Aspectos clave de la Ley de protección de datos en Chile

Este viernes 13 de diciembre de 2024 fue publicada la nueva ley de datos personales, o ley número 21.719 que regula la protección y el tratamiento de los datos personales en Chile. Este marco legal exige a empresas y profesionales de TI revisar y mejorar sus procesos y sistemas para manejar los datos personales de manera más segura. Aunque la ley no entrará en plena vigencia hasta diciembre de 2026, es fundamental no pasar por alto esta nueva obligación: es momento de actuar.

La necesidad de esta ley en la región es evidente, dado el crecimiento económico y el déficit de seguridad tecnológica que afrontan varios países en latinoamérica y Chile no es la excepción. En un contexto donde las filtraciones de datos y los ciberataques se han vuelto frecuentes, el cumplimiento de estándares más altos de seguridad no es solo una obligación legal, sino también un factor clave para la competitividad empresarial.

¿Qué implica la ley de protección de datos?

Esta nueva normativa impacta tanto a organizaciones, que deberán revisar y fortalecer sus procesos de protección de datos, como a la ciudadanía, que dispondrá de derechos más robustos para exigir un uso responsable de su información personal. Al elevar los estándares de confidencialidad y seguridad se redefine cómo las empresas recopilan, procesan y guardan datos en varios ámbitos.

• Principios fundamentales
• La nueva legislación establece principios clave para el tratamiento de datos personales: licitud y lealtad, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia e información, y confidencialidad. Estos principios aseguran que el tratamiento sea legítimo, necesario, seguro, transparente, y que los datos sean precisos, usados solo para fines específicos, y protegidos con medidas adecuadas.
• Estos pilares establecen directrices claras para manejar datos con transparencia y seguridad, prohibiendo recolección excesiva y su uso engañoso.
• Nueva figura
• La agencia de protección de datos personales, que fiscaliza y sanciona, es el ente clave para el cumplimiento. Dentro de cada empresa será el delegado de protección de datos (DPO) quién supervisará los procesos y asesora en la correcta aplicación de la ley, es el enlace entre la organización y la agencia.
• Obligaciones claves
• Las organizaciones deben documentar sus prácticas, aplicar políticas de protección de datos y asegurarse de que sus equipos comprendan la relevancia de estos controles. Además, deberán notificar a la agencia de inmediato cualquier incidente que ponga en riesgo la información de sus usuarios y demostrar el origen legítimo de los datos recopilados.
• Derecho de los usuarios (ARCO)
• Arco son las siglas de los derechos: de Acceso, Rectificación, Cancelación y Oposición sobre sus propios datos. Así las personas tendrán más control sobre su información. De esta forma podrán ver cómo se usa, corregir errores, pedir borrados y negarse a tratamientos no autorizados. Al ejercer estos derechos los titulares tendrán la tranquilidad de que sus datos no se usarán mal.
• Implicaciones de la ley con respecto a los menores de edad
• Al proteger la información de niños y adolescentes el consentimiento dado por menores de edad no tiene valor, siempre se debe pedir consentimiento válido y verificable de padres o tutores. Se implementan controles adicionales para evitar la recopilación de datos sensibles y cualquier uso de esta información debe ser en beneficio del menor, sin fines comerciales o prácticas abusivas.
• Implicaciones de la ley en el sector salud
• El tratamiento de datos médicos tiene un nivel adicional de cuidado ya que implica información muy sensible. Las instituciones deben implementar medidas más estrictas como cifrado y protocolos de acceso limitado y tener consentimiento expreso de los titulares. Solo en casos de emergencia o interés público se podrá exceptuar este requisito estricto.

Sanciones y riesgos para las empresas

La nueva normativa no solo contempla multas considerables, sino que también puede poner en jaque la reputación de quienes manejen datos personales de forma descuidada. Cumplir con este marco legal no es solo un tema de dinero: una brecha de seguridad puede generar desconfianza y afectar la credibilidad de una organización. Un incidente, aunque parezca menor, puede transformarse en multas onerosas y en un daño de imagen difícil de revertir.

• Riesgos: Como ya mencionamos, las consecuencias van más allá de las multas, abarcando pérdida de clientes, cuestionamientos en redes sociales y posibles demandas. Mantener una buena reputación se convierte en un desafío si no se implementan medidas sólidas para proteger la información.
• Niveles de infracción: Ahora, si vamos al marco legal, dentro de la nueva ley hay infracciones leves, graves y gravísimas con sanciones máximas de 5.000, 10.000 y 20.000 UTM respectivamente. Además si la infracción grave o gravísima se repite y la entidad no clasifica como pequeña, la multa podría llegar al 2% o 4% de sus ingresos anuales por ventas y servicios en Chile.
• Ejemplos de infracciones leves, graves y gravísimas
  • Infracciones leves: Corresponden a errores que no cumplen totalmente las normas de gestión y protección de la información. Un ejemplo sería no informar a tiempo sobre cambios relevantes en el uso de datos o incumplir requisitos mínimos de transparencia. Aunque no necesariamente generan un daño masivo, sí evidencian descuidos que pueden afectar la confianza del titular.
  • Infracciones graves: Implica un perjuicio relevante para la privacidad de las personas, pone en riesgo la confidencialidad y la legitimidad del uso de datos. Entre ellas están la recolección o tratamiento de información sin consentimiento, divulgación no autorizada de datos sensibles y negar a los titulares el ejercicio de sus derechos de acceso, rectificación o eliminación de datos.
  • Infracciones gravísimas: Son transgresiones con un propósito malicioso o conciencia plena de su gravedad. Esto incluye usar datos personales de manera fraudulenta, divulgar información distorsionada sobre un titular, violar deliberadamente el secreto de datos sensibles o llevar a cabo transferencias internacionales con pleno conocimiento de su ilegalidad. Además, la omisión intencional de reportar brechas de seguridad y la desobediencia a resoluciones de la Agencia también se contemplan en este grupo.

