Consejo de Ética y Autorregulación de la AMDD:
Bernardita Briones, data protection officer de Enel en Chile.
Carolina Cabrera, socia fundadora de LawTech.
Elías Mohor, asociado senior de Carey.
Yael Luft, CMO de Mentalidad Web.
El 1 de diciembre de 2026 entrará en vigencia el nuevo régimen de protección de datos personales, a partir de la modernización de la actual Ley N° 19.628, mediante la Ley N° 21.719. No se trata de un ajuste menor, sino de un cambio estructural en la forma en que las organizaciones deberán recolectar, usar, almacenar, compartir y proteger los datos personales.
Para muchas empresas, especialmente aquellas que han avanzado poco o nada, el desafío puede parecer abrumador. Sin embargo, seis meses bien utilizados pueden marcar una diferencia relevante. Llegar preparados no será solo una señal de cumplimiento, sino de liderazgo.
La clave está en dejar de mirar la protección de datos como un tema exclusivamente legal o tecnológico, y comenzar a abordarla como un proyecto transversal del negocio, reputación, confianza y buen gobierno.
La pregunta ya no es si hay que prepararse, sino cómo hacerlo a tiempo. A continuación, una hoja de ruta práctica para iniciar ese camino.
1. Instalar gobernanza y compromiso directivo
El primer paso es entender que la protección de datos no puede quedar alojada únicamente en el área legal, de tecnología o de compliance. Es un asunto transversal que involucra al Directorio, la alta administración y a todas las áreas que tratan información de personas: marketing, ventas, atención al cliente, recursos humanos, operaciones, finanzas y tecnología.
La organización debería:
- Definir quién liderará internamente el proceso de implementación de la ley.
- Crear un comité o equipo responsable de protección de datos.
- Involucrar a las áreas legal, tecnología, marketing, ventas, recursos humanos y operaciones.
- Establecer un calendario, prioridades, responsables y reportes de avance.
- Asignar recursos y capacidad de ejecución.
Sin responsables claros, el riesgo es que todos asuman que “alguien más” está avanzando. Y en protección de datos, ese “alguien más” suele ser el camino más corto al incumplimiento.
La alta dirección debe comprender que la nueva ley instaura un estándar de responsabilidad: no basta con cumplir; las organizaciones deberán poder demostrar cómo cumplen, con evidencia, trazabilidad y decisiones documentadas.
2. Mapear datos, procesos y responsables
No se puede proteger lo que no se conoce. Por eso, el segundo paso es realizar un inventario de los datos personales que trata la organización y de los procesos en que esos datos se utilizan.
Este mapeo debería identificar:
- Qué datos personales recopila la empresa.
- A qué titulares pertenecen: clientes, prospectos, colaboradores, postulantes, proveedores o usuarios web.
- Para qué finalidad se utilizan.
- Dónde se almacenan.
- Quiénes tienen acceso.
- Con qué proveedores o terceros se comparten.
- Cuánto tiempo se conservan.
- Qué sistemas, plataformas o herramientas participan en su tratamiento.
Este ejercicio debe ser práctico, no teórico. En una empresa, los datos pueden estar en el CRM, e-commerce, formularios web, sistemas de fidelización, campañas de email marketing, herramientas de analítica, planillas internas, call centers, bases históricas, contratos o sistemas de recursos humanos.
Para marketing y ventas, este punto es especialmente relevante. Muchas organizaciones acumulan bases de datos durante años sin suficiente trazabilidad sobre su origen, finalidad o los consentimientos asociados a ellas. El nuevo estándar obliga a revisar esas prácticas con mayor rigor: no basta con tener datos; hay que saber por qué se tienen, para qué se usan y bajo qué fundamento se tratan.
3. Revisar bases legales, consentimientos y finalidades
Una vez identificado el uso de datos, la empresa debe revisar qué fundamento habilita cada tratamiento. La nueva regulación incorpora y precisa bases de licitud como el consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal, el interés legítimo u otras bases aplicables según el caso.
En esta etapa, la organización debería:
- Revisar si cada tratamiento tiene una base legal que lo respalde.
- Verificar si las finalidades informadas son claras, específicas y legítimas.
- Evaluar si los datos recopilados son necesarios y proporcionales a las finalidades por la cuales serán tratados.
- Revisar formularios, landings, términos y condiciones, contratos y políticas de privacidad.
- Rediseñar mecanismos de consentimiento cuando corresponda.
- Asegurar que el consentimiento sea libre, informado, específico, previo e inequívoco.
- Implementar mecanismos simples para revocar autorizaciones.
- Documentar evidencia que permita demostrar cómo se obtuvo el consentimiento.
Durante años, muchas organizaciones han tratado los datos como un activo disponible para múltiples usos futuros. El nuevo estándar exige mayor claridad: los datos deben tratarse para fines específicos, informados y legítimos.
