Nota del editor: la IAPP es neutral en materia de políticas. Publicamos artículos de opinión de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos.
En una nueva conmemoración de la celebración del Día Internacional de la Protección de Datos Personales, a propósito de la apertura a firma del Convenio 108 del Consejo de Europa, se presenta en un contexto nacional diverso al vivido en años anteriores, especialmente por la entrada en vigencia—parcial—de la normativa sobre ciberseguridad (Ley N.º 21.663) y la reciente publicada Ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (Ley N.º 21.719), la misma que entra en vigor el 1º de diciembre de 2026. Esta no solo conlleva cambios profundos en Chile en estas materias, sino que se une a otras regulaciones sectoriales que ya presentan desafíos concretos en determinadas actividades.
En este contexto, las organizaciones públicas y privadas se encuentran expectantes de las diversas obligaciones que deberán cumplir, especialmente aquellas que, ya sea por los deberes generales o específicos en materia de ciberseguridad, deben cumplirse o que, debido a su actividad como responsable del tratamiento de datos personales, deberán desplegar una serie de acciones para cumplir con los principios y deberes que establece la normativa al respecto.
Sin perjuicio de lo antes mencionado, ciertos sectores regulados, ya tienen desafíos concretos en la adopción temprana de algunos aspectos asociados con las mencionadas regulaciones. Por ejemplo, desde el sector financiero, algunos actores han manifestado la necesidad de contar con una hoja de ruta clara para la aplicación de la normativa que incorpora el Sistema de Finanzas Abiertas (SFA), donde la acreditación de actores como los procesadores de datos y originadores de transacciones de pago, son claves para un ecosistema interconectado.
En ese mismo sentido, un punto clave para ello, de acuerdo con el artículo 23 de la Ley N.º 21.521, señala que tanto los proveedores de servicios basados en información como los proveedores de servicios de iniciación de pago deben adoptar mecanismos de autentificación del cliente y obtener el consentimiento libre, informado, expreso, y específico en cuanto al tipo de información y, por ende, las transacciones que se pueden realizar.
Desde luego, la Norma de Carácter General 514 (2024) dictada por la Comisión para el Mercado Financiero (CMF) establece una serie de requisitos para los diversos actores en el SFA. Estos incluyen la necesidad de contar con evidencia en cuanto al consentimiento otorgado; de realizar su gestión a través de paneles de control; y, por ende, acreditar la vigencia del consentimiento para efectos de realizar las operaciones autorizadas, es decir, aquellas operaciones estrictamente relacionadas con la finalidad al momento de prestar el consentimiento.
Esto será sin duda, algo tremendamente desafiante para las organizaciones del sector financiero tradicional y especialmente, para aquellos nuevos actores, si se tiene en consideración algunos de los principios que fija la Ley N.º 21.719, en particular en relación con la proporcionalidad (art. 3 letra c), y por lo tanto, los tiempos de conservación de los datos capturados, además, del relativo a la transparencia e información (art. 3 letra g), respecto de la necesidad de “adoptar las medidas adecuadas y oportunas para facilitar al titular el acceso a toda la información”, unido a otros deberes propios de la entidad que procesa datos personales y, la necesidad de promover textos claros y simples para total comprensión del titular del dato.
En la misma línea, cabe recordar la recientemente publicada Ley N.º 21.668 que establece la interoperabilidad de la Ficha Clínica, en cuanto a la obligación de los prestadores de conservar los datos contenidos en la misma, que, en su gran mayoría, son datos personales sensibles. Asimismo, la necesidad de adoptar medidas que permitan la interoperabilidad con otros prestadores de salud—extendiéndose a los profesionales de salud que participan en la atención del titular de los datos, y la necesidad de adoptar medidas adecuadas acorde al riesgo de dichas actividades, por ejemplo, de acceso no autorizado—implica desafíos no solo desde el enfoque regulatorio, sino de las operaciones en sí mismo. Esto, no solo desde un contexto de aplicación de la normativa propia del sector salud, sino dentro de los requerimientos propios de las leyes de ciberseguridad y protección de datos personales, que, si bien aún no entra en vigor completamente, sí coloca especial atención en cuanto a los riesgos de proveedores y, por ende, terceras partes.
Para concluir, esta celebración del Día Internacional de Protección de Datos Personales se torna diferente y expectante, no sólo por el vertiginoso entorno regulatorio a nivel nacional, sino por los enormes desafíos que tienen las organizaciones de cumplir con estas normativas, donde flexibilidad y la adopción temprana de los requisitos de las regulaciones, serán clave para un éxito en su cumplimiento; siempre intentando buscar un necesario equilibrio entre las operaciones del negocio y el respeto por los derechos y libertades de los titulares de datos personales.
Juan Pablo González Gutiérrez es abogado y académico en derecho y nuevas tecnologías.
