La modernización de la Ley 19.628 sobre Protección de la Vida Privada cambia el escenario para todas las empresas chilenas que tratan datos personales — y eso significa, en la práctica, casi cualquier empresa con un sitio web, un CRM, un sistema de RR.HH. o una base de clientes. La discusión dejó de ser jurídica para volverse técnica: hay que implementar cosas concretas en software.

Qué cambió en términos prácticos

La ley actualizada incorpora elementos que se venían exigiendo en jurisdicciones como la Unión Europea (GDPR) y que ahora son obligación local. Los puntos con mayor impacto en arquitectura de software son:

  • Consentimiento explícito y granular para cada finalidad de tratamiento
  • Derechos ARCO+ ampliados (acceso, rectificación, cancelación, oposición, portabilidad)
  • Designación de encargado de protección de datos en empresas con cierto volumen
  • Notificación obligatoria de brechas a la autoridad y a los afectados
  • Sanciones efectivas con multas que pueden afectar significativamente al negocio
  • Tratamiento automatizado sujeto a reglas específicas (relevante para IA y scoring)

Cada uno de estos puntos se traduce en cambios concretos en el software que tu empresa opera. No alcanza con un párrafo nuevo en los términos y condiciones.

Cambio técnico 1: Consentimiento granular y trazable

El consentimiento implícito ya no basta. Cada empresa debe poder demostrar cuándo, cómo y para qué un usuario aceptó el tratamiento de sus datos. Esto exige a nivel de software:

  • Banner de cookies con opciones reales (aceptar todo / rechazar todo / configurar) — no solo el botón “Aceptar”
  • Registro persistente de cada consentimiento con timestamp, IP, versión del texto aceptado y finalidad específica
  • API interna para consultar el estado de consentimiento de cualquier usuario en cualquier momento
  • Procedimiento para revocar consentimiento que se propague a todos los sistemas downstream

En la práctica, muchos sitios chilenos siguen mostrando un banner que solo dice “al continuar aceptas las cookies”. Eso ya no cumple. Implementar un sistema de consent management requiere desarrollo de software a medida o integrar una herramienta tipo CMP con configuración seria.

Cambio técnico 2: Derechos ARCO+ funcionales en producción

La ley exige que cualquier titular pueda ejercer sus derechos en plazos definidos. Esto significa que tu sistema debe poder, ante una solicitud:

  • Acceso: exportar todos los datos que tienes de un usuario en un formato legible
  • Rectificación: corregir datos incorrectos en todos los sistemas donde aparezcan
  • Cancelación: eliminar datos respetando obligaciones legales de retención
  • Oposición: detener tratamientos específicos sin afectar otros
  • Portabilidad: entregar los datos en un formato estructurado y reutilizable

Aquí aparece un problema técnico real: muchas empresas tienen los datos del cliente repartidos en 5 o 6 sistemas distintos (CRM, ERP, plataforma de mailing, base de soporte, data warehouse, backups). Cumplir con un “derecho al olvido” exige tener un mapa completo de dónde vive cada dato y un proceso automatizado o semiautomatizado para procesarlo.

Las empresas que llevan adelante esto con mantenimiento profesional de aplicaciones están construyendo paneles internos donde el equipo de cumplimiento puede ejecutar estas operaciones con trazabilidad completa.

Cambio técnico 3: Notificación de brechas en plazos cortos

La nueva ley impone notificar brechas de seguridad a la autoridad y, en casos graves, a los titulares afectados, en plazos del orden de 72 horas desde la detección. Esto exige:

  • Detección efectiva: monitoreo activo de logs, alertas ante accesos anómalos
  • Clasificación rápida: protocolo para evaluar la gravedad y los datos comprometidos
  • Comunicación preparada: plantillas y canales listos para activar
  • Trazabilidad de acceso a datos personales con logs detallados que permitan reconstruir qué se accedió, cuándo y desde dónde

A nivel de arquitectura esto se traduce en logs estructurados, sistemas de detección de anomalías y un plan de respuesta a incidentes documentado y probado. Las empresas que aún operan con logs básicos sin centralizar van a tener problemas serios para cumplir.

Cambio técnico 4: Decisiones automatizadas y perfilamiento

Este punto afecta directamente a empresas que usan IA para tomar decisiones que afectan a personas: scoring crediticio, contratación, fijación de precios, segmentación. La ley exige:

  • Informar al usuario que la decisión es automatizada
  • Explicar la lógica básica del proceso
  • Permitir intervención humana en la revisión
  • Mantener registro de cómo se entrenó el modelo y qué datos usa

Para empresas que ya integraron IA en sus procesos, esto significa volver al software a medida que opera esos modelos y agregar capas de auditoría y explicabilidad. No es opcional.

Cambio técnico 5: Cifrado y minimización de datos

El principio de minimización exige no recolectar más datos de los necesarios para una finalidad específica. Y los datos que se recolectan deben estar cifrados en reposo y en tránsito. Implicancias prácticas:

  • Revisar formularios y eliminar campos que se pedían “por si acaso”
  • Cifrar bases de datos productivas (al menos los campos sensibles)
  • HTTPS obligatorio en todo el flujo, sin excepciones
  • Tokenización de datos sensibles cuando se comparten con terceros (proveedores cloud, herramientas de analytics)
  • Revisar que los proveedores externos cumplan estándares equivalentes

Muchas empresas chilenas siguen guardando RUTs, direcciones, fechas de nacimiento y datos médicos en bases sin cifrado a nivel de columna. Eso es deuda técnica con multa potencial.

