En Chile estamos viviendo un cambio profundo en materia de regulación sobre cómo se tratan los datos personales. Desde la publicación de la nueva Ley 21.719, algunas organizaciones ya han comenzado a prepararse para cumplir con sus disposiciones, encontrándose en el camino con aspectos que, más allá de lo normativo, resultan particularmente complejos de abordar […]
En Chile estamos viviendo un cambio profundo en materia de regulación sobre cómo se tratan los datos personales. Desde la publicación de la nueva Ley 21.719, algunas organizaciones ya han comenzado a prepararse para cumplir con sus disposiciones, encontrándose en el camino con aspectos que, más allá de lo normativo, resultan particularmente complejos de abordar desde el punto de vista operativo y técnico.
Las empresas están enfrentando principalmente cuatro desafíos. El primero es el desconocimiento de la localización y volumen de los datos personales. Esto abarca desde sistemas internos y bases de datos hasta correos electrónicos, documentos compartidos o respaldos en la nube. Realizar este levantamiento no es una tarea sencilla ni mucho menos de rápida ejecución. Se tiene que recorrer cada una de las áreas en búsqueda de tratamiento de datos personales.
Es recomendable que las organizaciones empiecen a realizar este levantamiento ahora, ya que de ello depende la posibilidad de identificar brechas de cumplimiento, establecer medidas de seguridad proporcionales y, sobre todo, demostrar ante la autoridad que existe un conocimiento y control efectivo sobre el ciclo de vida de los datos personales tratados.
El segundo gran desafío que están enfrentando las empresas es la falta de trazabilidad del ciclo de vida de la data. Las organizaciones no solo deben identificar dónde están los datos personales, sino también tener control sobre lo que ocurre con ellos a lo largo del tiempo. En muchos casos, una vez que los datos ingresan a la organización -por ejemplo, desde un formulario o una plataforma- no existe claridad sobre quién los usa, si se comparten con terceros, si se actualizan, cuánto tiempo se conservan o en qué momento deberían eliminarse. Esta falta de trazabilidad del ciclo de vida del dato genera un riesgo importante: dificulta cumplir con los principios de la ley, pero también impide responder de manera ágil ante incidentes o solicitudes de los titulares.
Para resolver este problema, se debe comenzar por documentar el flujo de los datos personales: cómo se recolectan, por qué canales ingresan, quién los utiliza, con qué finalidad, si se comparten con terceros y cuándo deben ser eliminados. Este mapeo debe ir acompañado de la identificación de todos los actores que tienen acceso a los datos en cada etapa del proceso, permitiendo así asignar responsabilidades y detectar posibles brechas. A partir de esta trazabilidad, se pueden implementar controles adecuados, definir políticas claras de acceso, conservación y eliminación, y establecer mecanismos de auditoría que permitan monitorear el cumplimiento de forma continua.
El tercer desafío está en las dificultades para gestionar las bases legales de tratamiento. Algunas organizaciones continúan operando con prácticas que no cumplen con la ley, como recolectar datos sin informar adecuadamente, usar consentimientos implícitos o no vincular cada tratamiento a una base legal específica. Además, no contar con evidencia del consentimiento u otra base habilitante impide demostrar que el tratamiento es legítimo. Gestionar correctamente las bases que justifican el uso de datos personales es difícil de resolver porque obliga a revisar cómo y por qué se están usando esos datos en cada proceso de la organización.
Resolver este punto requiere trabajo coordinado entre distintas áreas, ajustes en los formularios, plataformas, políticas internas y una buena capacidad de organización, ya que también es necesario dejar evidencia de todo lo anterior para cumplir con la ley y responder ante eventuales fiscalizaciones.
El último desafío que están enfrentando las empresas en la aplicación de la nueva ley es la incertidumbre sobre el tratamiento de datos históricos. Las empresas acumulan datos por años sin revisar si aún existe una justificación legal para mantenerlos. Frente a la entrada en vigor de la ley, surge la duda sobre qué hacer con esta información.
Antes de tomar acciones respecto a eliminar los datos o seguir almacenándolos, primero se debe analizar si todavía existe una base legal que justifique su conservación (por ejemplo: cumplimiento de obligaciones legales, defensa de intereses legítimos, fines estadísticos con medidas adecuadas, etc.). Si no existe una base válida, los datos deben eliminarse o anonimizarse. En paralelo, se deben documentar políticas claras que regulen cuánto tiempo se almacenarán los datos según su tipo y finalidad. Esto debe quedar documentado en un procedimiento formal, incluyendo justificaciones legales y técnicas para cada plazo.
Como se puede observar, llevar esta ley a la práctica es una tarea de largo aliento. Por eso las empresas deben prepararse ahora y no cuando la ley esté en régimen.
*La autora es Gerente de Ciberseguridad y Resiliencia de Cybertrust Latam
Fuente: Forbes Chile
