Enero 2026. En el período previo a la entrada en vigencia obligatoria de la nueva Ley de Protección de Datos Personales, fijada para diciembre, las empresas en Chile enfrentan un proceso de preparación marcado por la necesidad de anticiparse y ordenar sus capacidades internas. Para Paulina Silva, socia de Bitlaw, este escenario no debiera entenderse como un punto de partida desde cero, sino como la consolidación de un trabajo que muchas organizaciones comenzaron hace tiempo.
“La ley estuvo cerca de siete años en discusión en el Congreso, por lo que las reglas generales ya se conocían con anticipación”, explica Silva. En ese contexto, señala que especialmente las empresas grandes y multinacionales iniciaron su preparación con mayor antelación, en muchos casos impulsadas por la experiencia previa con regulaciones como el GDPR europeo o normativas estadounidenses en materia de privacidad.
Uno de los principales aprendizajes de este período ha sido comprender que el cumplimiento de la ley no es únicamente un desafío jurídico. “Las obligaciones legales sólo pueden cumplirse si existen capacidades técnicas que las sostengan”, afirma. Ejemplos como la atención de los derechos ARCO evidencian esta realidad: contar con protocolos legales es insuficiente si la organización no tiene sus datos correctamente inventariados, trazables y gestionados desde un punto de vista técnico.
En esa línea, Silva subraya que la implementación de la ley exige un trabajo transversal al interior de las organizaciones. “No basta con que el equipo legal defina controles jurídicos si estos no conversan con los sistemas y procesos que implementan los equipos técnicos”, señala. La falta de coordinación entre áreas como legal, tecnología, recursos humanos y seguridad de la información es, a su juicio, uno de los principales riesgos para una implementación efectiva.
Respecto del escenario futuro, la abogada pone énfasis en el rol que jugará la futura Agencia de Protección de Datos Personales. Si bien la ley establece un marco amplio de obligaciones, será la autoridad la que defina, a través de sus criterios de fiscalización, dónde pondrá el foco. “Es esperable que, en una primera etapa, la atención se concentre en sectores con mayor exposición a datos personales de clientes finales, como banca, telecomunicaciones, retail y plataformas tecnológicas”, indica, en línea con lo observado en experiencias internacionales.
De cara a los próximos meses, Silva advierte que el principal desafío para las empresas será abordar la protección de datos como un proceso estratégico y continuo, más que como un ejercicio meramente formal. “La ley adopta un enfoque basado en principios y orientado a riesgos, pues exige el cumplimiento de finalidades regulatorias (la protección efectiva de derechos) sin imponer un catálogo cerrado de cómo cumplir”, concluye. El período previo a diciembre, enfatiza, representa una oportunidad clave para ordenar procesos, alinear equipos y sentar las bases de un cumplimiento sostenible en el tiempo.