Saltar al contenido principal
tisec.cl
Leyes

5 cosas que debes hacer antes de que entre en vigor la nueva Ley de Datos

La modificación a la Ley 19.628 de Protección de Datos Personales introduce cambios significativos para las empresas chilenas. Estas son las 5 acciones prioritarias para estar preparado.

Básico Equipo Tisec

El debate en Chile sobre protección de datos personales lleva años. La actual Ley 19.628 data de 1999 y muestra su edad: fue concebida antes de las redes sociales, los smartphones y el comercio electrónico masivo. La modificación en tramitación la pone al nivel del estándar moderno, inspirada en el GDPR europeo.

Si tu empresa maneja datos de clientes, empleados o proveedores en Chile —y prácticamente toda empresa lo hace— aquí están las 5 cosas concretas que debes hacer antes de que entre en vigor.

1. Haz un inventario de todos los datos personales que manejas

Suena básico, pero pocas PYMEs lo tienen documentado. El principio de minimización de datos de la nueva ley dice que solo puedes recopilar los datos que efectivamente necesitas para un fin específico.

Antes de que la ley entre en vigor, necesitas saber:

  • Qué datos tienes: nombre, RUT, correo, teléfono, datos bancarios, historial de compras, datos de salud (si aplica), etc.
  • Dónde están guardados: CRM, hojas de cálculo, correo electrónico, aplicaciones de terceros
  • Para qué los usas: ¿estás usando esos datos para lo que los recopilaste?
  • Quién tiene acceso: ¿solo las personas que necesitan verlos?
  • Por cuánto tiempo los guardas: ¿tienes datos de clientes de hace 10 años que ya no son tus clientes?

Este ejercicio se llama mapeo de datos o registro de actividades de tratamiento. La nueva ley lo exige explícitamente para ciertas categorías de responsables.

2. Revisa y actualiza tus formularios de consentimiento

La nueva ley eleva los estándares para el consentimiento: debe ser libre, específico, informado e inequívoco. Esto afecta directamente a:

  • Formularios de registro en tu sitio web o app
  • Formularios de contacto donde recopilas datos
  • Contratos con clientes donde incluyes cláusulas de uso de datos
  • Formularios de postulación de empleados

Qué cambiar en tus formularios

El consentimiento no puede ser una casilla pre-marcada. Debe ser una acción afirmativa del usuario. Tampoco puedes condicionar el servicio al consentimiento para usos de datos que no son necesarios para ese servicio.

Mal: “Al registrarte, aceptas que usemos tus datos para enviarte publicidad.”

Bien: ”[ ] Acepto recibir comunicaciones comerciales de [Empresa] (opcional — no afecta el registro).”

Además, debes poder demostrar que obtuviste ese consentimiento. Guarda los registros.

3. Prepara los mecanismos para ejercer derechos

La nueva ley amplía y refuerza los derechos de los titulares de datos:

DerechoQué significa
AccesoEl titular puede pedir ver todos sus datos que tienes
RectificaciónPuede corregir datos incorrectos
Supresión (“derecho al olvido”)Puede pedir que elimines sus datos
PortabilidadPuede pedir sus datos en formato transferible
OposiciónPuede oponerse a ciertos usos de sus datos

Necesitas tener un procedimiento claro para responder estas solicitudes. Los plazos serán de días hábiles (el detalle exacto depende del texto final de la ley).

Acción práctica: Crea una dirección de correo privacidad@tuempresa.cl o un formulario de contacto específico para solicitudes de datos. Documenta el procedimiento interno para responderlas.

4. Revisa tus contratos con proveedores que procesan datos de tus clientes

Si contratas servicios donde terceros procesan datos de tus clientes —plataformas de email marketing, CRM en la nube, servicios de pago, call centers— pasas a ser responsable del tratamiento y tu proveedor es el encargado del tratamiento.

La nueva ley exige que tengas contratos explícitos con estos proveedores que establezcan:

  • Qué datos procesan y para qué
  • Que solo usen los datos para tus instrucciones
  • Que apliquen medidas de seguridad adecuadas
  • Qué pasa con los datos al terminar el contrato

Revisa tus contratos actuales con proveedores de software y servicios. Muchos ya incluyen cláusulas de procesamiento de datos (especialmente los que atienden mercados europeos), pero verifica que apliquen a tus datos.

5. Nombra un Encargado de Protección de Datos (si aplica)

La nueva ley introduce la figura del Delegado o Encargado de Protección de Datos (DPO). Dependiendo del texto final, ciertas organizaciones deberán tener uno formalmente designado.

Los criterios para obligatoriedad típicamente incluyen:

  • Organizaciones que traten datos de forma masiva o sistemática
  • Organizaciones que traten datos sensibles (salud, biometría, origen étnico, etc.)
  • Organismos públicos

Para la mayoría de las PYMEs que no entran en estas categorías, designar un DPO sería voluntario pero recomendable. No tiene que ser un cargo a tiempo completo: puede ser alguien de tu equipo con responsabilidad específica en privacidad de datos.

Qué hace el DPO

  • Punto de contacto interno para preguntas sobre privacidad
  • Informa y asesora sobre obligaciones de protección de datos
  • Punto de contacto con la autoridad de control (la Agencia de Protección de Datos que creará la nueva ley)

¿Cuánto cuesta prepararse?

Una PYME con operación digital básica puede completar estos 5 pasos con recursos internos y algunas horas de trabajo bien invertidas. Los costos principales son:

  • Tiempo interno: 20-40 horas para el mapeo de datos y revisión de formularios
  • Asesoría legal: si tu operación es compleja, una revisión puntual con un abogado especializado (1-3 sesiones)
  • Herramientas: posiblemente actualizar tu CRM o formularios, costos variables

Lo que no puedes costear es una sanción por incumplimiento o la pérdida de confianza de tus clientes por una brecha que podría haberse prevenido.

Ley 19.628 protección de datos datos personales PYME cumplimiento
← Ver todos los artículos