“La clave del cumplimiento de la nueva ley radica en la formación continua, la creación de políticas internas claras y la integración de buenas prácticas en la operación diaria de la empresa”, dicen los abogados Guillermo Carey y Francisca Castillo, socio y asociada del estudio Carey, respectivamente, uno de los más destacados de país y que apoya a la AMDD. Ambos cuentan los pros, contras y cuidados que las empresas deberán considerar a partir de su puesta en marcha en diciembre de 2026.
“Era una reforma extremadamente necesaria”, dice el abogado Guillermo Carey sobre la nueva Ley de Protección de Datos Personales en Chile. Contar con un marco legal moderno y robusto –asegura– es fundamental en un mundo donde la digitalización y el uso de datos son cada vez más relevantes.
Socio de uno de los estudios de abogados más tradicionales y grandes del país, que ha sido reconocido como mejor firma latinoamericana y chilena, Guillermo Carey ha desarrollado una destacada carrera en temas como propiedad intelectual, venture capital, private equity, tecnología y consumo, asesorando a grandes empresas y al gobierno de Chile.
A él se suma Francisca Castillo para responder a esta entrevista. Abogada asociada del estudio Carey, ha centrado su labor en propiedad intelectual e industrial, protección de datos personales, privacidad y comercio electrónico, entre otros.
Un desafío mayor
Ambos abogados destacan que la nueva norma se basa en el Reglamento Europeo de Protección de Datos (GDPR), el estándar internacional en la materia. “Adoptar un marco reconocido brinda mayor certeza y confianza. Esto no sólo facilita su implementación y comprensión, sino que también permite una mayor homologación con otros mercados, reduciendo barreras para empresas y actores tecnológicos que operan a nivel global”, comenta Guillermo Carey.
¿Qué tipos de empresas podrían verse más desafiadas por la ley?
Francisca Castillo (FC): Adaptarse a este nuevo marco normativo exigirá una transformación en la forma en que se conciben y gestionan los datos personales en todo su ciclo de vida, desde que se recolectan hasta que se toma la decisión de eliminarlos dentro de una empresa.
Con todo, el desafío será aún mayor para aquellas empresas cuya actividad dependa del tratamiento masivo de datos o que manejen grandes volúmenes de información.
Esto incluye, en particular, a sectores como el de la salud, que trabaja con datos sensibles; las redes sociales y plataformas digitales, que deben considerar además la protección de datos de menores de edad; y el retail y otras industrias de consumo masivo, donde la recopilación y análisis de datos juegan un papel clave.
¿Qué tipo de situaciones podrían ser las más recurrentes?
Guillermo Carey (GC): A nivel estructural, los cambios más recurrentes que veremos con la implementación de la nueva ley estarán relacionados con tres aspectos claves dentro de las organizaciones: la revisión de las bases de licitud en las que se fundamentan el tratamiento de datos, la organización y depuración de sus bases de datos actuales, y la adaptación de los comportamientos y procesos internos a todos los niveles para alinearse con la nueva normativa.
Desde la perspectiva de los usuarios, cuando la ley entre en vigencia y la Agencia de Protección de Datos Personales comience a operar, es probable que las situaciones más recurrentes tengan que ver con infracciones que, aunque puedan parecer menores, han estado muy internalizadas en las prácticas empresariales desde siempre y hasta el día de hoy.
Entre ellas, el envío masivo de publicidad sin el consentimiento explícito de los titulares y los contactos telefónicos no deseados serán, sin duda, algunos de los temas que más denuncias y sanciones generen en esta primera etapa de aplicación de la normativa.
¿Son adecuadas las multas?
GC: Si bien es fundamental que la nueva ley contemple sanciones para garantizar su cumplimiento, creemos que las multas establecidas podrían resultar excesivas, considerando la realidad chilena.
Cuando el GDPR entró en vigor en Europa, lo hizo en un ecosistema tecnológico y económico muy distinto y mucho más avanzado que el de Chile, con empresas más consolidadas y mayor madurez en materia de protección de datos.
En nuestro país existen muchas pymes y startups de base tecnológica y digital, que pueden verse fuertemente afectadas por sanciones desproporcionadas, especialmente en una etapa de adaptación que implica no sólo cambios normativos, sino también un profundo cambio cultural y conductual.
Nadie quiere infringir la ley, pero la experiencia comparada indica que la implementación de estos principios en los procesos internos de las organizaciones toma bastante tiempo. Por lo mismo, sería recomendable que la aplicación de multas se haga con criterio, diferenciando entre infracciones graves y errores derivados de la transición a este nuevo marco normativo, priorizando un enfoque educativo y correctivo en los primeros años.
