La entrada en vigencia de la Ley 21.719 transforma el estándar de protección de datos en Chile y obliga a empresas y organismos públicos a modificar su forma de trabajar. En conversación con Actualidad Jurídica, Nicolás Yuraszeck, abogado de Fernández & Yuraszeck Abogados, analiza los principales desafíos de implementación, los errores más habituales que anticipa en los primeros meses y la importancia de adoptar una mirada integral del cumplimiento.
Desde la designación del Delegado de Protección de Datos (DPD) hasta la necesidad de planes preventivos, el especialista advierte que la proactividad y la gobernanza transversal serán claves para evitar sanciones y riesgos reputacionales.
¿Cuáles dirías que son los principales desafíos que trae la implementación de la nueva Ley de Protección de Datos Personales para las organizaciones en Chile?
El mayor desafío es cultural. Por muchos años los datos personales no fueron una prioridad ni para el Estado, ni para el legislador, ni para la ciudadanía. La facilidad con la que entregamos nuestro RUT o datos sensibles para obtener descuentos o ingresar a un edificio demuestra esa falta de conciencia.
A nivel empresarial, el reto está en cambiar esa lógica. Las compañías deberán ajustar sus finalidades de tratamiento a lo que la ley autoriza, y hacerlo bajo la supervisión de la futura Agencia Nacional de Protección de Datos Personales, que tendrá facultades sancionatorias relevantes. Ese giro cultural es, sin duda, lo más difícil.
Mencionabas la severidad de las multas. ¿Consideras que son demasiado altas?
Sí, me parece que pueden resultar desproporcionadas. No solo contemplan montos elevados, sino también sanciones adicionales en caso de reincidencia. En el caso de grandes compañías, incluso podrían traducirse en un porcentaje de los ingresos del ejercicio financiero anterior, algo similar a lo que ocurre en libre competencia.
A eso se suma otro problema: la potencial superposición de competencias. Dependiendo del caso, podría sancionar la Agencia, o también el SERNAC si hay una relación de consumo, o incluso la CMF si se trata de instituciones financieras. Eso genera incertidumbre, porque una misma infracción podría originar múltiples sanciones.
En lo práctico, ¿qué cambios concretos deberán hacer las empresas en su gestión diaria para cumplir con la nueva normativa?
La clave es planificar antes de tratar datos personales. La ley exige un principio de proactividad: ya no basta con reaccionar frente a una brecha o daño, sino anticiparse.
Eso implica evaluar el impacto de cada tratamiento, medir cuántas personas podrían verse afectadas, revisar periódicamente los procesos y adoptar medidas preventivas. Avisar una filtración ya no será suficiente; habrá que demostrar que se hizo todo lo posible para evitarla.
¿Anticipas errores clásicos en los primeros meses de aplicación?
Sí. El más común será concentrar la responsabilidad en un solo departamento —como TI o compliance— cuando la protección de datos requiere una visión multidisciplinaria.
Marketing, legal, TI, recursos humanos, operaciones y el directorio deben estar involucrados, porque el tratamiento de datos atraviesa toda la organización. Además, las sanciones no son solo económicas: existe un registro público de infractores, y también penas accesorias como la prohibición temporal de tratar datos. Eso puede paralizar la operación completa de una empresa.
El impacto reputacional será enorme. Nadie querrá aparecer en ese listado.
Mencionaste el rol del Delegado de Protección de Datos (DPD). ¿Qué importancia tendrá en la implementación?
Es un rol crucial. Él debe ser el nexo entre la compañía y la Agencia, pero a la vez mantener independencia técnica y económica. Debe rendir cuentas al directorio y garantizar transparencia.
Además, la ley exige que la empresa tenga un modelo de prevención de infracciones, y el delegado será quien coordine que ese modelo funcione, que exista proactividad y que se informe adecuadamente en caso de incidentes. Su labor será estratégica, no meramente formal.
En Chile han ocurrido filtraciones relevantes en organismos públicos. ¿Cómo afecta esto al nuevo marco legal?
Afecta muchísimo, porque el Estado es el mayor responsable del tratamiento de datos personales. No solo las empresas pueden filtrar información: recordemos la liberación del padrón del Servel o la base de pacientes VIH del Ministerio de Salud.
La nueva ley también obliga al Estado a elevar sus estándares y adoptar mejores prácticas. El sector público tendrá los mismos deberes y, en muchos casos, mayores expectativas, considerando la sensibilidad de los datos que maneja.
Finalmente, ¿cómo proyectan ustedes que Fernández & Yuraszeck pueda aportar a las empresas que comienzan este proceso de adecuación?
Nuestro foco no es entregar un informe estándar. Queremos trabajar de manera transversal con todas las áreas que tratan datos dentro de una organización, desde lo legal hasta lo técnico.
La implementación requiere un traje a la medida: cada empresa tiene sensibilidades y realidades distintas. No es lo mismo asesorar a una compañía que trata datos sensibles que a una constructora con un modelo más B2B.
Nuestro valor está en esa combinación de cercanía, pragmatismo y experiencia: más de 15 años asesorando en esta materia nos permiten acompañar la adecuación de manera práctica y efectiva.