La ley entrará en vigencia a partir de 2026 e introducirá una Agencia de Protección de Datos Personales que velará por los derechos de los usuarios.

2024 cerró con una buena noticia para los usuarios chilenos: el pasado 13 de diciembre, el gobierno de Gabriel Boric oficializó la Ley 21.719 sobre la Protección de Datos Personales. Se trata de una normativa que establece nuevas reglas para el tratamiento de datos en Chile. Quizás su medida más destacada es la creación de la Agencia de Protección de Datos Personales, un organismo autónomo encargado de velar por el resguardo de los datos y derechos de sus titulares. 

Bajo la consigna que cada ciudadano o cuenta con datos personales requieren protección especial, la ley introduce ciertas categorías. Estas incluyen datos sensibles relativos a la salud y perfil biológico: datos biométricos; datos de personas de menores de edad; datos financieros, comerciales y vinculados a obligaciones económicas; datos de historial delictivo, entre otros. 

La flamante normativa toma como referencia el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y reemplaza el antiguo régimen establecido en la Ley Nº19.628 sobre la Protección de la Vida Privada. Partiendo de esta consigna, los usuarios acceden a una serie de derechos, que incluyen la supresión, solicitar la eliminación de sus datos; oposición, negarse al tratamiento de sus datos; o portabilidad, recibir una copia de sus datos en formato estructurado.

Aunque su aplicación no está pensada de la noche a la mañana: oficialmente, la ley comenzará a regir a partir del 1 de diciembre de 2026. Posteriormente, las empresas que no cumplan con las normas serán sancionadas con multas millonarias que pueden alcanzar las 20.000 UTM (US$ 1,39 millones aproximadamente), hecho que pondría en riesgo las operaciones empresariales. 

Para Raimundo Díaz, abogado de Auditeris, consultora de outsourcing de empresas, este retraso de la puesta en vigencia de la ley tiene una explicación.

“Este plazo de dos años sirve para que las empresas y organizaciones que tratan datos personales tomen acciones desde ahora. Porque al día siguiente que la ley se aplique, se van a exigir muchas cosas que van a ser fiscalizadas y son de larga data. Hablamos de cambiar medidas de seguridad, crear plataformas para que las personas puedan solicitar sus datos personales e implementar modelos de protección de infracciones”, declaró Díaz a AméricaEconomía.

El representante de Auditeris es consciente que algunas multinacionales podrían subestimar la multa de US$ 1,39 millones y podrían correr el riesgo de incumplir la nueva normativa. Sin embargo, la ley también incluye una sanción extraordinaria que suspende el uso de datos por hasta 30 días. Esto, en líneas generales, sería más perjudicial que una sanción económica. 

“Creo que la nueva ley busca un cambio cultural respecto de cómo se tratan y almacenan los datos. La agencia de protección de datos puede fiscalizar de forma constante, pero debe darse un cambio en la sociedad y eso incluye a los titulares de datos personales. Debemos saber el valor que tienen nuestros datos y que hoy en día, son super valiosos para las empresas. Entonces, debemos ejercer nuestro derecho en contra de las empresas en caso quieran bloquear, eliminar, modificar o entregar datos sin permiso”, añade Díaz. 

Bajo la antigua legislación, no queda claro a dónde deben acudir los chilenos para denunciar el mal uso de sus datos personales. La responsabilidad se dividía entre los tribunales ordinarios de justicia y el Servicio Nacional del Consumidor (SERNAC). Ahora, tras la introducción de la nueva ley, la Agencia de Protección de Datos será la receptora de todas las denuncias de los usuarios, aunque para casos extremos. 

“La primera facultad la tendrán los titulares, que se van a poder acercar a las empresas y exigir sus derechos. La ley le impone un plazo de 15 días al empleador para contestar el reclamo y subsanar el error. En caso contrario, la agencia intervendrá con la sanción correspondiente. Obviamente esto no impide que alguna de las partes pueda apelar en tribunales o incluso, la Corte Suprema”, afirma el vocero de Auditeris.  

El debate y aprobación de la Ley de Datos Personales se llevó a cabo en el marco de una oleada de ataques cibernéticos en Chile. Por ejemplo, un informe de Fortinet, la multinacional de servicios de ciberseguridad, afirma que el país austral fue víctima de 6.400 millones de intentos de ciberataques durante 2024. Julio y agosto fueron los meses con mayor actividad y sectores industriales como salud, manufactura, transporte y logística, los más afectados.

Muchos usuarios comunes tampoco se libraron de las artimañas de los hackers. En agosto, durante el Cyber Security Week 2024, organizado en Cartagena de Indias (Colombia), la desarrolladora de antivirus Kaspersky reveló que en los últimos meses se registraron 133.043 ataques a celulares y tabletas.

Esto representa un alarmante incremento del 213% en comparación con el mismo periodo entre 2022 y 2023. Cabe destacar que las principales amenazas incluyen aplicaciones que exhiben publicidad no deseada. Queda pendiente saber si el advenimiento de la nueva ley incitará a las empresas a adoptar posturas responsables en torno al manejo de los datos, que logre revertir estos informes negativos.