Para marketing y ventas, este cambio no debe entenderse como una amenaza, sino como una oportunidad. Bases más limpias, actualizadas y trazables permiten mejorar la relación con clientes, aumentar la confianza y trabajar con datos de mejor calidad.
4. Diseñar un modelo de cumplimiento y gestión de derechos
La ley introduce la posibilidad de implementar modelos de prevención de infracciones o programas de cumplimiento. Aunque su adopción puede depender del tipo de organización y de su nivel de riesgo, contar con un modelo robusto permite ordenar responsabilidades, protocolos, controles y evidencias.
Un modelo de cumplimiento debería considerar:
- Identificación de riesgos asociados al tratamiento de datos personales.
- Registro de actividades de tratamiento.
- Políticas internas de protección de datos.
- Protocolos de uso, acceso, conservación y eliminación de información.
- Mecanismos de respuesta ante solicitudes de titulares.
- Procesos para gestionar incidentes o brechas de seguridad.
- Revisión de contratos con proveedores.
- Capacitación continua de quienes tratan datos personales.
- Definición de roles internos, incluyendo la eventual designación de un delegado de protección de datos cuando corresponda.
También es clave preparar la gestión de los derechos de los titulares. Las personas podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo.
Para eso, la empresa debería habilitar:
- Canales simples, gratuitos y efectivos para recibir solicitudes.
- Responsables internos para gestionar cada requerimiento.
- Plazos y criterios claros de respuesta.
- Sistemas de registro y trazabilidad.
- Coordinación entre áreas comerciales, tecnología, legal y atención al cliente.
La pregunta práctica es: si mañana un cliente pregunta qué datos tiene la empresa sobre él, para qué los usa o solicita dejar de recibir comunicaciones, ¿la organización puede responder de forma ordenada, dentro de plazo y con trazabilidad?
5. Fortalecer seguridad, proveedores e incidentes
La protección de datos no termina en una política de privacidad. También exige revisar cómo se protege la información y qué terceros participan en su tratamiento.
Hoy muchas empresas operan con múltiples proveedores: agencias digitales, plataformas de email marketing, CRM, herramientas de analítica, servicios de nube, software de recursos humanos, call centers, empresas de cobranza, integradores tecnológicos y consultoras externas.
En esta etapa, la organización debería:
- Revisar contratos con sus proveedores que tratan datos personales.
- Identificar si existen transferencias internacionales.
- Verificar dónde se almacena la información.
- Evaluar sus medidas de seguridad técnicas y organizativas.
- Definir obligaciones de confidencialidad y uso limitado de datos.
- Regular subcontrataciones o accesos de terceros.
- Establecer mecanismos de eliminación o devolución de datos al terminar un servicio.
- Preparar protocolos de respuesta ante incidentes.
Frente a una filtración, pérdida de información, acceso indebido o envío erróneo de datos, la empresa debe saber quién activa el protocolo de respuesta, cómo se evalúa el nivel de riesgo, qué áreas participan, qué comunicaciones corresponde realizar, qué evidencia se documenta y qué acciones correctivas se implementarán.
Este punto no es solo tecnológico. Las áreas legal, tecnología, comunicaciones, marketing, recursos humanos y negocios deben coordinarse. Una crisis de datos mal gestionada puede generar consecuencias regulatorias y afectar la confianza de clientes, colaboradores y socios comerciales.
6. Capacitar, probar y ajustar antes de la entrada en vigencia
El último paso es transformar el cumplimiento en una práctica continua. La protección de datos no se resuelve con un documento guardado en una carpeta ni con una capacitación aislada. Debe instalarse como parte de la cultura organizacional.
Antes del 1 de diciembre de 2026, las empresas deberían:
- Capacitar a los equipos según su nivel de exposición a datos personales.
- Realizar simulacros de incidentes.
- Probar el funcionamiento de los canales de ejercicio de derechos.
- Revisar políticas internas y contratos.
- Ajustar formularios, comunicaciones y flujos digitales.
- Evaluar procesos críticos de marketing, ventas, recursos humanos y atención al cliente.
- Incorporar criterios de privacidad en nuevos proyectos, campañas y plataformas.
- Establecer mecanismos de seguimiento y mejora continua.
También será necesario incorporar el enfoque de privacidad desde el diseño y por defecto. Cada nuevo producto, campaña, plataforma, automatización o iniciativa basada en datos debería preguntarse desde el inicio: ¿qué datos usaremos?, ¿son realmente necesarios?, ¿tenemos una base de licitud que nos permita utilizarlos?, ¿la finalidad está clara?, ¿quién accederá a ellos?, ¿cómo se protegerán? y ¿cómo demostraremos que cumplimos?
En un contexto donde la inteligencia artificial, la personalización, la automatización y la analítica avanzada serán cada vez más relevantes, las empresas que trabajen bien sus datos tendrán una ventaja competitiva. Pero esa ventaja dependerá de la confianza.
