Opinión

Datos personales: la cuenta regresiva

En mayo de este año, credenciales de funcionarios públicos fueron comprometidas y utilizadas para extraer información ciudadana desde sistemas de la Tesorería General de la República y el Registro Civil. No fue un ataque sofisticado a la infraestructura del Estado. Fue algo peor: accesos con usuario y contraseña válidos, obtenidos por terceros mediante técnicas elementales. La Agencia Nacional de Ciberseguridad informó, aclaró distinciones técnicas y describió lo ocurrido, pero evitó la pregunta incómoda: por qué esas credenciales circulaban sin controles adecuados. Si el propio Estado no logra proteger sus accesos, la pregunta sobre qué podemos esperar del sector privado se responde sola.

Ese es el escenario en el que Chile se prepara —o debería estarse preparando— para la entrada en vigencia plena de la Ley N° 21.719 sobre protección de datos personales, el 1 de diciembre de 2026. No se trata de una actualización normativa menor. Es un cambio de paradigma: se crea una Agencia de Protección de Datos Personales con facultades para fiscalizar, sancionar y certificar; se establecen multas que pueden alcanzar el 4% de los ingresos anuales de una organización; y el tratamiento negligente o ilícito de datos puede configurar responsabilidad penal bajo la Ley N° 21.595 de Delitos Económicos. El incumplimiento deja de ser un riesgo tolerable para convertirse en una amenaza existencial.

La nueva ley debería leerse en conjunto con la Ley Marco de Ciberseguridad, ya vigente. Ambas comparten un supuesto básico: la información personal de los ciudadanos merece protección efectiva, no declarativa. Pero los incidentes de mayo revelaron que incluso bajo ese marco, la respuesta institucional operó en modo reactivo. Una agencia de ciberseguridad que comunica filtraciones sin rendir cuenta de los estándares preventivos que debieron exigirse antes, no cumple a cabalidad su función. La futura Agencia de Datos Personales hereda ese contexto y esa deuda.

Aquí aparece una tensión central: la ley se aplica por igual a toda persona natural o jurídica. Una pyme enfrenta, en principio, las mismas obligaciones que una gran corporación o un ministerio. La normativa contempla que la Agencia diferencie estándares según tamaño, pero esa diferenciación es facultativa, no automática. Si no se desarrollan guías prácticas, modelos tipo y criterios proporcionados antes de diciembre, la igualdad formal encubrirá una desigualdad real: mismas exigencias para capacidades radicalmente distintas. Mientras las grandes empresas pueden absorber el costo de compliance como inversión, para una empresa mediana una multa del 4% es una sentencia de cierre.

Pero ni la mejor regulación ni la sanción más severa resuelven lo que en definitiva es un problema cultural. La mayoría de las futuras infracciones no provendrán de actores maliciosos, sino de prácticas consolidadas que nadie cuestionó: recopilar más datos de los necesarios porque siempre se hizo así, compartir bases entre áreas sin registro, no saber quién responde ante una brecha. Cambiar esos hábitos exige que la protección de datos deje de ser un problema delegado al área de informática o al departamento legal y se convierta en responsabilidad transversal, desde el directorio hasta la operación diaria.

Diciembre llega para todos. Lo que distingue a quienes estarán preparados no es solo el presupuesto destinado a cumplir la norma, sino haber entendido que la confianza digital es hoy un activo estratégico. En un mundo donde las filtraciones destruyen reputaciones construidas durante décadas, la protección de datos no es un gasto defensivo: es la condición mínima para operar con legitimidad.

*La autora de la columna es coordinadora legal de Clapes UC y directora de empresas

Más sobre:OpiniónDatos personales

COMENTARIOS

Para comentar este artículo debes ser suscriptor.

La mayoría no entiende el debate por el impuesto a las empresas. El resto lee La Tercera.

50% Plan Digital+$5.150 al mes SUSCRÍBETE