En conversación con Actualidad Jurídica: el blog de DOE, Ignacio Gallardo, coordinador Comité PDP de la Asociación de Profesionales en Protección de Datos (AGPD Chile) y co-expositor ante la Comisión Asesora Ministerial para la implementación de la Ley 21.719, analiza los nudos críticos del régimen diferenciado para pymes, advirtiendo que limitarlo solo a criterios económicos podría abrir espacios de uso indebido y comprometer la protección efectiva de los titulares.
El experto llama a la futura Agencia a adoptar un enfoque basado en riesgo, a establecer pisos mínimos de seguridad claros y a fijar límites para grandes proveedores tecnológicos que operan como encargados. Según señala, “Chile está en el momento clave para definir estándares que sean realistas, proporcionales y, sobre todo, garantistas”.
En el contexto de la implementación de la Ley 21.719, ¿cuál es hoy el principal desafío cultural y operativo para instalar en Chile una protección de datos realmente basada en derechos? ¿Existe conciencia de que tratar datos personales es un deber jurídico y no solo un trámite administrativo?
A mi modo de ver, en Chile aún falta una comprensión social y empresarial de que la protección de datos es el derecho fundamental de nuestros tiempos y no un simple trámite administrativo. El crecimiento exponencial de las tecnologías y de las capacidades de análisis aumenta los riesgos para las personas, tanto en su vida privada como en su relación con la sociedad.
Para las personas, el desafío está en contar con más educación, información y control sobre sus datos. Para las empresas, el reto radica en su capacidad organizacional para integrar la privacidad en sus procesos y decisiones de negocio, más allá del mero cumplimiento formal.
A esto se suma el desafío institucional de la futura Agencia, que deberá consolidarse como una autoridad con legitimidad técnica y capacidad real de fiscalización.
Considerando todo esto, creo que aún queda mucho por avanzar para generar esa conciencia.
La ley incorpora un régimen diferenciado para pymes. Desde la mirada de la AGPD, ¿qué riesgos implica definir ese estándar solo con criterios económicos? ¿El tamaño debe importar menos que el riesgo real del tratamiento?
Efectivamente, la nueva normativa chilena incorpora un régimen diferenciado para pymes, lo que constituye una innovación respecto de otras jurisdicciones, donde la lógica predominante es la proporcionalidad. Es un avance relevante, pero también abre desafíos.
Uno de los riesgos que detectamos —y que presentamos ante la Comisión Asesora— es que definir pyme solo por un criterio económico deja fuera elementos esenciales del tratamiento de datos. La Agencia debe evaluar también el nivel de riesgo, el volumen y tipo de datos tratados, la pertenencia a un grupo económico, entre otros factores.
Por ejemplo: un startup con bajo ingreso pero que procesa grandes volúmenes de datos; un pequeño centro médico que maneja información de salud; o una ONG que trata datos de menores o personas vulnerables. Todas pueden tener ingresos reducidos, pero realizan tratamientos altamente complejos desde la perspectiva de la protección de datos.
En Europa existen herramientas simplificadas para PYMES, como FACILITA_RGPD en España. ¿Qué tan urgente es que la futura Agencia chilena genere instrumentos similares para que las PYMES puedan cumplir sin depender de asesorías costosas?
Es fundamental. La futura Agencia deberá tener sentido de realidad, y eso implica reconocer que la mayoría de las pymes no puede asumir altos costos de cumplimiento sin apoyo institucional.
Por eso consideramos esencial que se desarrollen herramientas de autodiagnóstico, guías, plantillas y checklists, siguiendo el modelo de autoridades europeas con experiencia en este rol educativo. Esto debiera ser un eje de trabajo desde el inicio del funcionamiento de la Agencia.
Además, en Chile ya existe un ecosistema emergente de profesionales y soluciones tecnológicas orientadas a la protección de datos, que puede complementar este esfuerzo y permitir que las pymes cumplan sin depender exclusivamente de asesorías costosas.
El delegado de Protección de Datos sigue siendo una figura poco conocida en Chile. ¿Cómo debería aterrizar este rol en pymes y qué modelos —compartidos, externalizados, sectoriales— podrían hacer viable su implementación?
Un aspecto clave es que la normativa establece al delegado de Protección de Datos (DPO) como una figura voluntaria. Sin embargo, esto no debe llevar a las pymes —ni a ninguna organización— a pensar que basta con cumplir “solo el mínimo”. Su designación dependerá del caso a caso, pero lo relevante es que las empresas hagan la evaluación y tomen una decisión consciente.
