Por Edmundo Varas, Director de KPMG Law en Chile.
Luego de siete años de tramitación en el Congreso, Chile ha dado un paso trascendental hacia la
modernización de su marco normativo en materia de datos personales. La reciente publicación de la Ley
de Protección de Datos en el Diario Oficial establece un nuevo estándar en relación con el tratamiento
de información personal, delimitando principios básicos para la obtención, uso, divulgación y
almacenamiento de datos, y definiendo las bases de su legitimidad.
Uno de los hitos más relevantes de esta legislación es la creación de la Agencia de Protección de Datos,
que tendrá como objetivo fiscalizar el cumplimiento de la norma y aplicar sanciones. La ley establece un
catálogo de conductas e infracciones: leves, graves y gravísimas, las que se sancionarán con multas que
pueden alcanzar alrededor de USD 1,4 millones o hasta el 4% de los ingresos del infractor, un mensaje
claro sobre la seriedad con que se debe abordar esta materia.
Sin embargo, sería un error entender esta nueva institucionalidad exclusivamente como un ente
sancionador. Al igual que la Comisión para el Mercado Financiero (CMF) no se debería limitar a fiscalizar,
sino que también fomenta el desarrollo y la promoción de los mercados, presentando una oportunidad
única para que las empresas adopten mejores prácticas en el manejo de datos y, con ello, fortalezcan su
reputación, eficiencia y competitividad.
Un reciente estudio realizado por la Cámara de Comercio de Santiago revela que el 80% de las
organizaciones en Chile considera que el tratamiento de datos personales es importante o crítico para
su operación. Además, se estima que el gasto global en ciberseguridad alcanzará USD 212 mil millones
en 2025, mientras que el 64% de las compañías de América Latina aumentará su gasto en tecnologías de
la información durante el mismo periodo.
La implementación de esta ley podría incluso posicionar a Chile como un país que garantiza un nivel de
protección adecuado, un atributo clave para generar confianza en transacciones con la Unión Europea y
Latinoamérica. Sin embargo, para capitalizar estos beneficios, es fundamental que las empresas
comiencen desde ahora su proceso de preparación para la entrada en vigencia de la norma, prevista
para finales de 2026.
Este camino debe comenzar con un diagnóstico del tratamiento actual de los datos personales,
considerando elementos como el tipo de información que se maneja, las bases de legitimidad, los
protocolos existentes, el ámbito territorial en que opera la organización, mecanismos de reporte interno
y el cumplimiento del sistema sancionatorio.
Adicionalmente, será necesario analizar con especial énfasis los datos procesados a través de terceros y
evaluar tecnologías vinculadas al manejo de dicha información, como proveedores que presten servicios
de software predictivos, almacenamiento en nubes fuera de Chile, desarrollos web para cotización de
servicios, webscraping, identificación a través de sistemas biométricos, empresas externas de bases de
datos y herramientas de Emarketing.
Otro desafío clave será integrar esta nueva normativa con las múltiples regulaciones sectoriales que
también abordan el tratamiento de datos personales, como las disposiciones de la CMF, el Servicio de
Impuestos Internos, la Superintendencia de Salud o el SERNAC. Estas exigencias se suman a iniciativas
legislativas complementarias, tales como el Registro de Deuda Consolidada, normas Fintech y de
Finanzas Abiertas, Ley Marco sobre Ciberseguridad y la de Delitos Económicos.
El reloj ya está corriendo y las empresas tendrán el desafío de adaptarse a esta nueva realidad no solo
para cumplir con la legislación, sino también para desarrollar negocios de manera segura, sostenible y
alineada con las mejores prácticas internacionales. La protección de datos no es solo un reto regulatorio:
es una oportunidad para construir confianza y potenciar el crecimiento en un mundo cada vez más
digitalizado.
