Columna de Macarena Gatica, presidenta del Consejo de Ética y Autorregulación AMDD, y socia de DLA Piper.
En relación con la protección de datos personales, el 2025 ha sido un año de concientización e implementación. Recordemos que el 13 de diciembre 2024 se publicó la Ley 21.719 sobre protección de datos, modificando la obsoleta Ley 19.628 y comenzando el período de vacancia legal hasta su entrada en vigencia el 1 de diciembre 2026.
Existe consenso de que uno de los elementos claves para lograr el cumplimiento de la ley es la gestión del cambio. Las empresas pueden crear robustos marcos legales, sin embargo, si las personas no logran identificar los riesgos y entender las consecuencias del incumplimiento, es prácticamente imposible garantizar una implementación idónea y exitosa.
El Consejo de Ética y Autorregulación de la AMDD asumió el desafío de trabajar en pro de la concientización y de la gestión del cambio, proveyendo el Curso de Protección de Datos, una instancia online, asincrónica, destinada a capacitar gratuitamente a todos los trabajadores de las empresas asociadas, y que también está disponible para el público general con un costo asociado.
En línea con la educación, se organizó un conversatorio con delegados de protección de datos de tres empresas socias: Matias Valencia de Sodimac, Roberto Tejos de Banco de Chile, y José Jasinski de Inchcape.
Junto a ellos, analizamos los desafíos y las dificultades del proceso de implementación, como también los escollos detectados de cara a la entrada en vigencia de la ley y las fiscalizaciones por parte de la Agencia de Protección de Datos.
Respecto de la implementación de la ley, el gobierno creó una comisión que ha emitido informes en que se abordan temas como el presupuesto de la Agencia, el eventual adelantamiento de la constitución de la Agencia y transferencias internacionales de datos, entre otros.
Asimismo, con el objeto de recabar comentarios/recomendaciones de la sociedad se abrió un proceso de consulta, de manera de generar un insumo que pudiera facilitar la instalación y puesta en marcha de la Agencia.
Cabe señalar que dichos informes no son vinculantes para el órgano de control, pero pueden ser de gran ayuda para interpretar tempranamente la norma, facilitando el cumplimiento legal y entregando certeza jurídica.
Con la cuenta regresiva para la entrada en vigencia de la nueva regulación, hay organizaciones que, a pesar de conocer las implicancias de la implementación y del incumplimiento legal, han debido aplazar el levantamiento de procesos y determinación de brechas, debido a la priorización de proyectos y de la implementación de otras regulaciones, como la Ley Marco de Ciberseguridad, Prevención de Delitos y regulaciones laborales.
La carga regulatoria ha afectado a las organizaciones, sumiéndose en un abismo regulatorio que deben gestionar, definiendo estructuras y cambios en los modelos de negocios que llegaron para quedarse.
Para aquellos que aún no inician los trabajos de implementación, les proveemos una guía que, junto con el curso online, serán los cimientos de la estructura necesaria para adoptar los estándares de la Ley 21.719.
- Levantamiento de procesos
Identifica todos los procesos que tratan datos en la empresa, detallando la calidad del titular, datos tratados, la finalidad del tratamiento, sistemas utilizados, bases de licitud, existencia de proveedores y de transferencia interna. Este levantamiento permitirá:
- Determinar las brechas y el plan de acción para enmendarlas.
- Registro de tratamiento de datos
- Determinar los cambios que la ley impone para el negocio.
- Redacta políticas de privacidad y cláusulas de consentimiento
Recuerda que, tratándose del consentimiento, este debe ser libre, de manera que el titular de datos no se vea expuesto a consentimientos obligatorios, generalmente presentes en las ventas atadas.
- Regulariza el tratamiento de datos de trabajadores.
- Proveedores
- Redacta e implementa un acuerdo de tratamiento de datos, dando así cumplimiento al artículo 15 bis de la Ley 21.719, que establece el contenido mínimo de dicho acuerdo.
- Determina un proceso que permita evidenciar la idoneidad del proveedor.
- Modelo de prevención
Diseña e implementa una estructura que permita gestionar el riesgo asociado a la protección de datos y generar la evidencia para acreditar dicha gestión (matriz de riesgo, evaluaciones de riesgo, evaluaciones de interés legítimo, política de caducidad, entre otras).
En el año que resta para la entrada en vigencia de la Ley, debemos ser capaces de educar a las partes interesadas. Si nuestro objetivo de este año fue gatear, en el próximo debemos llegar a ser capaces de caminar y terminar corriendo, teniendo la capacidad necesaria para identificar y gestionar los riesgos.