La ley no entrega una definición completamente cerrada, por lo que interpretamos que el DPO podría ser compartido, externalizado o incluso adoptado a nivel sectorial, lo que haría más viable su implementación en organizaciones pequeñas. Si bien será la Agencia quien precise esto, también es clave que los sectores económicos se organicen y adopten modelos coherentes con su realidad y nivel de riesgo.
Tampoco debe perderse de vista que el DPO es un agente de confianza interno, primer punto de contacto con la Agencia y con los titulares, y un elemento esencial del modelo de prevención de infracciones, que además puede operar como atenuante en procesos de fiscalización.
Según el “Informe de Diagnóstico: Régimen Diferenciado para PYMES de la Ley 21.719” que presentaron al Consejo Asesor, uno de los puntos críticos es que startups o entidades con tratamientos complejos podrían acceder indebidamente al estándar pyme solo por su nivel de ingresos. ¿Qué tan urgente es que la Agencia adopte un criterio basado en riesgo y no solo en tamaño económico?
El artículo 14 septies establece un régimen diferenciado respecto de los estándares o condiciones mínimas de información y seguridad, que deberá ser definido por la Agencia mediante instrucción general. La norma fija criterios como el tipo de dato tratado y las características del responsable según tamaño, actividad, volumen, naturaleza y finalidad del tratamiento, remitiéndose a la ley 20.416.
Si bien existe un marco claro, en el Informe advertimos situaciones límite donde podría producirse un uso indebido del régimen, especialmente cuando se consideran solo criterios económicos. Por eso planteamos que la Agencia debe adoptar un enfoque funcional, basado en el contexto real del tratamiento, no únicamente en umbrales financieros.
Sugerimos medidas concretas como guías interpretativas, exclusiones para tratamientos de alto riesgo y, en ciertos casos, exigir una evaluación de impacto como condición de entrada al régimen diferenciado.
Esto fue planteado ante la Comisión y tuvo buena recepción, porque si cualquier entidad puede declararse pyme sin considerar el riesgo del tratamiento, el espíritu del artículo se diluye.
El documento pone especial énfasis en definir un piso mínimo de seguridad claro —medidas básicas, de bajo costo y alto impacto como MFA, control de accesos o respaldos segregados—. ¿Qué tan decisivo es que esa lógica quede incorporada en las primeras instrucciones generales?
Uno de los aportes del Informe es que recoge la experiencia de distintas autoridades internacionales y sus enfoques sobre seguridad. Por ejemplo, la NCSC del Reino Unido promueve medidas de bajo costo y alto impacto como copias de seguridad, autenticación multifactor o eliminación segura; el Garante italiano utiliza checklists simplificados; y ENISA propone un marco paso a paso para la gestión de riesgos en empresas de menor tamaño.
A partir de estas prácticas, buscamos rescatar lo mejor de cada modelo y no innovar a ciegas, proponiendo recomendaciones concretas e incluso criterios de atenuación de sanciones para organizaciones que demuestren proactividad y colaboración ante incidentes.
Estas recomendaciones están totalmente alineadas con lo que ya promueve la Agencia de Ciberseguridad, algo que también fue destacado por su director en nuestra presentación ante la Comisión Ministerial.
El informe también advierte sobre la relación entre responsables y encargados, especialmente cuando una pyme contrata a un proveedor tecnológico de gran escala. ¿Qué lineamientos deberían existir para que esa asimetría no termine afectando los derechos de los titulares?
El Informe destaca una referencia cruzada entre el artículo 15 bis —sobre cesión de datos personales— y el artículo 14 septies —estándar diferenciado para pymes—. Esta remisión indica que la diferenciación también aplica a los encargados del tratamiento, lo que abre varias interrogantes.
¿Qué ocurre cuando una pyme contrata a proveedores tecnológicos de gran escala? ¿Podría el encargado trasladar el riesgo al responsable? ¿O incluso acogerse al régimen pyme solo porque su cliente lo es?
Lo que enfatizamos es que existe una asimetría contractual evidente entre responsables y grandes encargados, que puede limitar el cumplimiento real de la ley. Por eso sostenemos que el estándar diferenciado debe beneficiar a las pymes, no convertirse en una vía para que grandes proveedores operen con exigencias reducidas, especialmente cuando son ellos quienes tienen mayor capacidad técnica y discrecionalidad para definir los medios de seguridad.
En este sentido, la conclusión es clara: la diferenciación debe servir para apoyar a las pymes y no para que los grandes actores bajen sus estándares. Hubo consenso en la Comisión respecto de que la Agencia tendrá un rol fundamental en establecer estos límites.