Hasta ahora, solo el 1% de las empresas operaba bajo el marco de la Ley de Ciberseguridad. Pero a partir de hoy, el 100% —desde grandes bancos hasta pequeños e-commerce— está obligado a demostrar cumplimiento activo, trazable y documentado de cada tratamiento de datos personales, o enfrentar consecuencias que podrían ser devastadoras.
Las sanciones son de alto voltaje: multas de hasta 20.000 UTM o el 6% de las ventas anuales, además de la posibilidad de demandas colectivas, auditorías obligatorias, bloqueos regulatorios e irreparable pérdida de confianza por parte de clientes, socios y fondos de inversión. Un error de privacidad ahora puede costarle la existencia a una empresa.
La nueva Agencia de Protección de Datos Personales tendrá facultades de fiscalizar, ordenar auditorías, exigir correcciones, imputar infracciones y paralizar operaciones si se detectan vulneraciones graves. Es la primera vez que una institución estatal tendrá dientes reales para proteger los datos de los ciudadanos y exigir rendición de cuentas al sector privado.
“La protección de datos ya no es una sugerencia: es ley, es ética y es supervivencia corporativa”, advierte Adela Gómez, abogada UC y experta en compliance normativo, y CLO de Digital eXp (Chief Legal Officer). “Las empresas que no estén listas están literalmente jugando con fuego. Esta ley cambia las reglas del juego en todos los sectores: banca, salud, educación, retail, telecomunicaciones. No hay intocables”.
En este nuevo escenario de alta exigencia legal y tecnológica, empresas como Digital eXp están tomando la delantera. Han creado un Modelo de Prevención de Multas, además de diagnósticos, talleres y planes de gobernanza de datos enfocados en áreas críticas como Legal, TI y Marketing. Su objetivo: evitar que la próxima gran filtración de datos en Chile sea noticia… o sentencia de muerte para alguna empresa.
“No basta con tener antivirus o un buen proveedor cloud. Esto va mucho más allá”, señala Cristina Fritz, cofundadora y CXTO de Digital eXp. “La ley exige que el diseño de sistemas incorpore la privacidad desde el inicio. Es un rediseño cultural, legal y técnico. Las empresas deben repensar su arquitectura digital, sus flujos de datos, sus bases legales y su modelo ético de negocios”.
La Ley reconoce formalmente derechos como el acceso, la rectificación y la eliminación de datos personales. Las empresas deberán pedir consentimiento informado, explicar con claridad cómo usarán la información y adoptar medidas de seguridad obligatorias para prevenir filtraciones, accesos no autorizados o usos maliciosos. En otras palabras: el tiempo de esconder bases de datos en hojas de cálculo internas o de usar correos de clientes sin permiso… se acabó.
Este hito legal pone a Chile en la línea de los estándares europeos de protección de datos (como el GDPR), pero el desafío es mayúsculo: miles de empresas no están listas, muchas ni siquiera saben qué datos manejan o cómo los usan. Otras ni siquiera han formalizado su inicio de actividades ante el SII. Sin una cultura digital sólida, la implementación será desigual, conflictiva y —en muchos casos— costosa.
¿Qué viene ahora? Un terremoto normativo, donde las empresas tendrán que invertir, capacitarse y repensar su modelo de negocio si quieren seguir operando. O enfrentar el escarnio público, las sanciones millonarias y la extinción reputacional.
Porque en la era de la economía digital, la confianza no se gana con eslóganes: se gana protegiendo los datos de las personas. Y eso, desde hoy, es ley.