Chile ha dado un paso decisivo hacia la modernización de su sistema de protección de datos personales. Con la publicación de la Ley N° 21.719, que reforma integralmente la antigua Ley 19.628, el país se alinea con los estándares internacionales de privacidad y se prepara para un nuevo escenario de cumplimiento regulatorio mucho más exigente. Uno de los cambios más relevantes es la creación de la Agencia de Protección de Datos Personales, una autoridad autónoma con atribuciones potentes y una clara misión: fiscalizar, sancionar y promover una cultura de respeto por los datos personales.
¿Qué es la nueva Agencia y qué puede hacer?
La Agencia de Protección de Datos Personales nace como un órgano con personalidad jurídica y patrimonio propio. Tendrá competencias técnicas, autonomía para dictar instrucciones de carácter general, y facultades de fiscalización directa. Esto significa que las empresas ya no estarán frente a una norma de cumplimiento pasivo, sino ante un regulador activo, con capacidad de:
- Realizar auditorías y fiscalizaciones presenciales o remotas.
- Ordenar la suspensión de tratamientos de datos ilícitos.
- Aplicar medidas correctivas inmediatas.
- Iniciar procedimientos sancionatorios y emitir multas.
- Establecer estándares técnicos y metodológicos, como evaluaciones de impacto o análisis de riesgo.
La Agencia también será responsable de aprobar mecanismos de autorregulación, emitir certificaciones y ejercer un rol educativo frente al público general y a los responsables del tratamiento de datos.
¿Y las sanciones? Chile entra a la era de las multas disuasorias
La gran novedad es que las sanciones dejan de ser simbólicas y pasan a ser verdaderas herramientas de disuasión. Se establecen tres niveles de infracciones (leves, graves y gravísimas) con multas que pueden llegar hasta 20.000 UTM, equivalentes a más de mil millones de pesos chilenos.
Esto marca un cambio radical respecto al régimen anterior, que solo permitía sanciones mínimas (y casi nunca aplicadas). Ahora, el regulador podrá aplicar criterios como la reincidencia, el volumen de afectados, el daño causado y el grado de negligencia para agravar o atenuar las sanciones.
Además, los tratamientos de datos personales sensibles, como los relativos a salud, origen racial o biometría, tendrán especial vigilancia y consecuencias más severas en caso de uso indebido.
Lo que deben hacer las organizaciones
Este nuevo marco legal exige a empresas, instituciones públicas y privadas, ONG y startups pasar de una lógica de «checklist» a una verdadera gestión estratégica de la privacidad. Algunas claves inmediatas:
- Designar un responsable interno o externo (DPO as a Services) para coordinar el cumplimiento en privacidad.
- Revisar y actualizar avisos de privacidad, bases legales y finalidades de tratamiento.
- Elaborar políticas claras de protección de datos y capacitar a los equipos.
- Realizar evaluaciones de impacto en privacidad (EIPD) y documentar decisiones en caso de alto riesgo.
- Formalizar relaciones con proveedores mediante contratos adecuados (encargados del tratamiento).
- Preparar canales para responder solicitudes de derechos B+ARCO+P.
- Elaboración de un registro de actividad de tratamiento (RAT).
La Agencia aún no entra en funciones plenamente, pero el tiempo para prepararse es ahora. La transparencia, el consentimiento informado y la responsabilidad proactiva serán la base de la relación con los titulares de datos. No cumplir ya no será una opción sin consecuencias.