Estrategias de cumplimiento: Nuevo estándar de seguridad

Para alinearse con la nueva normativa, las organizaciones necesitan ir más allá de las medidas básicas de resguardo. La clave es un enfoque preventivo que permita anticiparse a brechas, proteger la infraestructura y reaccionar de forma coordinada si sucede algo imprevisto. De esta manera, se fortalece la confianza de los usuarios y se evitan daños financieros y de reputación.

Controles técnicos de medidas de seguridad (encriptación, wipe, restauración, back up)

Incluir cifrado soluciona problemas de privacidad al codificar la información, mientras que el borrado remoto (wipe) es útil en caso de equipos extraviados o robados. Contar con planes de restauración garantiza la disponibilidad de los datos, y las copias de seguridad regulares permiten recuperar información ante incidentes como ataques informáticos o fallas de hardware.

Políticas de seguridad de la info

Las empresas deben delinear normas internas que guíen la gestión de datos y orienten a los equipos sobre las mejores prácticas de protección. Estas directrices deben abarcar desde el acceso restringido a la información hasta la clasificación de datos por nivel de criticidad, ajustándose a los requisitos regulatorios y a las características específicas de cada organización.

Respuesta ante incidente

Un procedimiento claro de reacción incluye asignar roles, definir comunicaciones internas y externas, y establecer planes de mitigación (conozca más sobre como definir un plan de respuesta ante incidentes). Esto facilita la toma de decisiones rápidas para minimizar el impacto y restaurar la operación con la menor interrupción posible. Ensayar estos planes permite que el equipo actúe con confianza y prontitud cuando ocurre un incidente real.

Notificación de incidentes

Informar a la Agencia y a los titulares involucrados con la suficiente rapidez es esencial para mantener la transparencia y brindar soporte adecuado a quienes pueden verse afectados. Esta práctica también envía una señal de responsabilidad y compromiso con la protección de datos, lo que contribuye a conservar la credibilidad y la buena relación con los clientes.

Beneficios de la implementación temprana

Adelantarse a las exigencias de la nueva normativa brinda un margen valioso para afinar procesos y capacitar equipos, sin esperar al último momento. Adoptar buenas prácticas de forma temprana evita contratiempos legales y posibles crisis de imagen.

Además, contar con sistemas robustos de protección no solo previene incidentes, sino que también facilita la adaptación progresiva a los requisitos de la ley cuando entren en vigencia.

Protección contra sanciones

Cumplir desde el inicio reduce la probabilidad de incurrir en pérdidas monetarias y en multas tempranas cuando la ley entre en vigencia. Al implementar políticas de seguridad y control, la empresa demuestra proactividad y responsabilidad ante la ley, asegurando que los procedimientos internos cumplan los estándares exigidos.

Aumento de la confianza del cliente

Mostrar un compromiso real con la protección de datos refuerza la cercanía con el usuario y genera una percepción positiva de la marca. Esta transparencia se vuelve un punto clave a la hora de retener y fidelizar clientes.

Reducción de brechas

Adoptar protocolos de seguridad y planes de contingencia de manera anticipada minimiza el riesgo de fugas de información. Además, facilita la identificación y resolución de posibles vulnerabilidades, evitando pérdidas financieras y daños de reputación.

Alineación con estándares globales (GDPR, ISO)

Ajustarse a criterios reconocidos internacionalmente no solo garantiza el cumplimiento local, sino que abre oportunidades de colaboración y negocios con mercados más exigentes. También muestra una imagen sólida de gobernanza y refuerza la competitividad de la empresa en el entorno digital. Por ejemplo, algunas empresas estadounidenses no hacen negocios con empresas que no tengan un certificado de seguridad SOC II.

Como Prey puede ayudar con el cumplimiento

Prey ofrece una solución integral para gestionar y proteger dispositivos de todo tipo, ayudando a las organizaciones a cumplir con la nueva normativa de datos sin complicaciones. Con un enfoque multiplataforma y herramientas que van desde el rastreo hasta la encriptación remota, se facilita la implementación de protocolos de seguridad sólidos. De esta forma, se reducen los riesgos de incidentes y se fortalece el control de la información.

Características de Prey que ayudan a cumplir con la nueva Ley

• Protección y seguimiento de dispositivos: Permite localizar, bloquear y recuperar equipos en caso de pérdida o robo, asegurando la continuidad operativa y la protección de datos.
• Remote Wipe y Factory Reset: Borra o restaura de forma remota la información sensible, evitando su acceso por personas no autorizadas.
• Gestión de préstamos y automatizaciones: Controla asignaciones temporales de equipos con alertas y bloqueos si no se devuelven a tiempo, manteniendo la visibilidad total sobre su estado.
• Cifrado de discos y Kill Switch (Windows): Eleva el nivel de protección con BitLocker y la capacidad de inutilizar equipos, previniendo accesos malintencionados a la información almacenada.

Da un paso adelante en la protección de datos en Chile y el mundo. Contáctanos y empieza ya tu free trial con el respaldo de Prey.

‍