En conversación con Actualidad Jurídica: El Blog de DOE, Carlos Reusser, presidente del Instituto Chileno de Derecho y Tecnologías y profesor de Derechos Digitales de la Universidad Alberto Hurtado, analiza los alcances de la nueva Ley de Protección de Datos que entrará en vigor en 2026.

En ese sentido, aborda el rol que tendrá la futura Agencia de Protección de Datos, los desafíos de la administración pública, los riesgos de judicialización, el impacto en pymes y startups, y la necesidad de generar una verdadera conciencia ciudadana frente al valor de la información personal.

La nueva ley marca un giro en la forma de entender la protección de datos en Chile. ¿Crees que está diseñada para responder a los desafíos actuales de la economía digital, o sigue teniendo vacíos estructurales?

Creo que la pregunta merece una respuesta rotunda: el ecosistema de economía digital ya no tiene vacíos estructurales, pues la nueva ley de protección de datos es la pieza central sobre la cual descansan todas las demás regulaciones recientes: la ley de transformación digital, la ley marco de ciberseguridad, la ley Fintec e incluso la nueva normativa sobre criminalidad informática. Todas ellas presuponen la existencia y el funcionamiento de una legislación moderna de protección de datos, alineada con estándares internacionales.

Hasta ahora, Chile ha padecido una falencia normativa inadmisible para un país que dice aspirar al desarrollo. Eso comenzará a cambiar a partir del 1 de diciembre de 2026, cuando entre en vigor la nueva ley de protección de datos. Todas las demás normas son apenas compañeros de baile que aguardaban la llegada de la protagonista principal.

De cara al futuro, las prioridades están más acotadas. En el plano de los nuevos negocios, resta impulsar normas sobre datos abiertos que permitan crear y escalar servicios innovadores. En paralelo, es imprescindible avanzar en gestiones políticas y técnicas para que Europa reconozca a Chile como país con nivel adecuado de protección de datos, lo que nos abriría las puertas al selecto club que intercambia información sin trabas.

Sobre inteligencia artificial, tenemos la oportunidad de cambiar el foco: ya no deberíamos limitarnos a copiar apresuradamente legislaciones extranjeras, sino diseñar políticas públicas, instrumentos e incentivos que fortalezcan el desarrollo responsable y competitivo de esta industria en Chile.

El sector público concentra grandes volúmenes de datos sensibles, pero históricamente ha mostrado rezagos en ciberseguridad. ¿Qué tan preparada está realmente la administración pública para cumplir con la nueva ley?

Lamentablemente, este es un punto crítico. Más allá de las buenas intenciones y los planes declarados, nuestra burocracia ha demostrado históricamente dificultades para convivir con la tecnología, la mejora continua y la planificación estratégica. Esa carencia se refleja también en la lenta adopción de estándares internacionales en materia de protección de datos.

Por ejemplo, ya han pasado varios años desde que redacté la Ley de Transformación Digital del Estado y seis desde su publicación. Sin embargo, las normas complementarias dictadas no buscaron acelerar su implementación, sino postergarla. Ese aplazamiento ha beneficiado a la administración pública —que gana tiempo para adaptarse—, pero en nada favorece a la ciudadanía.

En materia de protección de datos personales, la falta de comprensión y adaptación a la nueva realidad normativa es evidente. Organismos como la Contraloría General de la República, las Superintendencias y otras entidades han preferido apoyarse en normas generales poco robustas para justificar decisiones que, en los hechos, pasan por alto un derecho constitucional esencial como la protección de datos. Esto será insostenible cuando la Agencia comience a operar y la supervisión se vuelva efectiva.

El problema de fondo es claro: el Estado concentra enormes volúmenes de información sensible —desde historiales clínicos y datos financieros hasta registros de identidad—, pero ha operado durante años sin estándares adecuados ni una supervisión especializada. Esto ha derivado en filtraciones, descuidos notorios y una cultura institucional indiferente al valor de los datos.

Mirando el vaso medio lleno, la nueva ley y la futura Agencia de Protección de Datos representan un incentivo real para que el Estado finalmente se ponga al día. Por primera vez habrá un ente externo con atribuciones claras para supervisar y sancionar a organismos públicos, lo que rompe con la vieja lógica en que el propio Estado era juez y parte en el manejo de datos personales.

El desafío es enorme, pero también abre una oportunidad histórica: modernizar y profesionalizar la gestión pública de datos en Chile, alineándola con estándares internacionales y poniendo al ciudadano en el centro de la protección.

En el ámbito privado, especialmente en pymes y startups, ¿cómo se evita que el cumplimiento se transforme en una carga burocrática que frene la innovación?

La protección de los datos personales no debe entenderse como una carga burocrática, sino como una plataforma de oportunidades. Cumplir con estándares internacionales no significa llenar papeles o multiplicar trámites, sino implementar soluciones y procedimientos que abren la puerta a nuevos modelos de negocio, mayor confianza de los consumidores y acceso a mercados internacionales.

