En el marco del seminario “Multas y cumplimiento en la nueva ley de datos personales: desafíos y riesgos para las empresas”, la CEO de Idónea Consultores, Catherine Muñoz, advierte sobre la alta exposición de las pymes frente a la nueva normativa, cuestiona la falta de evaluación de costos en el diseño regulatorio y subraya la importancia del principio de proporcionalidad en la aplicación de sanciones.
Usted ha planteado que el principio de proporcionalidad será clave en la aplicación de sanciones. ¿Cómo debería operar este criterio en la práctica, especialmente en el caso de las pymes?
La proporcionalidad no es un principio decorativo: es el mecanismo que permite que una ley con multas altas conviva con una economía donde el 99% de las empresas son pymes. En la práctica, la proporcionalidad opera en tres dimensiones que conviene distinguir.
La primera es la proporcionalidad en la arquitectura de cumplimiento. La Agencia no puede exigirle a una pyme la misma infraestructura que a una multinacional. La propia ley lo reconoce: el artículo 14 septies obliga a la Agencia a dictar estándares diferenciados para los deberes de información y seguridad, considerando el tamaño de la empresa según la Ley 20.416. En materia de gobierno corporativo, la ley permite que en micro, pequeñas y medianas empresas el propio dueño o la máxima autoridad asuma personalmente las tareas del Delegado de Protección de Datos, sin necesidad de contratar a alguien externo. Europa aplica el mismo criterio bajo el RGPD, eximiendo a empresas bajo 250 empleados de ciertos registros formales cuando su actividad principal no es el tratamiento de datos.
La segunda es la proporcionalidad en la fiscalización. Los esquemas de control no pueden imponer costos que expulsen a pymes del mercado. Una auditoría presencial completa para cada pyme sería desproporcionada; mecanismos como muestras aleatorias o autodeclaraciones cumplen la misma función de control con costos realistas.
La tercera, y la más crítica, es la proporcionalidad económica en las sanciones. La Agencia tiene que evaluar caso a caso la naturaleza del dato afectado, la escala del tratamiento, la intencionalidad, las medidas adoptadas antes y después del incidente, y si hay reincidencia. El artículo 37 obliga a considerar la capacidad económica del infractor al determinar el monto de la multa. No es optativo.
Lo que espero, y en lo que hemos insistido desde la academia y el ecosistema técnico, es que la Agencia construya una dosimetría sancionatoria que reconozca realidades distintas. No es lo mismo una pyme con deficiencias formales que una gran empresa con tratamiento masivo de datos sensibles durante años sin medidas adecuadas. Si la Agencia parte castigando parejo, lo que va a lograr es sacar pymes del mercado sin mejorar la protección de derechos fundamentales, que es el objetivo real de la ley.
¿Qué tan expuestas cree que están hoy las pequeñas y medianas empresas frente a las exigencias de la nueva ley?
Muy expuestas. Y lo digo con preocupación real. Las pymes tratan datos personales todos los días —de clientes, trabajadores, proveedores o postulantes— muchas veces sin dimensionar que eso las convierte en responsables de tratamiento con las mismas obligaciones fundamentales que un banco.
La diferencia es que no tienen equipo legal, no tienen DPO, no tienen área de ciberseguridad y, en muchos casos, ni siquiera tienen claridad sobre qué datos recolectan.
Aunque la ley menciona a las pymes en varios artículos y establece que durante los primeros doce meses la Agencia podrá aplicar amonestación escrita, en la práctica la arquitectura de cumplimiento es la misma para todas las empresas. El registro de actividades, la notificación de brechas, los derechos de los titulares y los contratos con encargados operan igual.
El problema de fondo es que en Chile no se calcula cuánto cuesta una ley. No hay evaluación seria del impacto en empresas, en el sector público ni en la economía. Eso termina trasladando costos por vías no previstas: precios, despidos, cierre de empresas o incumplimiento generalizado.
Esto no es un cuestionamiento a la ley, que era necesaria, sino a una cultura legislativa que impone obligaciones sin cuantificarlas.
Usted advirtió que incluso una infracción leve podría implicar multas muy elevadas. ¿Qué impacto puede tener esto en empresas que no cuentan con recursos o equipos especializados?
El impacto puede ser existencial. Una multa que para una gran empresa es absorbible, para una pyme puede significar el cierre.
El legislador chileno entendió este riesgo y estableció límites. Las multas más altas, basadas en porcentajes de ingresos, se aplican exclusivamente a empresas que no son de menor tamaño. Para las pymes existen topes en UTM que buscan evitar sanciones desproporcionadas.
Además, el sistema contempla herramientas relevantes: un primer período con amonestaciones, la posibilidad de sancionar con advertencias en infracciones leves y la exigencia de medidas de subsanación con plazo.
Todo esto permite distinguir entre el infractor de buena fe que está en proceso de adaptación y quien actúa con negligencia o dolo.
Más allá de las multas, ¿cuáles son los otros riesgos que enfrentan las empresas frente a un incumplimiento en materia de protección de datos?
Las multas son lo más visible, pero no lo más costoso.
Existe un riesgo reputacional, donde una filtración o una mala gestión de datos puede destruir la confianza en pocos días. Un riesgo contractual, porque cada vez más empresas exigen cumplimiento en sus relaciones comerciales. Un riesgo operacional, ya que la autoridad puede suspender tratamientos de datos. Y un riesgo de responsabilidad civil, porque la ley obliga a indemnizar los daños causados a los titulares.
A esto se suma la eventual responsabilidad de directores y gerentes cuando el incumplimiento refleja falta de diligencia en el gobierno corporativo.
Desde una mirada práctica, ¿cuáles son las primeras medidas que deberían comenzar a implementar hoy las empresas para prepararse?
Lo primero es saber qué datos personales se tratan y para qué. Esto se materializa en el Registro de Actividades de Tratamiento, que es la base del sistema.
Luego, realizar un diagnóstico honesto: identificar brechas, priorizar riesgos y definir qué medidas se pueden implementar con los recursos disponibles.
También es clave revisar contratos con proveedores que acceden a datos y fortalecer la capacitación interna. Una cultura básica de protección de datos es más efectiva que cualquier documento formal.
Designar un responsable, aunque no sea formal, ayuda a ordenar todo el proceso.
¿Existe todavía desconocimiento en el mundo empresarial sobre la magnitud de los cambios que introduce esta ley?
Sí, y es más profundo de lo que se cree. Muchas empresas piensan que con una política de privacidad cumplen, cuando en realidad eso es solo una parte mínima.
También existe confusión con otros modelos de compliance, como el penal, que responden a lógicas distintas. Y, en muchos casos, los directorios no han asumido que la protección de datos es un tema de gobierno corporativo.
Sin ese liderazgo, la implementación queda incompleta.
¿Qué cree que podría pasar con aquellas empresas que decidan postergar su adaptación y esperar a que comiencen las primeras sanciones?
Van a pagar caro, y no solo en multas. La adaptación toma tiempo: construir un registro, revisar contratos, implementar medidas y generar cultura organizacional no se hace en semanas.
Los primeros casos suelen ser ejemplificadores, y las empresas que no se preparen enfrentarán el proceso sin capacidad de demostrar diligencia.
La diferencia entre prepararse e improvisar es enorme. Quienes avancen desde ahora, aunque no lleguen perfectos, tendrán evidencia de esfuerzo. Eso es lo que la autoridad probablemente va a considerar.
Quienes no hagan nada, van a enfrentar un sistema que no fue diseñado para la improvisación.