Cambio técnico 6: Retención y eliminación programada

La ley exige eliminar datos cuando se cumple la finalidad para la que fueron recolectados. Esto requiere:

  • Política de retención documentada por tipo de dato
  • Procesos automatizados de purga programada en bases de datos y backups
  • Verificación periódica de que la purga efectivamente ocurra
  • Excepciones documentadas para datos sujetos a retención legal (tributaria, contable)

En software a medida moderno esto se diseña desde el inicio. En sistemas legacy, implica auditoría completa de todas las tablas que contienen datos personales y construcción de jobs de purga con trazabilidad.

Cambio técnico 7: Transferencia internacional de datos

La nueva ley pone reglas claras para enviar datos personales fuera de Chile — algo que ocurre constantemente en arquitecturas modernas porque la mayoría de los proveedores cloud, herramientas de IA y SaaS empresariales operan desde fuera del país. Esto exige:

  • Identificar todos los flujos donde datos chilenos cruzan fronteras
  • Verificar que el país de destino tenga nivel de protección adecuado (o usar cláusulas tipo)
  • Documentar las transferencias en el registro de tratamiento
  • Informar al titular cuando corresponda

Para empresas que usan Azure, AWS, Google Cloud, OpenAI, Anthropic, herramientas de marketing en EE.UU. o sistemas de RR.HH. en Europa, esto significa hacer un mapa explícito de flujos transfronterizos. La mayoría de las empresas chilenas tiene este punto sin resolver.

Cambio técnico 8: Diseño desde la privacidad

El concepto de privacy by design deja de ser buena práctica recomendada y pasa a ser obligación. Esto significa que cualquier nuevo desarrollo debe incorporar la privacidad como requisito desde la fase de diseño, no como parche posterior.

Implicancias en el día a día:

  • Las historias de usuario deben incluir consideraciones de privacidad
  • Los nuevos formularios deben justificar cada campo solicitado
  • Los modelos de datos deben separar PII de datos no sensibles
  • Los logs deben minimizar la captura de datos personales
  • Los entornos de desarrollo y testing no deben usar datos reales sin anonimizar

En equipos que mantienen aplicaciones legacy con mantenimiento profesional, esto requiere revisar y refactorizar gradualmente. No se resuelve en una iteración.

Sectores con mayor exposición

Algunas industrias chilenas tienen exposición significativamente más alta a sanciones por la cantidad y sensibilidad de datos que tratan:

  • Salud privada: datos médicos son especialmente sensibles bajo la ley
  • Servicios financieros: datos económicos, scoring, hábitos de consumo
  • Educación: datos de menores requieren cuidado adicional
  • Recursos humanos y selección: datos laborales completos de muchos titulares
  • Marketing y publicidad digital: perfilamiento masivo
  • Telecomunicaciones: ubicación, hábitos de uso, comunicaciones

Las empresas en estos sectores que no estén priorizando esto deberían tratarlo con urgencia. Las multas posibles son significativas y el costo reputacional de un incidente público es difícil de cuantificar pero claramente alto.

El costo real de no actuar

Las sanciones contempladas son significativas y, más relevante aún, los procesos de fiscalización están adquiriendo capacidad real. Pero el costo mayor para una empresa no son las multas: es la pérdida de confianza de los clientes ante un incidente público mal manejado, la imposibilidad de cerrar negocios con clientes que exigen cumplimiento (especialmente del extranjero) y el costo de remediar bajo presión todo lo que no se hizo gradualmente.

Las empresas chilenas más serias están abordando esto como un proyecto plurianual: año 1 diagnóstico y consent management, año 2 ARCO+ funcional y minimización, año 3 madurez completa.

Pasos concretos que recomendamos

Si tu empresa todavía no ha empezado:

  1. Diagnóstico de tratamiento: identificar todos los sistemas que contienen datos personales y para qué se usan
  2. Mapa de flujos: documentar cómo entran, transitan y salen los datos
  3. Revisión de consentimientos: actualizar formularios, banners y términos
  4. Gobernanza: definir el rol de protección de datos y los procesos asociados
  5. Implementación técnica: priorizar consent management y ARCO+ como base
  6. Auditoría continua: medir trimestralmente

Cada uno de estos pasos exige software funcionando, no solo documentos. Por eso la conversación pasó de los abogados a los equipos de TI.

Conclusión

La modernización de la ley de protección de datos en Chile cambia las reglas del juego para cualquier empresa que opere con datos personales. El cumplimiento no se resuelve con un párrafo nuevo en la política de privacidad — exige cambios reales en arquitectura, procesos y software. Las empresas que actúen ahora con un plan ordenado van a llegar bien al horizonte de fiscalización efectiva. Las que esperen, van a remediar bajo presión y con costos mayores.

En Codelan ayudamos a empresas chilenas a implementar los componentes técnicos del cumplimiento — consent management, ARCO+, logs de acceso, cifrado y minimización — con software a medida integrado a sus sistemas existentes. Si tu empresa está evaluando dónde está parada frente a la nueva ley, conversemos. Te entregamos un diagnóstico gratuito con un mapa concreto de brechas técnicas.

#ley#protección datos#cumplimiento#chile