En este sentido, una Agencia de Protección de Datos juega un rol fundamental. Su misión principal no es fiscalizar y sancionar, sino formar a la ciudadanía y proveer instrumentos claros y accesibles que permitan a personas, empresas consolidadas, pymes y startups cumplir con la normativa sin fricciones innecesarias.

Por eso, las agencias en el mundo elaboran a gran escala manuales, guías prácticas, plantillas de contratos y programas de capacitación que convierten el cumplimiento en un proceso natural y asequible, en lugar de un obstáculo.

Con esta lógica, la regulación deja de ser un lastre y se transforma en un sello de confianza. Para una pyme o startup tecnológica, demostrar cumplimiento con estándares internacionales no solo evita sanciones, sino que abre la posibilidad de competir en mercados globales, atraer inversionistas y generar alianzas estratégicas.

Habrá, naturalmente, un periodo de adaptación. Es posible que al inicio muchas pequeñas empresas se sientan abrumadas ajustando políticas internas, elaborando textos legales o implementando procedimientos para responder a solicitudes de datos. Pero con una regulación inteligente y programas de apoyo adecuados, ese tránsito puede convertirse en una oportunidad de madurez organizacional más que en un castigo.

El régimen sancionatorio endurecido puede ser un incentivo para el cumplimiento, pero también un riesgo de judicialización masiva. ¿Qué escenarios ves en el corto plazo?

La nueva ley viene con dientes mucho más afilados que su predecesora. Esto era algo largamente esperado: la antigua normativa prácticamente no asustaba a nadie, porque sus sanciones eran casi inexistentes. Ahora, en cambio, se estableció un régimen sancionatorio robusto, con multas que pueden llegar a cifras millonarias. Sin embargo, el arma de las sanciones puede tener un efecto secundario: una oleada de reclamos y judicialización.

En el corto plazo, es probable que apenas la ley entre en vigencia, muchas personas empiecen a ejercer sus derechos y a presentar quejas ante la nueva Agencia cuando sientan que sus datos son mal manejados. Esto podría derivar en un incremento exponencial de casos: la Agencia tendrá que prepararse para no verse sobrepasada por el volumen de reclamos.

Por otro lado, con sanciones fuertes en juego, es previsible que muchas organizaciones opten por pelear las decisiones en tribunales. Esto abrirá la puerta a litigios complejos, porque estaremos definiendo por primera vez cómo se interpretan ciertos conceptos de la ley.

Anticipo un periodo de adaptación en que la Agencia probablemente parta dando algunas advertencias o sanciones ejemplares para educar al mercado. No me extrañaría que los primeros en caer sean casos emblemáticos, como una gran empresa multada por una infracción evidente, solo para mostrar que esto va en serio.

Ese tipo de acciones tendrá un efecto aleccionador. A partir de ahí, vendrá un proceso de aprendizaje colectivo: las empresas ajustarán prácticas para evitar ser el próximo caso público, los ciudadanos irán entendiendo cómo reclamar sus derechos, y los jueces comenzarán a sentar precedentes.

El régimen sancionatorio duro es un mal necesario para cambiar conductas, aunque traerá consigo un oleaje de litigios que tendremos que navegar con paciencia y buen criterio jurídico. Y no hay que olvidar que el rol principal de la Agencia es formar, educar y asesorar, antes que sancionar.

La futura Agencia de Protección de Datos tendrá un rol central. ¿Qué condiciones institucionales necesita para ser un verdadero garante de derechos y no repetir las debilidades de otras agencias reguladoras en Chile?

La creación de la Agencia de Protección de Datos Personales es quizás la pieza más transformadora de la nueva ley. Pero su sola existencia no garantiza nada: todo dependerá de cómo funcione en la práctica. Para que sea un verdadero garante de derechos necesita condiciones institucionales muy claras desde el comienzo.

Lo primero es que su independencia debe ser real y su autonomía intocable. Esto significa que la Agencia no puede estar supeditada a vaivenes políticos ni a presiones de turno. Solo con independencia podrá fiscalizar tanto al sector privado como al público sin favoritismos.

Lo segundo es que debe contar con un fuerte músculo técnico. Para regular y fiscalizar eficazmente, hace falta presupuesto suficiente y personal altamente capacitado. La Agencia necesitará expertos multidisciplinarios: abogados especializados en datos, ingenieros en ciberseguridad, analistas tecnológicos, entre otros.

En tercer lugar, para ganarse la confianza ciudadana, la Agencia deberá predicar con el ejemplo en buenas prácticas. Que sus procesos sancionatorios sean transparentes, que publique estadísticas de denuncias, que explique sus resoluciones. La opacidad alimenta sospechas; la transparencia genera legitimidad.

