Por: Edgardo Fuentes Cáceres – Director Ingeniería en Ciberseguridad, UNAB
La Ley 21.719 de Protección de Datos Personales, que entrará plenamente en vigencia el 1 de diciembre de 2026, es la nueva normativa que regula cómo las empresas y organizaciones en Chile pueden recopilar, usar, almacenar y compartir datos personales de las personas. Esta ley reemplaza a la antigua Ley 19.628, vigente desde 1999, y establece reglas mucho más claras y exigentes, además de crear la Agencia de Protección de Datos Personales, organismo que tendrá facultades para fiscalizar, recibir reclamos y aplicar sanciones. En términos simples, esta ley busca que las personas tengan mayor control sobre su información y que las empresas sean responsables y cuidadosas al manejarla.
La ley define como dato personal cualquier información que permita identificar a una persona, como su nombre, RUT, teléfono, correo electrónico, dirección, imágenes, historial de compras o antecedentes laborales. Esto significa que la gran mayoría de las pequeñas y medianas empresas en Chile trata datos personales de manera habitual, aunque muchas veces no lo perciban como una actividad regulada. Tener una libreta de clientes, una planilla Excel con contactos, una base de datos en un computador o conversaciones de WhatsApp con información de clientes ya implica estar sujeto a la Ley de Protección de Datos Personales.
Uno de los puntos centrales de la nueva ley es que las empresas solo pueden usar los datos personales con fines claros y justificados. Ya no es válido recopilar información “por si acaso” ni mantener datos almacenados sin una razón concreta. Para las pymes, esto implica empezar por entender qué información tienen y para qué la usan realmente. Un primer paso muy práctico es hacer un listado simple de los datos que manejan, dónde los guardan y quién tiene acceso a ellos. Este ejercicio, aunque básico, permite ordenar la operación y detectar prácticas de riesgo que hoy pasan inadvertidas.
La ley también obliga a informar a las personas sobre el uso de sus datos. En la práctica, esto significa explicar de forma simple para qué se solicitan los datos y cómo serán utilizados. No se requiere lenguaje legal complejo: basta con que la información sea clara y comprensible. Las pymes pueden comenzar incorporando mensajes breves en formularios, correos, sitios web o incluso de manera verbal, siempre que puedan demostrar que informaron adecuadamente.
Otro aspecto clave es que las personas tendrán derechos efectivos sobre sus datos personales. Clientes, trabajadores y proveedores podrán solicitar saber qué información tiene la empresa sobre ellos, pedir que se corrija, se elimine o que deje de utilizarse en ciertos casos. Para enfrentar esto, las pymes deberían definir con anticipación cómo responderán a estas solicitudes y quién será el encargado dentro de la empresa de recibirlas y gestionarlas. No hacerlo puede generar incumplimientos involuntarios que terminen en reclamos o sanciones.
En materia de seguridad, la ley no exige tecnologías sofisticadas para las pymes, pero sí cuidados básicos. Proteger datos personales significa, por ejemplo, no compartir contraseñas, limitar el acceso solo a quienes lo necesitan, evitar usar teléfonos personales para almacenar información del negocio sin medidas de seguridad y eliminar datos cuando ya no son necesarios. Capacitar brevemente al equipo sobre qué es un dato personal y por qué debe manejarse con cuidado es una de las medidas más efectivas y de menor costo.
La Ley 21.719 incorpora, además, un régimen de sanciones mucho más severo que el anterior. Las multas pueden ser altas y afectar seriamente la continuidad de una pyme si no se toman medidas oportunas. Por eso, la protección de datos personales debe entenderse como un tema de gestión del negocio y no solo como un requisito legal. Así como se ordenan los temas tributarios o laborales, también es necesario ordenar el uso de la información personal.
Aun así, prepararse para esta nueva ley no solo es una obligación, sino también una oportunidad. Las pymes que comiencen desde ahora a ordenar sus datos, eliminar prácticas informales y explicar con transparencia cómo usan la información generan mayor confianza en sus clientes y fortalecen su reputación. En un entorno cada vez más digital, demostrar cuidado y responsabilidad en el manejo de datos personales puede transformarse en una ventaja competitiva real.
En definitiva, la Ley de Protección de Datos Personales no busca impedir el funcionamiento de las pymes, sino establecer reglas claras para que el uso de la información sea responsable y legítimo. Comprender sus principios básicos y actuar con medidas simples pero concretas permitirá a las pequeñas y medianas empresas llegar a 2026 mejor preparadas, reduciendo riesgos y fortaleciendo la relación con quienes confían en ellas sus datos.
