Alineada con estándares internacionales, la nueva Ley de Protección de Datos crea en Chile la Agencia de Protección de Datos Personales. Esto, como parte de una serie de lineamientos que representan un desafío significativo para las empresas, las que tendrán un plazo de 24 meses para ajustar sus procesos internos. Además, considera sanciones que alcanzan hasta 20.000 UTM en casos graves, configurando una de las normativas más estrictas del ordenamiento jurídico chileno.
Cabe destacar que la ley introduce cambios profundos, como la ampliación de las bases de legalidad para tratar datos personales, dejando atrás el consentimiento como único fundamento, así como la obligatoriedad de habilitar mecanismos efectivos para que las personas ejerzan sus derechos ARCOP (acceso, rectificación, cancelación, oposición y portabilidad).
Según explica Javiera Sepúlveda, Socia de Bitlaw, se trata de una ley que estuvo “durmiendo” en el Congreso bastante tiempo y busca adecuar el estándar chileno al reglamento europeo de protección de datos. “Y, desde ese punto de vista, tiene la expectativa de que Chile se convierta en un país adecuado para Europa, representando un salto tremendo en términos de exigencias regulatorias”, detalla.
Agrega que la ley previa era casi una “ley muerta”, por su bajo “enforcement” debido a que no existía una autoridad de protección de datos en Chile, y los instrumentos de infracciones a la ley tenían que ir a reclamarse a tribunales, lo que era un costo tremendo para los titulares, por lo que en la práctica casi no existía jurisprudencia.
La mayoría de las empresas no tiene conciencia de ese salto que van a tener que dar. Así lo destaca Carlos Jaureche, Gerente Comercial de Insside, y explica que no es solo adecuar una normativa y hacer una política, sino que esto impacta directamente en los procesos, la tecnología y el negocio.
“Si bien dos años de plazo puede parecer mucho, tienes que cambiar la organización, generar presupuesto, incorporar tecnología y modificar tu forma de trabajo, gestionando un cambio cultural interno. Además, hay que considerar que los procesos de implementación de estas normativas son muy extensos en las organizaciones, y sobre todo en entornos donde hay muchas regulaciones en Chile, donde todavía no entra en vigencia la Ley Marco de Ciberseguridad, y hay proyectos que están avanzando sobre todo en temas de Inteligencia Artificial”, comenta.
Los retos de la nueva ley
En Europa estas normativas surgen de procesos de madurez interna que en Chile aún no se han desarrollado. “Estamos recién aprendiendo lo que significa ser respetuosos con los datos personales. Muchas industrias ni siquiera distinguen entre un dato personal y otros tipos de información, considerándolos solo activos de la empresa que usan a discreción”, indica Carlos Jaureche.
Y este cambio implica mucho más que adoptar cláusulas y políticas: requiere ajustar procesos completos y articularlos dentro de un ecosistema que fomente buenas prácticas. Para el ejecutivo el desafío está en entender y mejorar continuamente, no solo para cumplir la normativa, sino también para construir un entorno que permita comunicar datos de manera ética en una economía digital.
Para Marcelo Mora, CEO de IDOK, se trata de una ley de estándar de clase mundial, que afectará a muchas industrias y empresas. “Es un desafío tremendo para Chile. Y las compañías de tecnología y nuestros clientes nos veremos muy afectados, algunos negocios quedarán fuera de la ley porque usan datos”.
Añade que es una transición bastante exigente para la economía digital y si bien es un avance necesario en materia de protección de datos, su implementación presenta retos estructurales que podrían poner en riesgo a muchas empresas, especialmente en sectores como el fintech y Pyme, a los que hay que apoyar de alguna manera, lo que impone desafíos significativos, especialmente en la gestión de consentimientos digitales, que son revocables en cualquier momento. “Esto es muy complejo porque afecta procesos clave como el onboarding y plantea preguntas sobre cómo las empresas, como bancos o servicios de autenticación, manejan los datos de las personas”, explica.
Al respecto, el profesional de Insside enfatiza que, aunque la protección de datos es clave, también debe verse como un habilitante de negocio. “Chile estaba quedando rezagado en este ámbito, y muchos países exigen altos estándares de protección, ciberseguridad y seguridad general para poder hacer negocios”, señala, destacando la importancia de esta normativa para la competitividad.
“El modelo europeo funciona bien allá, pero la pregunta es cómo va a operar en nuestro contexto. Ese es el temor”, afirma Marcelo Mora.
“El objetivo principal de esta normativa es elevar el nivel de madurez de las organizaciones en su gestión de datos. “Lo que se exigirá es que, en caso de un incidente, puedan demostrar ‘due diligence’ en sus procesos”, explica.
¿Cuáles son las principales medidas de protección de datos que las empresas en Chile deberán adoptar?
El primer paso para las empresas es saber qué datos manejan. Así lo destaca Juan Pablo González, para quien este mapeo inicial es clave para identificar riesgos de cumplimiento y determinar qué información es crítica. A su juicio, mientras algunas industrias, especialmente en sectores grandes, tienen la seguridad integrada por defecto, muchas pequeñas y medianas empresas aún no reconocen la complejidad de los riesgos asociados con la protección de datos.
Además de los temas de seguridad, como el cifrado de datos en tránsito, surgen cuestiones adicionales, como la gestión del consentimiento, la ubicación de los data centers y la soberanía de los datos. Para el ejecutivo de Insside es clave que las empresas identifiquen los datos personales y sensibles que manejan, así como el almacenamiento y acceso a estos. Un aspecto crucial es garantizar que los usuarios puedan ejercer sus derechos según la ley, como el consentimiento, la revocación y el derecho al olvido. Además, la visibilidad sobre el uso de los datos y la implementación de medidas como la tokenización y la ofuscación son esenciales; todo esto desde el punto de vista tecnológico.
Aunque la ley de protección de datos pueda parecer sencilla a primera vista, en realidad implica grandes inversiones, especialmente en la seguridad de la información, enfatiza al respecto Marcelo Mora.
En este sentido, la implementación de soluciones de Inteligencia Artificial (IA) podría mejorar significativamente los procesos de compliance y monitoreo en este ámbito, algo que ya se está logrando en Europa. El profesional de IDOK señala que el análisis y la automatización de datos, respaldados por IA, facilitarían la protección de derechos de los titulares, un desafío que en la actualidad es complejo de gestionar manualmente.
En Chile, la IA podría ser un factor clave para optimizar la seguridad y el cumplimiento de las normativas de protección de datos.
Para Carlos Jaureche, la IA ofrece dos caras: como herramienta que apoya la ciberseguridad y como un desafío en términos de protección de los datos utilizados para entrenar los algoritmos. Esto plantea la pregunta de cómo proteger esos datos de entrenamiento y si es necesario revisar y ajustar el proceso de entrenamiento de los modelos para asegurar su cumplimiento y seguridad.
