La Ley 21.719 no llegó a interrumpir su negocio. Llegó a financiar su transformación de datos.

La Ley 21.719 de Protección de Datos Personales entra en vigencia en Chile el 1 de diciembre de 2026. La pregunta que la mayoría de las organizaciones se está haciendo es: ¿cuánto nos va a costar cumplirla?

Es la pregunta equivocada.

Hay algo que Europa aprendió cuando entró en vigor el GDPR en 2018 y que Chile tiene la oportunidad de aprender antes: las regulaciones de datos no destruyen presupuestos. Los crean. Y la diferencia entre las organizaciones que sobreviven este proceso y las que salen fortalecidas no es técnica. Es estratégica.

Qué exige la LPDP: más allá del checklist

La ley establece obligaciones concretas: consentimiento informado de los titulares de datos, derecho a acceder y eliminar información personal, notificación obligatoria ante brechas de seguridad y, en ciertos sectores, la designación formal de un Delegado de Protección de Datos.

Pero hay un requisito que suele subestimarse: la demostración activa de cumplimiento. No alcanza con tener los datos ordenados en algún servidor. Hay que poder demostrar que se tratan correctamente, que existe un registro de esos tratamientos y que la organización actúa cuando algo falla.

El organismo fiscalizador, la Agencia de Protección de Datos Personales, no va a exigir perfección el primer día. Lo que sí va a buscar es evidencia de trabajo en curso. Ese proceso tiene nombre: modelo de prevención de infracciones. No es un documento de cierre. Es un plan vivo que demuestra que la organización está en movimiento.

Quién está primero en el radar de la Agencia

La fiscalización no comenzará de manera uniforme. Las empresas que van directamente al consumidor final —las denominadas B2C— concentran el mayor volumen de datos personales sensibles y serán las primeras en recibir atención.

En Chile, eso incluye al sector financiero, las telecomunicaciones, el retail y la salud. No es solo por el volumen de datos que manejan. Es porque las infracciones en esos sectores tienen impacto directo y visible sobre personas concretas, que es exactamente lo que la ley busca proteger.

Si su empresa opera en alguno de estos sectores, el reloj ya está corriendo.

El presupuesto que la regulación libera

Durante años, los proyectos de calidad de datos, gobierno de la información y trazabilidad han tenido un problema consistente en casi todas las organizaciones: no conseguían presupuesto. No porque nadie los considerara importantes, sino porque no se asociaban directamente a ingresos ni a optimizaciones operacionales visibles. Son proyectos que se postergan.

La LPDP resuelve ese problema. Hoy, las organizaciones tienen justificación regulatoria para invertir en ordenar su arquitectura de datos. La pregunta que marca la diferencia es qué hacen con ese presupuesto.

“Los presupuestos que antes eran imposibles de conseguir para proyectos de gobierno del dato hoy están disponibles porque hay una obligación regulatoria detrás. La pregunta es qué hacen las organizaciones con ese dinero: si construyen parches temporales, o una base que les sirva mucho más allá del cumplimiento.”

— Domingo Valdés, Account Director, Factor IT Chile

Datos con propósito: la conexión que pocos están viendo

Las organizaciones que están leyendo bien este momento no llegaron a la LPDP como un proyecto de TI de seis meses. La leyeron como una oportunidad para hacer algo que sin esta presión nunca habría conseguido prioridad: darle propósito a sus datos.

Eso significa saber exactamente qué información existe dentro de la organización, dónde vive, quién puede acceder a ella y para qué sirve. No como ejercicio regulatorio, sino como fundamento operacional.

Los datos bien gobernados no sirven solo para cumplir una ley. Sirven para tomar mejores decisiones, aplicar inteligencia artificial sobre información confiable y detectar riesgos antes de que se conviertan en pérdidas. La arquitectura que la LPDP obliga a construir es exactamente la misma que se necesita para escalar IA de manera responsable. No son dos proyectos. Son el mismo proyecto con dos justificaciones.

Lo que viene después del 1 de diciembre

El 1 de diciembre de 2026 no es el final del proyecto. Es el inicio de una disciplina nueva.

Lo que la ciberseguridad enseñó en su momento aplica aquí: al principio fue un proyecto de cumplimiento. Hoy es una función permanente, con equipos, procesos y presupuesto propios. La protección de datos personales va por el mismo camino.

Eso significa nuevas tareas que antes no existían, nuevos roles dentro de los equipos, integraciones con sistemas que hasta ahora no necesitaban coordinarse y protocolos de respuesta cuando un titular solicita acceso o eliminación de su información.

El verdadero desafío no es cumplir la ley al 1 de diciembre. Es llegar a esa fecha habiendo construido una capacidad que la organización pueda seguir haciendo crecer.

Por dónde empezar

El punto de entrada más efectivo no es intentar mapear todo a la vez. Es identificar dónde vive la información más sensible, quién tiene acceso a ella y cuáles son los procesos donde esa información entra al sistema.

A partir de ahí se construye el registro de actividades de tratamiento, se define quién es responsable de cada flujo y se establece el protocolo de respuesta ante incidentes. No es trabajo trivial. Pero es trabajo que de todas formas iba a tener que hacerse. La LPDP simplemente puso una fecha.

Preguntas frecuentes sobre la Ley 21.719

¿La LPDP aplica a datos recopilados antes de su entrada en vigencia?

Sí. La ley regula el tratamiento de datos personales con independencia de cuándo fueron recopilados. Las organizaciones deben revisar sus bases de datos existentes y adecuarlas a los nuevos requisitos.

¿Qué es el modelo de prevención de infracciones?

Es un plan documentado que demuestra que la organización está tomando medidas activas para cumplir con la LPDP. Incluye mapeo de tratamientos, evaluación de riesgos, designación de responsables y protocolos de respuesta ante incidentes. La Agencia no busca perfección desde el primer día, sino evidencia de trabajo en curso.

¿Qué sectores tienen mayor urgencia?

Los sectores B2C con alto volumen de datos personales: banca, telecomunicaciones, retail, salud y seguros. Son los primeros en el foco de la Agencia y los que tienen más que ganar si aprovechan este momento estratégicamente.

¿Cómo se conecta la LPDP con proyectos de inteligencia artificial?

Directamente. Los modelos de IA requieren datos de calidad, bien gobernados y trazables. Las organizaciones que usen la LPDP para ordenar su arquitectura quedarán mejor posicionadas para aplicar IA de manera confiable que las que solo cumplieron con la norma.

¿Cuánto tiempo tarda implementar un modelo de prevención de infracciones?

Depende de la complejidad de la organización, pero el proceso de diagnóstico inicial —identificar qué datos se tratan, dónde están y quién tiene acceso— puede completarse en semanas con el equipo y metodología correctos.

Domingo Valdés es Account Director en Factor IT Chile. Trabaja con organizaciones de los sectores financiero, telco y retail en estrategias de datos y gobierno de la información.