Chile se encuentra ante un cambio estructural en materia de protección de datos personales. La promulgación de la Ley 21.719, que sustituirá a la antigua Ley N° 19.628, no solo moderniza el marco normativo, sino que introduce un nuevo paradigma de responsabilidad empresarial. Por primera vez, Chile contará con una Agencia de Protección de Datos Personales dotada de facultades fiscalizadoras efectivas y de un régimen sancionador capaz de generar impactos reales en la gestión corporativa.

No obstante, en el proceso de adaptación normativa muchas organizaciones están cometiendo un error estratégico: concentrarse exclusivamente en el cumplimiento formal. Formularios, cláusulas informativas y ajustes documentales avanzan, mientras permanece intacta una zona crítica de riesgo: la gestión informal y cotidiana de los datos personales en el entorno laboral. Es allí donde el compliance suele fallar silenciosamente.

La Ley 21.719 obligará a repensar la protección de datos como un riesgo transversal y no como una obligación administrativa aislada. Desde la lógica del compliance, los datos personales -especialmente los laborales- pasan a integrar el sistema de control interno, el mapa de riesgos y el deber de supervisión de la alta dirección. La pregunta ya no es si la empresa tiene políticas, sino si controla efectivamente lo que ocurre en la práctica diaria.

El nuevo marco normativo elevará de forma significativa los estándares exigibles. Se reforzará la protección de datos sensibles como los relativos a la salud, antecedentes financieros o biométricos; se ampliarán los derechos de los titulares; se exigirán mantener registros de tratamiento; se impondrán medidas de seguridad proporcionales al riesgo; y se establecerá la obligación de notificar brechas. A ello se suma la implementación de un sistema de sanciones que puede afectar seriamente la continuidad operativa.

Este conjunto de obligaciones transformará la naturaleza del riesgo. El incumplimiento ya no se limitará a una infracción administrativa menor, sino que derivará en consecuencias reputacionales, litigios laborales y pérdida de confianza interna. En este escenario, el compliance debe actuar como el mecanismo que permite anticipar fallos, prevenir daños y demostrar diligencia razonable ante la autoridad.

El problema emerge cuando estas exigencias conviven con prácticas informales profundamente normalizadas. En muchas empresas, especialmente de menor tamaño, el uso de herramientas no institucionales forma parte de la rutina: envío de licencias médicas por aplicaciones de mensajería, almacenamiento de contratos en correos personales, planillas compartidas sin control de accesos o intercambio de antecedentes sensibles por canales no seguros.

Desde una perspectiva de compliance, estas conductas representan fallas sistémicas. No existe trazabilidad, no se puede reconstruir el tratamiento de los datos y se vulneran principios básicos de seguridad. Además, ante un incidente, la empresa carece de evidencia para acreditar que actuó conforme a un modelo preventivo eficaz.

La informalidad digital no solo incrementa el riesgo de filtraciones. También debilita la posición de la empresa en conflictos laborales. Comunicaciones enviadas sin criterios claros pueden convertirse en prueba en juicios o investigaciones administrativas, con consecuencias difíciles de revertir. Lo cotidiano se transforma así en un riesgo jurídico latente.

No resulta casual que el ámbito laboral se proyecte como uno de los primeros focos de sanción bajo la nueva ley. Las empresas concentran allí grandes volúmenes de datos sensibles, tratados de manera constante y por múltiples actores. Un error interno, una denuncia de un trabajador o una brecha menor bastarán para activar la fiscalización.

Para la futura Agencia de Protección de Datos Personales, los casos laborales ofrecerán un alto valor ejemplarizante. Permitirán demostrar que el riesgo no siempre proviene de ataques externos, sino de la ausencia de control interno. Desde el enfoque del compliance, estos escenarios evidencian la necesidad de integrar la protección de datos en la cultura organizacional.

La respuesta empresarial debe ser preventiva y estructural. La protección de datos debe incorporarse formalmente al sistema de compliance. Esto implica definir políticas claras sobre el uso de información, establecer canales autorizados, prohibir el tratamiento de datos sensibles por medios personales e implementar plataformas institucionales seguras con controles de acceso y registros verificables.

Asimismo, resulta indispensable elaborar un inventario de tratamientos, clasificar los datos según su nivel de sensibilidad y asignar responsabilidades concretas. El Delegado de Protección de Datos o responsable de compliance cumple un rol clave: supervisa, asesora, detecta riesgos y acredita que la organización cuenta con un modelo de prevención efectivo.

La capacitación interna es otro pilar esencial. Ningún sistema de compliance funciona si los empleados desconocen los límites y riesgos asociados al uso de datos. Comprender qué información puede compartirse, por qué medio y bajo qué condiciones no es una formalidad, sino una barrera real frente a sanciones y conflictos.

La entrada en vigor de la Ley 21.719 marcará un punto de inflexión. No bastará con adaptar documentos; será necesario modificar hábitos arraigados. El compliance moderno no busca eliminar todo riesgo, sino gestionarlo de forma razonable y demostrable. Las empresas que comprendan esta lógica y actúen con anticipación no solo evitarán sanciones: fortalecerán su reputación, su sostenibilidad y su credibilidad. En materia de datos, el desorden ya no es tolerable; el control es una exigencia básica de responsabilidad empresarial.

Por Cristina Astudillo, abogada.