Finalmente, esta Agencia debería aspirar a prevenir problemas. ¿Cómo? Emitiendo guías, orientando tanto a empresas como a organismos públicos sobre cómo cumplir, y realizando campañas educativas para la ciudadanía. Un liderazgo que impulse una cultura de protección de datos.

Si logramos darle esas condiciones, habremos construido una pieza fundamental para que el derecho a la protección de datos se haga realidad efectiva.

Chile llega tarde en esta materia respecto de estándares como el GDPR europeo. ¿Qué lecciones deberíamos importar, y qué aspectos no se pueden copiar sin más?

Cuando Chile dictó en 1999 la Ley N°19.628 sobre protección de la vida privada, lo hizo tomando como base la ley española. Desde entonces, contamos prácticamente con los mismos principios y derechos reconocidos en la normativa europea, que hoy constituye el estándar mundial en la materia.

Lo que falló no fue el diseño normativo inicial, sino otra cosa: la influencia de grupos de presión de la época. Estos convencieron a las autoridades de que crear una autoridad de protección de datos y establecer un régimen sancionatorio significaría inflar innecesariamente la burocracia y frenar el desarrollo económico. Ese discurso fue tan persuasivo que, hasta hace poco, muchas autoridades y exautoridades lo repetían sin cuestionamiento. El resultado fue que Chile se apartó de la legalidad internacional en la materia, debilitando tanto las oportunidades comerciales como el respeto a los derechos fundamentales de sus ciudadanos.

Se suele argumentar que no podemos simplemente “copiar y pegar” la normativa europea sin atender a nuestras particularidades. Pero la protección de datos personales ya es un estándar global, respetado en múltiples latitudes, y pretender adaptarlo arbitrariamente sería como aplicar normas ISO “a nuestra manera”, debilitando la confianza internacional.

Si Chile ha decidido alinearse con el estándar europeo, debe hacerlo de manera íntegra: con todas sus implicancias. Los datos no reconocen fronteras y cualquier ajuste local inconsistente afecta de inmediato la credibilidad internacional del país. En este terreno no caben medias tintas.

Más allá de la ley, la mayor brecha parece ser cultural: muchas personas todavía no dimensionan el valor de sus datos. ¿Cómo se construye una verdadera conciencia ciudadana frente a este tema?

Este quizá sea el desafío más grande, porque no se resuelve con decretos ni con tecnología, sino con un cambio de mentalidad colectivo. En Chile, mucha gente todavía no dimensiona realmente el valor de sus datos personales.

Durante años hemos convivido con frases como “el que nada hace, nada teme” o “¿qué tanto importa el RUT o el correo?”, y hemos entregado información sin cuestionamientos, casi siempre a cambio de nada. En el comercio, por ejemplo, ya ni siquiera intentan seducirnos con puntos o beneficios dudosos: simplemente piden nuestros datos sin explicar para qué los usarán.

¿Cómo creamos verdadera conciencia ciudadana? No hay una receta mágica, pero sí varios caminos que deben recorrerse en paralelo. Uno es incorporar la protección de datos en la educación escolar y en la formación ciudadana. Así como enseñamos educación financiera o ambiental, en pleno 2025 es indispensable enseñar educación digital.

El Estado, por su parte, debería liderar con campañas comunicacionales creativas que expliquen en un lenguaje simple y con ejemplos cotidianos el valor de la información personal. La gente toma conciencia cuando entiende cómo algo la afecta directamente y, sobre todo, cuando tiene herramientas para actuar. Por eso es clave que los ciudadanos puedan ejercer con facilidad los derechos que la ley les reconoce. Si alguien pide sus datos a una empresa y efectivamente se los entregan o corrigen un error, ese ejercicio revela el poder que tiene en sus manos.

La conciencia también se construye desde las instituciones con las que interactuamos a diario. Si una tienda o aplicación explica con transparencia por qué solicita ciertos datos y ofrece opciones reales de consentimiento, está educando. Y si las empresas empiezan a competir no solo en precio o calidad, sino también en quién protege mejor la información de sus clientes, el público recibirá un mensaje más potente que cualquier discurso. Lo contrario —letras chicas incomprensibles y contratos ininteligibles— solo perpetúa la indiferencia y la resignación.

En definitiva, generar conciencia es un proceso de largo aliento, que requiere educación, comunicación y coherencia institucional. La consagración del derecho fundamental a la protección de datos es un gran paso, pero para que cobre vida es indispensable que cada persona lo haga suyo. Nuestros datos son una extensión de nosotros mismos: así como no entregaríamos las llaves de nuestra casa a un desconocido, tampoco deberíamos entregar información personal sin saber para qué se usará.

No será de un día para otro; tomará tiempo y habrá tropiezos. Pero lo positivo es que, por primera vez, este tema se discute en la prensa, en las empresas e incluso en la mesa familiar. Y ahí, justamente, comienza a nacer la verdadera conciencia ciudadana.