La nueva normativa ya tiene fecha: ¿está tu empresa preparada?

A partir del 1 de diciembre de este año, comenzará a regir en Chile la Ley 21.719 sobre Protección
de Datos Personales, una normativa que moderniza completamente el régimen de tratamiento de
datos en el país y establece obligaciones mucho más estrictas para las empresas y organizaciones
que recolectan o utilizan información personal.

Esta nueva regulación introduce estándares más exigentes en materia de privacidad, transparencia
y responsabilidad en el uso de datos. Además, incorpora facultades fiscalizadoras y sancionatorias
para la autoridad competente (la nueva Agencia de Protección de Datos), lo que significa que el
incumplimiento puede traducirse en multas significativas que pueden alcanzar hasta las 20.000
UTM o el equivalente al 4% de las ventas anuales de la empresa.

Por esta razón, todas las organizaciones que manejen datos personales, sin importar su tamaño o
rubro, sean estas públicas o privadas, deberán adecuar sus procesos y documentos antes de la
entrada en vigencia de la ley.

Sin embargo, existe un punto clave que muchas empresas desconocen: adaptarse a la ley no
necesariamente implica implementar complejos modelos de cumplimiento o matrices de riesgo
sofisticadas.

Cumplir con la ley no requiere un modelo de cumplimiento complejo.

Ante la entrada en vigor de la nueva ley de Protección de Datos Personales, ley N° 21.719, algunas
empresas creen que deben implementar sistemas complejos de compliance, con certificaciones
formales o grandes estructuras internas.

En la práctica, la ley exige que las organizaciones adopten medidas concretas para gestionar
correctamente los datos personales, pero no obliga a desarrollar modelos de prevención
altamente sofisticados para comenzar a cumplir.

Lo esencial es contar con una base mínima de cumplimiento, es decir, un conjunto de medidas
organizacionales y documentales que permitan:

• Gestionar adecuadamente los datos personales de usuarios, clientes, trabajadores, proveedores, entre otros.
• Informar correctamente a los titulares.
• Obtener consentimientos válidos.
• Proteger la información recopilada.
• Establecer responsables dentro de la organización.

En otras palabras, el cumplimiento puede construirse a partir de acciones simples, claras y
ejecutables, que luego pueden perfeccionarse con el tiempo.

Medidas básicas que toda empresa debería implementar.

Para ajustarse a la nueva ley, las empresas pueden comenzar con un conjunto de medidas
fundamentales, que constituyen la base de una correcta gestión de datos personales.

1. Política de Protección de Datos Personales.

Toda organización debería contar con una política interna de protección de datos, que establezca:

• qué datos se recopilan
• para qué se utilizan
• quién es responsable de su gestión
• cómo se resguardan

Este documento permite ordenar internamente el tratamiento de la información y demostrar
cumplimiento frente a eventuales fiscalizaciones.

2. Política de tratamiento de datos en el sitio web.

Las empresas que operan con páginas web deben incorporar una política de privacidad visible, que
informe a los usuarios:

• qué datos se recopilan
• con qué finalidad
• cómo pueden ejercer sus derechos
• quién es el responsable del tratamiento

Este documento es uno de los elementos más observados en auditorías y revisiones regulatorias.

3. Implementación de mecanismos de consentimiento (checkbox)

Cuando los datos se recolectan a través de formularios web, suscripciones, registros o contacto
comercial, es necesario incorporar mecanismos claros de consentimiento, por ejemplo:

• checkbox de aceptación de política de privacidad
• consentimiento para envío de comunicaciones
• autorización para tratamiento de datos
• Control sobre plataformas de gestión de datos como CRM

Esto permite demostrar que el titular entregó voluntariamente sus datos y poder así acreditarlo
ante algún proceso de fiscalización que pueda realizar la nueva Agencia de Protección de Datos.

4. Contratos o términos y condiciones adecuados

Las empresas deben revisar sus contratos de prestación de servicios, formularios de registro y
términos y condiciones, asegurando que incluyan cláusulas relativas al tratamiento de datos
personales.

Esto es especialmente relevante cuando:

• se recopilan datos de clientes
• se gestionan plataformas digitales
• se utilizan proveedores que procesan datos como CRM o plataformas digitales.

5. Identificación y gestión de los datos que maneja la empresa

Un paso clave es identificar qué datos personales maneja la organización, por ejemplo:

• datos de clientes
• datos de trabajadores
• datos de proveedores
• información recopilada en el sitio web

Esta identificación permite definir cómo se almacenan, quién accede a ellos y por cuánto tiempo
se conservan.

6. Capacitación básica del equipo

Muchas infracciones en materia de datos personales ocurren por desconocimiento del personal.
Por ello, es recomendable realizar capacitaciones breves para los equipos, donde se expliquen:

• buenas prácticas en el manejo de datos
• uso adecuado de información personal
• obligaciones legales básicas

Esto reduce significativamente el riesgo de incumplimientos. Adicionalmente, se puede incorporar
dentro de los contratos de trabajo, así como del Reglamento Interno de Orden, Higiene y
Seguridad aspecto de cumplimiento normativo tendientes a ajustar la normativa de protección de
datos al desarrollo diario de los trabajadores de la empresa.

7. Designación de un responsable de protección de datos (DPO)

Aunque no todas las empresas estarán obligadas a contar con un Data Protection Officer (DPO)
formal, es altamente recomendable designar a una persona responsable del cumplimiento en
materia de datos.

Esta figura puede encargarse de:

• supervisar el tratamiento de datos
• responder solicitudes de titulares
• coordinar políticas internas
• gestionar eventuales incidentes

8. Procedimientos básicos para solicitudes de titulares y canal de gestión de datos

La nueva normativa reconoce derechos para las personas respecto de sus datos personales
(acceso, rectificación, eliminación, entre otros).
Por ello, las empresas deberían contar con un procedimiento simple para recibir y responder
solicitudes de titulares.

Adaptarse a la ley es más simple de lo que parece.

La entrada en vigor de la Ley 21.719 representa un cambio importante en la regulación de datos
personales en Chile. Sin embargo, cumplir con la normativa no necesariamente requiere
implementar estructuras complejas ni modelos avanzados de compliance desde el primer día.
Muchas empresas pueden comenzar implementando medidas básicas y ordenando sus procesos,
lo que les permitirá operar conforme a la ley y reducir riesgos regulatorios.

Legalfit: planes simples para cumplir con la nueva ley de protección de datos

En Legalfit ayudamos a empresas de distintos rubros a adaptarse a la nueva Ley de Protección de
Datos de forma práctica y eficiente.

Nuestros planes están diseñados para que las organizaciones puedan:

• implementar las políticas y documentos exigidos por la ley
• ajustar sus sitios web y procesos de recolección de datos
• capacitar a sus equipos
• establecer responsables internos
• organizar la gestión de datos personales

Todo esto sin necesidad de implementar modelos de prevención complejos o costosos.

Nuestro objetivo es ser un aliado estratégico para que las empresas cumplan con la normativa de
forma clara, ordenada y sostenible.

Si tu empresa necesita prepararse para la entrada en vigencia de la ley, Legalfit puede
acompañarte en todo el proceso de adaptación. Contáctanos para asesorarte completamente
gratis.