia Reguladora (APDP)

Con esta ley nace una nueva entidad: la Agencia de Protección de Datos Personales (APDP). Esta agencia dota al Estado de un ente fiscalizador con autonomía. Su característica principal es que la APDP tiene la capacidad de iniciar investigaciones de oficio, sin la necesidad de una denuncia previa por parte de un usuario. En consecuencia, estar en preparación constante es imperativo ante la posibilidad de que se realice una investigación sobre la organización y su manejo de los datos personales de sus usuarios. Esto se traduce en tener procesos que garanticen una auditoría permanente de la infraestructura alrededor de los datos.

Consecuencias del Incumplimiento

Las sanciones que impone esta nueva ley no son triviales. El incumplimiento conlleva multas que pueden llegar a ser muy severas dependiendo de la gravedad de la infracción. Estas multas pueden escalar a cifras estimadas de USD 390.000, USD 780.000, o hasta USD 1.6 millones, e incluso se puede llegar a exigir un porcentaje de los ingresos anuales de la compañía en casos agravados. Adicionalmente, se suma el riesgo reputacional de la organización, ya que la exposición pública mediante el registro de infractores puede afectar gravemente la operación comercial del negocio.

Los 5 Riesgos Operativos Más Comunes

En el proceso de adaptación a esta normativa, las organizaciones suelen enfrentar vulnerabilidades críticas que las exponen a sanciones directas. Los cinco riesgos más frecuentes son:

  • No saber qué datos se poseen: Mantener repositorios de datos sin clasificar, ignorando la existencia de información sensible en entornos de desarrollo o en bases de datos legacy.
  • No poder justificar la finalidad: Recolectar y almacenar información sin un propósito comercial o legal claro, vulnerando el principio de finalidad.
  • No detectar incidentes a tiempo: Carecer de las herramientas necesarias para la investigación efectiva de un posible incidente, imposibilitando el reporte a la autoridad en los plazos legales.
  • Falta de trazabilidad: No contar con un registro inmutable que indique quién accedió a la base de datos, qué consultó y en qué momento.
  • Carencia de evidencia auditable: No disponer de los mecanismos técnicos para generar reportes probatorios ante una auditoría sorpresa de la APDP, fallando en el principio de rendición de cuentas.

Qué implica el cumplimiento de la nueva ley

Para adaptarse correctamente a la Ley 21.719 es necesaria una reestructuración que abarca procesos, personas y tecnología. Las siguientes son las áreas exigidas por la normativa:

Descubrimiento: Saber qué datos tienes y por qué

La base del cumplimiento es el control de los activos de información.

  • Inventario Detallado y Clasificación: Es imperativo tener un inventario completo de los datos que residen en la infraestructura. Cada registro personal almacenado debe estar respaldado por un consentimiento explícito.
  • Principio de Finalidad Clara: Cada dato recolectado que corresponda a información personal de los usuarios debe tener una justificación demostrable. Si la organización es auditada, debe poder explicar exactamente para qué proceso de negocio se utiliza cada columna de su base de datos.
  • Minimización de Datos: La cultura de almacenar información «por si acaso» se debe erradircar. La ley exige recolectar exclusivamente los datos estrictamente necesarios para cumplir con el servicio ofrecido al usuario.

Demostrar Cumplimiento (Accountability y Gobernanza)

Como se mencionó, el principio de Inversión de la Carga de la Prueba obliga a la empresa a probar su cumplimiento con los lineamientos de la ley. Esto incluye:

  • La Generación de Evidencia Auditable: No es suficiente tener políticas escritas; se requiere probar su ejecución. Las organizaciones deben implementar herramientas tecnológicas (como, por ejemplo, Core Audit u otras soluciones de reportes y auditoría de bases de datos) que generen evidencia objetiva para presentar ante la APDP.
  • Tener una Estructura de Gobernanza de Datos: Se debe implementar un marco de gobierno sólido que asegure que las políticas de privacidad se estén aplicando de manera consistente y automatizada en toda la infraestructura que soporta a la información almacenada.

El Nuevo Rol: Data Protection Officer (DPO)

La figura del Data Protection Officer surge como el puente entre el nuevo marco legal y la operación tecnológica de la organización.

  • Naturaleza Preventiva: Designar un DPO no es estrictamente requerido para todas las entidades, pero está estipulado dentro del modelo preventivo establecido por la ley, por lo que puede ser un atenuante significativo frente a una insvestigación, convirtiéndolo en una necesidad crítica.
  • Independencia y Dependencia: El DPO debe ser una figura autónoma que reporte directamente a la alta dirección (C-Level o Directorio), garantizando que sus observaciones no sean silenciadas por los mandos medios.
  • Funciones Estratégicas: El DPO debe liderar el monitoreo del cumplimiento, y ejecutar las Evaluaciones de Impacto en Protección de Datos (EIPD) para nuevos proyectos. Por otro lado, actúa como el canal oficial de comunicación tanto con los usuarios (titulares de datos) como con la APDP. Por esto, requiere un perfil híbrido con un buen balance entre conocimientos legales y tecnológicos.

