Columna de Guillermo Carey, abogado y socio del Estudio Carey, speaker del AMDDay 2025.
La reciente aprobación de la nueva Ley de Protección de Datos Personales en Chile marca un hito en el marco legal que regula el tratamiento de información personal por parte de empresas y organizaciones.
Inspirada en estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, esta normativa actualiza un sistema legal que llevaba más de dos décadas sin cambios sustantivos.
La nueva ley no sólo establece principios más estrictos sobre cómo deben manejarse los datos, sino que crea una institucionalidad robusta que vigilará su cumplimiento. Este nuevo escenario representa un desafío significativo para el mundo empresarial, no sólo por los ajustes operacionales que exige, sino por la necesidad de un cambio cultural profundo en la forma en que se concibe el valor y la responsabilidad asociada a los datos personales.
Uno de los aspectos más relevantes de la ley es la creación de la Agencia de Protección de Datos Personales, una autoridad pública autónoma que contará con amplias atribuciones para fiscalizar y sancionar infracciones.
Esta autoridad tendrá la facultad de imponer multas considerables, que podrían llegar hasta las 20.000 UTM en casos graves. Las atribuciones también incluyen la realización de auditorías, la emisión de directrices técnicas y la exigencia de medidas correctivas.
El mensaje es claro: el tratamiento de datos personales deja de ser una cuestión accesoria para convertirse en un tema estratégico de cumplimiento normativo y reputacional.
Frente a este nuevo panorama, no basta con hacer ajustes técnicos o legales de última hora. La transición debe ser planificada, integral y proactiva. Las empresas deben iniciar desde ya una revisión exhaustiva de sus políticas de privacidad, mecanismos de consentimiento, contratos con proveedores, sistemas de seguridad de la información y protocolos ante eventuales brechas. Implementar medidas como la designación de un Delegado de Protección de Datos (DPO), la realización de evaluaciones de impacto y la incorporación del principio de “privacidad por diseño” ya no son buenas prácticas opcionales: serán exigencias normativas.
Pero más allá del cumplimiento formal, la verdadera dificultad radica en instaurar una nueva cultura organizacional en torno a los datos. Esto implica un cambio de mentalidad: pasar de ver los datos personales como un insumo más del negocio a reconocerlos como un bien jurídico protegido, cuya custodia genera deberes éticos y legales.
En este sentido, el cambio cultural exige la capacitación transversal del personal, la incorporación de la protección de datos en la toma de decisiones estratégicas y la consolidación de un enfoque preventivo y responsable.
El desafío es especialmente relevante para pequeñas y medianas empresas, que muchas veces carecen de los recursos técnicos o jurídicos para implementar estas transformaciones.
Sin embargo, postergar la transición o ignorar la ley no es una opción viable: las sanciones económicas, los riesgos reputacionales y la pérdida de confianza de los clientes pueden ser devastadores. Por ello, comenzar hoy es una inversión en el futuro.
La implementación de la nueva ley debe ser vista no como una carga, sino como una oportunidad. En una sociedad digital donde la confianza se vuelve un activo esencial, las empresas que se adapten tempranamente y con seriedad podrán diferenciarse positivamente.
Cumplir con la ley será, sin duda, obligatorio. Pero hacerlo con convicción, desde una cultura de respeto a la privacidad, será lo que verdaderamente marcará la diferencia.
