En diciembre de este año entra en vigencia la nueva Ley de Protección de Datos Personales y el tiempo para que las compañías se preparen se hace cada vez más corto. No se trata solo de un ajuste legal, sino de un cambio profundo en la forma en que las organizaciones entienden, gestionan y protegen la información. En este contexto, hay cuatro dominios clave que toda empresa —sin importar su tamaño— debe abordar.
El primero es la gobernanza. Esto implica definir políticas, procedimientos y, sobre todo, responsabilidades claras. La ley introduce la figura del encargado de protección de datos personales, conocido como DPO, que no es solo un rol formal, sino un articulador interno entre áreas legales, tecnológicas y de negocio. En la práctica, esto significa dejar de tratar los datos como un tema aislado y gestionarlos de forma transversal, con reglas claras sobre quién accede, cómo se usan y qué controles existen.
El segundo dominio es el modelo operacional. Aquí el cambio es aún más profundo: las empresas deben revisar cómo están tratando los datos en su operación diaria. No es lo mismo manejar datos básicos que datos sensibles, ni procesar información de pocos clientes versus millones de registros. Por eso, la ley exige entender los distintos tipos de tratamiento y, dependiendo del nivel de riesgo y la escala, realizar evaluaciones de impacto. Por ejemplo, una empresa que usa datos para entrenar modelos de inteligencia artificial debe tener mucho más control que una que solo administra una base de contactos.
El tercer ámbito es el legal. No basta con conocer la ley, hay que implementarla. Esto implica revisar contratos, términos y condiciones, mecanismos de consentimiento y derechos de los titulares de datos, como acceso, rectificación o eliminación. En simple, las empresas deberán demostrar que cumplen, no solo declararlo. Y eso requiere trazabilidad, documentación y coherencia entre lo que se promete y lo que realmente se hace.
El cuarto dominio es el tecnológico. El nivel de exigencia dependerá del grado de digitalización de cada organización. No es lo mismo una empresa tradicional que una fintech o una compañía de salud digital. En estos últimos casos, donde el volumen y la sensibilidad de los datos son altos, se requieren herramientas avanzadas como encriptación, monitoreo continuo, control de accesos y arquitecturas seguras. La tecnología deja de ser un soporte y pasa a ser una pieza crítica del cumplimiento.
Un elemento especialmente relevante es el modelo de prevención de infracciones que establece la ley. Si bien es voluntario, en la práctica será clave, ya que puede actuar como atenuante frente a sanciones que pueden llegar hasta las 20 mil UTM. Este modelo implica identificar riesgos, establecer controles y demostrar que la empresa hizo todo lo razonablemente posible para evitar una infracción.
Hoy, muchas grandes empresas ya avanzan en esta línea, impulsadas por estándares internacionales y exigencias de sus matrices. Sin embargo, en el mundo de las pymes el desafío recién comienza. Y aquí hay una oportunidad: no se trata solo de cumplir, sino de generar confianza. Porque en un entorno donde los datos son cada vez más valiosos, las organizaciones que los protejan mejor serán también las más competitivas.
