Columna del Consejo de Ética y Autorregulación de la AMDD, por Bernardita Briones, miembro del Consejo, y abogada y delegada de protección de datos de la empresas Enel Chile.
El 1 de diciembre de 2026 es una fecha muy comentada, pues hay mucho por hacer para llegar preparados ese día para cumplir con la Ley 21.719. Los desafíos son muchos, pero quisiera destacar algunos que me parecen especialmente importantes.
La ley representa un cambio de paradigma en la sociedad que aspira a lograr un justo equilibrio entre el desarrollo económico de las empresas y el respecto de los derechos de las personas.
Un primer desafío será la capacitación y concientización de los colaboradores. Todos los que en el desempeño de sus funciones traten datos personales deberán aprender, entre otras cosas, qué es un dato personal, qué es un tratamiento de datos, cuándo pueden compartirlos, con quién y para qué los pueden usar. Sin esto, no es posible garantizar su adecuado tratamiento al interior de las organizaciones.
Con esta preparación, se entrega una valiosa herramienta a nuestros colaboradores para que, cuando estén diseñando un nuevo proyecto, una nueva plataforma o un negocio, tengan conciencia de que es necesario evaluar los riesgos que esa nueva actividad puede suponer para los derechos de las personas.
A partir del análisis de los riesgos y de la posibilidad de que ocurran, toda nueva iniciativa supone tomar las medidas que sean necesarias y proporcionales para evitar una posible violación a la protección de los datos personales.
Lo importante es que, tanto el análisis de los riesgos como la adopción de medidas, se ejecuten desde antes de implementar la actividad. Es esencial asumir un rol preventivo y no reactivo en el tratamiento de los datos. Esto se conoce como privacidad desde el diseño.
Otro desafío importante que supondrá un cambio en el modo de hacer las cosas, es la necesidad de que el responsable de los datos, es decir, quien establece los fines del tratamiento de los mismos, no sólo cumpla con la ley, sino que además sea capaz de respaldar cada actividad de tratamiento que realice, que se puedan trazar las actividades y demostrar que ha cumplido con las exigencias legales. Esto se conoce como responsabilidad proactiva.
Por ejemplo, cuando se piden los consentimientos a los titulares de datos, habrá que custodiarlos para acreditar la licitud del tratamiento. O cuando se recibe una solicitud de ejercicio de un derecho por parte del titular, será necesario poder dar cuenta de las acciones realizadas para acceder o no a dicho derecho, según corresponda.
Para lograr todo esto, es indispensable que la colaboración y el esfuerzo con esta nueva realidad sea compartido y sostenido por todos quienes forman parte de la organización.
