En diciembre de 2026 comenzará a regir la nueva Ley de Datos Personales que busca cambiar la forma en que las empresas chilenas gestionan la información de sus clientes, empleados y proveedores.
Según sostienen los expertos, la normativa amplía los derechos de los titulares de los datos. En ese sentido, las empresas deberán realizar una transformación tecnológica de adecuación de sistemas, softwares y manejo de información de clientes, proveedores y colaboradores.
Además, la ley crea por primera vez en Chile un organismo autónomo para velar por los derechos de los titulares de datos: la Agencia de Protección de Datos Personales. Su rol será fiscalizar, sancionar y educar sobre prácticas adecuadas en el tratamiento de datos.
Otro de los puntos a destacar es que las multas pueden alcanzar los 20.000 UTM y la posibilidad de suspender el uso de datos por hasta 30 días, de ahí la importancia de conocer los desafíos que enfrentarán las empresas para su implementación.
Luis Sepúlveda, CEO de AlayIA Trust, enumera cinco desafíos fundamentales que las organizaciones deben tener claros antes de diciembre de 2026.
Controles de privacidad eficientes: “La ley obliga a las empresas a integrar controles de privacidad desde el diseño inicial de cualquier proceso o producto que trate datos personales. No se trata de añadir parches de seguridad al final del desarrollo, sino de construir con privacidad desde los cimientos”, explica Sepúlveda. En ese sentido, esta nueva exigencia requiere una reingeniería completa de los procesos, capacitación e implementación de metodologías.
Sanciones e impacto en la reputación: Con multas millonarias, las organizaciones enfrentan riesgos financieros sin precedentes. “El régimen sancionatorio no solo es disuasivo por los montos, sino porque incluye un registro público de sanciones que puede afectar permanentemente la reputación empresarial”, advierte el CEO de AlayIA Trust. Es por eso que las empresas deberán desarrollar sistemas robustos de gestión de riesgo, implementar programas de auditoría interna especializados y establecer protocolos de respuesta ante posibles infracciones.
Operacionalización de los derechos ampliados de los titulares de los datos: Las personas podrán ejercer derechos de acceso, rectificación, supresión, oposición, bloqueo temporal y portabilidad de sus datos de manera efectiva. “Las empresas deben desarrollar sistemas tecnológicos y procesos administrativos capaces de responder a estas solicitudes de manera ágil y precisa, manteniendo trazabilidad completa de cada gestión”, señala Sepúlveda.
Control de cadenas de valor: Las organizaciones deben implementar controles estrictos sobre encargados y proveedores de servicios. “El riesgo de terceros se convierte en riesgo propio, lo que exige due diligence, contratos especializados y auditorías periódicas a todo el ciclo”, enfatiza el experto.
Gobernanza desde el directorio: “El 'tone at the top' debe incluir explícitamente la gestión de datos personales con comités especializados, definición del apetito de riesgo, KPIs de privacidad y auditorías internas temáticas”, sentencia Sepúlveda.