Protocolo Estricto de Gestión de Incidentes

A la luz del estado actual en materia de ciberseguridad, el enfoque cambia de «si vamos a sufrir un ataque» a «cuándo lo vamos a sufrir».

  • El Proceso de Disclosure: La ley impone la obligación legal de notificar a la APDP cualquier vulneración de seguridad que comprometa datos personales en un plazo máximo de 72 horas tras su detección.
  • Tiempos de Respuesta y Herramientas In-house: Este límite de 72 horas hace inviable depender exclusivamente de consultoras externas para el análisis inicial de un incidente. A raíz de esto, se vuelve obligatorio contar con herramientas de auditoría internas (in-house) que permitan una detección casi en tiempo real.
  • Riesgos de ocultar incidentes: La falta de un protocolo o el intento de ocultar una brecha (algo común que ocurría bajo el viejo esquema) son agravantes severos que multiplican las sanciones económicas y el daño reputacional de la organización.

Controles Técnicos Clave en Bases de Datos

La normativa exige que las bases de datos apliquen el concepto de «Privacidad por Diseño», es decir, que tengan la privacidad como eje central del diseño de la solución.

  • Protección de Datos Sensibles: Los datos de mayor riesgo (biométricos, salud, financieros) requieren capas adicionales de cifrado y aislamiento.
  • Mecanismos de Enmascaramiento (Data Masking): Se debe aplicar enmascaramiento dinámico para segmentar la visibilidad de los datos según el perfil del empleado. Por ejemplo, garantizar que un analista de marketing no pueda visualizar los números completos de cuentas bancarias o tarjetas de crédito, aunque consulte la misma base de datos que un ejecutivo de finanzas.
  • Control de Accesos Riguroso (RBAC): Implementación estricta del Principio de Mínimo Privilegio. El sistema debe responder de forma granular a quién accede, a qué datos y bajo qué condiciones.
  • Capacidades Operacionales: La infraestructura técnica debe contar con la capacidad inherente de generar reportes automatizados, disparar alertas frente a consultas masivas anómalas y ejecutar bloqueos de sesión inmediatos si se detecta un patrón de filtración de datos.

Trazabilidad y Auditoría: Los Cimientos del Cumplimiento

Ninguno de los controles anteriores es válido si no existe un registro de actividad que respalde el hecho de que se están aplicando efectivamente.

  • Fundamento de la Accountability: La trazabilidad de absolutamente toda la actividad en las bases de datos es la piedra angular del cumplimiento normativo.
  • Requisitos de Registro: La ley exige un registro granular que responda a tres preguntas fundamentales ante cada evento: Quién accedió, Cuándo lo hizo y Para qué (justificación del acceso).
  • Inmutabilidad: Los logs de auditoría deben ser inmutables. Es una necesidad prevenir que un atacante externo o un usuario interno con privilegios administrativos elevados pueda alterar o borrar los registros para encubrir sus acciones.
  • Reconstrucción Histórica: Estas capacidades operativas permiten reconstruir la línea de tiempo de un incidente de seguridad, aislar la vulnerabilidad rápidamente y generar los reportes exactos que exige el proceso de disclosure a la Agencia Reguladora.

Conclusión

La Ley N° 21.719 es una redefinición fundamental de cómo se deben proteger los datos personales de ciudadanos chilenos. El cumplimiento es un viaje operativo y técnico, no un destino legal, y exige preparación proactiva y permanente para enfrentar las investigaciones y auditorías de la APDP. La seguridad y protección de datos personales no debe ser abordada como un aspecto secundario, sino que debe integrarse desde el principio en el diseño de cualquier solución que requiera manejar este tipo de datos, y esta ley no es sino un reflejo de esa filosofía. Es por esto que la aplicación de la misma debe ser cuidadosamente meditada y planificada, para garantizar una transición suave hacia una organización más segura y resiliente.

Registrate al Webinar

Para saber más haz click aquí

Sugerencia de IA

Seguridad de Datos en un Mundo de IA
La inteligencia artificial está transformando radicalmente nuestra interacción con la informaci
Enmascaramiento de datos, anonimización, ofuscación y privacidad
En un mundo dominado por datos y con amenazas acechando por todas partes, mantener la seguridad d
Seguridad centrada en datos: la clave en en siglo XXI
A menudo pensamos en la ciberseguridad como si estuviera formada por muchos silos. Pensamos en la

¿Preguntas?

Si tenes alguna pregunta o comentario, no dude en hacérnoslo saber. Estaremos encantados de escucharles

También te puede interesar

¿Por Qué Falla la Seguridad de su Aplicación Java?

El ecosistema Java parece una fortaleza, y la seguridad es uno de sus puntos fuertes. Entre las e

Una BBDD No Es Una Red: La Falacia de la Inspección de Paquetes.

La industria de la seguridad tiene la costumbre de intentar encajar piezas cuadradas en agujeros

Seguridad de Datos en un Mundo de IA

La inteligencia artificial está transformando radicalmente nuestra interacción con la informaci