Proceso de adaptación
En Carey, dice Francisca Castillo, estiman que el período de adaptación de dos años establecido en la nueva ley, “no es suficiente para una implementación efectiva y ordenada”, dada la realidad de Chile, “con un marco normativo anterior desactualizado y una cultura organizacional que aún debe adaptarse a este nuevo paradigma”.
¿Qué les recomendarían a las empresas durante este período?
FC: El desafío es “ordenar la casa” desde cero: hay que generar un cambio profundo en la forma en que se gestionan los datos personales, lo que involucra tecnología, procesos y, sobre todo, educación dentro de las organizaciones.
Este proceso requiere planificación y tiempo. Si las empresas esperan hasta el último momento para hacer estos cambios, el riesgo de incumplimiento será alto y la implementación apresurada podría generar problemas operativos, jurídicos y económicos.
Por ello, nuestra recomendación es comenzar desde ya con el proceso de adaptación. Lo primero es realizar un diagnóstico del nivel de cumplimiento, identificando brechas y riesgos. Luego, se deben implementar medidas correctivas priorizando los asuntos más urgentes y críticos, como la base legal de los tratamientos de datos, los procedimientos de obtención de consentimiento y la seguridad de la información.
¿Qué cambios internos son necesarios en este proceso?
FC: Es necesario que todos los niveles de la organización, desde la alta gerencia hasta los trabajadores de base, adopten una nueva conciencia sobre la importancia de la privacidad y la protección de los datos personales.
Esto implica educar y sensibilizar a los equipos sobre el valor de los datos, su correcto tratamiento y los riesgos asociados a su mal manejo. También requiere establecer una cultura de cumplimiento y responsabilidad, en la que cada colaborador entienda su rol en la protección de la información y actúe en consecuencia.
La clave del cumplimiento de la nueva ley radica en la formación continua, la creación de políticas internas claras y la integración de buenas prácticas en la operación diaria de la empresa.
¿De qué manera su cumplimiento les abre a las empresas nuevas opciones de mercado?
GC: El cumplimiento de la Ley implica una oportunidad estratégica para elevar el estándar de las empresas chilenas y facilitar su inserción en el mercado tecnológico global.
En un contexto donde la protección de datos es un aspecto clave para la competitividad, contar con regulaciones alineadas con estándares internacionales –como el GDPR europeo– permitirá a las empresas nacionales competir de mejor manera con actores extranjeros, especialmente con compañías europeas, que históricamente han puesto un fuerte énfasis en estos temas.
Además, el cumplimiento de esta normativa generará mayor confianza y transparencia, factores fundamentales para atraer inversión extranjera y fomentar el desarrollo de nuevos negocios en el país. Los inversionistas y socios internacionales priorizan entornos regulatorios sólidos y predecibles, donde la gestión de datos personales se haga de manera segura y conforme a las mejores prácticas.
¿Qué aspectos de la ley serían mejorables?
GC: La nueva ley está bien redactada a nivel basal, ya que se inspira mayoritariamente en el GDPR, lo que garantiza un marco robusto y alineado con estándares internacionales.
No obstante, consideramos que los espacios para mejoras se verán en las regulaciones sectoriales que emitirán la Agencia y otras autoridades reguladoras. Estas normativas serán cruciales para traducir los principios generales de la ley en medidas prácticas y aplicables.
Es fundamental que, en este proceso, la Agencia actúe de manera prudente y razonable. Debe ser consciente de la necesidad de proteger los derechos de los titulares de los datos, pero también es vital que el sistema funcione de manera armónica, sin que la regulación obstaculice la innovación ni la competitividad.
El desafío estará en encontrar un equilibrio entre salvaguardar la privacidad y permitir que las empresas e instituciones puedan seguir desarrollándose en un entorno digital que evoluciona.
¿De qué manera se puede mantener actualizada esta legislación en un entorno cambiante?
GC y FC: Creemos que la manera más pertinente de mantener actualizada la legislación es orientarse hacia un estándar de soft law, que busque establecer orientaciones generales que permitan a las partes involucradas adaptarse a cambios rápidamente sin la necesidad de revisar o crear constantemente nuevas leyes.
Las tecnologías requieren una regulación basada en principios generales, dejando los aspectos más específicos y técnicos para ser abordados por la autoridad competente o, en su caso, por los tribunales.
Este enfoque es clave para garantizar que la legislación se mantenga relevante y eficaz a lo largo del tiempo, dado que promueve la autorregulación y la cooperación entre las partes involucradas.
