Enero 2026. En el contexto del periodo de “marcha blanca” de la nueva Ley de Protección de Datos Personales, previo a su aplicación obligatoria en diciembre, las empresas han debido avanzar en un escenario marcado por la incertidumbre jurídica y la falta de lineamientos prácticos. Así lo señala Catherine Muñoz, CEO de Idónea Consultores, quien destaca que estos dos años han implicado mucho más que la adopción de políticas formales en las empresas: han exigido una transformación profunda de los procesos de negocio, con impactos estratégicos, operativos y presupuestarios.
“Las empresas no han tenido todas las herramientas para poder tomar buenas decisiones. Hay mucha incerteza jurídica, porque la ley tiene cláusulas abiertas, sujetas a múltiples interpretaciones, muchas veces contraintuitivas”, señala la abogada especialista en protección de datos, ciberseguridad e inteligencia. Por lo mismo, desde Idónea -que es miembro de la Alianza Chilena de Ciberseguridad- el foco ha estado en acompañar a las organizaciones mediante una metodología probada que permita ordenar el proceso y reducir la sensación de complejidad que genera la norma, añade.
Entre los principales aprendizajes del período, Muñoz enfatiza que el cumplimiento de la ley no puede abordarse únicamente desde lo jurídico. “Esto no se hace sólo con abogados. El cumplimiento es técnico, porque hay que llevar las obligaciones desde el papel a la operación”, explica. Se trata, además, de un desafío transversal: “No es un tema de TI ni solo de ciberseguridad; afecta a recursos humanos, marketing y, sobre todo, es un tema del directorio, porque está directamente vinculado con la debida diligencia y el deber fiduciario”.
En este contexto, Muñoz destaca el valor de espacios colaborativos como la Alianza Chilena de Ciberseguridad. “Es una instancia donde existe un interés genuino por compartir experiencias comunes, algo clave considerando los vacíos de la normativa y su interacción con la ciberseguridad y la inteligencia artificial”, afirma. A su juicio, este trabajo colaborativo ha permitido generar avances concretos, como el diálogo con autoridades y la construcción de posturas técnicas compartidas.
De cara a 2026, la CEO de Idónea identifica una urgencia clara: la correcta elaboración del Registro de Actividades de Tratamiento (RAT). “Esta es la base y el ancla de todo el programa de cumplimiento. Si no se levantan bien las actividades de tratamiento, el plan no calibra correctamente los riesgos y se termina trabajando a ciegas”, advierte. Solo a partir de un levantamiento riguroso de las actividades de tratamiento, concluye, es posible definir bases de licitud, niveles de riesgo, controles adecuados y un sistema de gestión que asegure el cumplimiento y la mejora continua.