El socio de PPU Legal a cargo del área de Tecnología, Medios y Telecomunicación (TMT), Eduardo Escalona —en conversación con Actualidad Jurídica: El Blog de DOE—, advirtió que la nueva legislación de datos personales en Chile marca un cambio de paradigma que exigirá al Estado y a las organizaciones públicas y privadas un profundo cambio cultural, técnico y formativo.
A su juicio, conceptos como responsabilidad proactiva o delegados de datos solo tendrán efecto si se acompañan de gobernanza, recursos y voluntad institucional.
Tú planteabas que estamos ante un cambio de paradigma con la nueva legislación de datos personales. ¿Qué elementos concretos de esta ley justifican esa afirmación y cómo crees que afectarán la forma en que operan las instituciones públicas hoy en día?
Primero, la nueva ley realmente sitúa en el centro de sus principios y objetivos la protección de los datos personales de los titulares, considerando los avances tecnológicos y los distintos medios a través de los cuales actualmente se intercambia esta información entre empresas, usuarios y el Estado.
Segundo, el nivel de protección que se exige implica un enorme desafío en la generación de cadenas de valor asociadas a la seguridad de la información, la trazabilidad de los datos y el ejercicio efectivo de los derechos de los titulares. Esto incluye resguardar el acceso, la actualización, el contenido real de su información, así como su eventual bloqueo o portabilidad.
Otro elemento importante es el desafío institucional, tanto en recursos materiales como humanos, con una alta demanda de capacitación. El Estado debe estar en condiciones de crear e implementar una Agencia de Protección de datos Personales eficaz, y cada organismo debe cumplir con las nuevas obligaciones en la materia.
Durante tu intervención enfatizaste que el delegado de Protección de Datos no puede convertirse en un “fusible”. ¿Podrías profundizar en esa advertencia y explicar qué condiciones institucionales se requieren para que este rol tenga un impacto real y no sea meramente decorativo?
El delegado de protección de datos es un cargo sobre el cual muchas veces se sobredimensionan las expectativas. Algunas empresas creen que basta con designarlo para dar por cumplidas sus obligaciones legales. Pero más allá de las capacidades personales de quien ocupe ese rol, su eficacia depende de la disponibilidad de recursos y del grado de concientización interna sobre su importancia.
Existe el riesgo de que el delegado termine siendo percibido como un formalismo: una figura simbólica para cumplir con el «checklist». Así, cuando enfrenta requerimientos reales por parte de titulares de datos, puede encontrarse con resistencia, indiferencia o incomprensión respecto del verdadero alcance de la ley. Esto genera frustraciones y eventualmente se le atribuyen responsabilidades que, material y humanamente, no puede asumir sin apoyo institucional.
En cuanto al principio de responsabilidad proactiva, al que calificaste como uno de los ejes de la nueva normativa, ¿cómo lo interpretas críticamente considerando el contexto chileno, donde muchas instituciones aún operan bajo lógicas formales de cumplimiento?
Este tipo de leyes muchas veces genera discusiones conceptuales, a veces más enfocadas en bautizar o acuñar términos que en implementarlos efectivamente. La «responsabilidad proactiva» no es un concepto nuevo: ser responsable siempre ha implicado actuar preventivamente y, ante una vulneración, responder eficazmente para contener el daño e indemnizar al afectado.
En ese sentido, puede convertirse en un simple eslogan. Pero también es cierto que, ante una legislación tan amplia y exigente, las instituciones deben anticipar los principales riesgos y concentrar ahí sus esfuerzos de cumplimiento. Esto exige prever, evaluar y adecuar estándares internacionales a la realidad local.
En la presentación también abordaste el vínculo entre protección de datos y derecho administrativo. ¿Qué desafíos específicos ves en ese cruce, especialmente en cuanto al control y la transparencia de los actos administrativos?
En primer lugar, el derecho administrativo exige que los actos del Estado sean debidamente fundados y transparentes, de modo que se garantice el ejercicio adecuado de la función pública. Sin embargo, muchos procedimientos administrativos incluyen datos personales, los cuales deben ser protegidos.
Esto implica establecer mecanismos de custodia adecuados, limitar el acceso a quienes no son parte del procedimiento y evitar vulneraciones que puedan surgir a partir de la publicidad de los actos administrativos. Un buen modelo a seguir es el del Poder Judicial, que protege especialmente causas de familia o que involucran a menores.
Además, la Agencia de Protección de Datos Personales deberá establecer su propio procedimiento administrativo para abordar denuncias o recursos, cuidando también la confidencialidad de la información tratada en estos procesos.
Respecto a los “riesgos sistémicos” de la digitalización del Estado, ¿podrías ejemplificar cuáles son y qué tipo de gobernanza digital deberíamos construir desde una perspectiva de derechos?
La digitalización del Estado requiere recursos permanentes para garantizar la seguridad de la información y prevenir ataques o filtraciones. Además, obliga a que los datos estén permanentemente actualizados, algo que muchas veces no ocurre, generando encapsulamientos de información que queda obsoleta o mal gestionada.
Por eso, la gestión de los datos no termina cuando se recolectan: también implica resguardar su almacenamiento, definir plazos de conservación y establecer mecanismos de destrucción segura. Es fundamental construir una gobernanza digital robusta, centrada en la protección continua de los derechos de las personas.
Finalmente, desde tu experiencia como académico y experto en derecho público, ¿cómo evalúas la preparación de nuestras universidades y centros de formación jurídica para incorporar la protección de datos como un eje formativo transversal y no solo como una especialización?
Creo que uno de los principales desafíos es que esta materia ha sido enseñada desde enfoques muy diversos: algunos la abordan desde el Derecho Económico, otros desde el Derecho Civil o Comercial. Esta dispersión puede generar confusión en los estudiantes y falta de profundidad en el tratamiento del tema.
Dado que es un ámbito que ha ganado importancia y cuya comprensión básica no requiere una alta barrera de entrada, los programas de posgrado y diplomados son claves para su adecuada difusión. Es esencial fortalecer los vínculos entre la academia, el sector privado y el sector público para fomentar programas de formación que realmente preparen a los profesionales para enfrentar los desafíos de la protección de datos en Chile con un enfoque práctico.