Por Ricardo Castillo, Jefe de Cultura en Protección de Datos de Cybertrust Latam
Los datos personales ya no son solo una cuestión de marketing o CRM: son activos estratégicos que, mal gestionados, pueden convertirse en pasivos legales y técnicos. El estudio “El uso de los datos Data-Driven 2025”, elaborado por CustomerTrigger e InsightLab, en colaboración con la Cámara de Comercio de Santiago y Experian, reveló una contradicción preocupante. Aunque 84,6% de las empresas chilenas reconoce el valor crítico de los datos para su operación, solo 30,2% conoce la nueva Ley de Protección de Datos Personales que entrará en vigencia en diciembre de 2026.
Este desfase entre madurez digital y conocimiento normativo es un riesgo inminente. La nueva ley -inspirada en el modelo del GDPR europeo- introduce principios exigentes de transparencia, consentimiento explícito, minimización de datos, portabilidad y accountability. Y lo más relevante: establece sanciones que pueden superar las 10.000 UTM, además de la eventual publicación de infractores por parte de la futura Agencia de Protección de Datos.
Desde una perspectiva técnica, esta normativa obliga a integrar la gestión de datos personales al core de los sistemas de información. No basta con políticas escritas: se requiere trazabilidad, segmentación adecuada, mecanismos de anonimización y, sobre todo, medidas robustas de ciberseguridad. La ley exige, por ejemplo, reportar incidentes de seguridad que afecten datos personales dentro de plazos acotados, lo que implica contar con monitoreo continuo, detección de intrusiones, y planes de respuesta incidentes activados.
La ciberseguridad ya no puede verse como un gasto opcional o una acción reactiva. Prepararse para la ley significa alinear áreas legales, TI y de cumplimiento para evaluar brechas actuales, redefinir políticas de acceso y establecer mecanismos de gestión de riesgos que incluyan simulaciones y auditorías periódicas.
La buena noticia es que muchas de las inversiones necesarias para cumplir con la ley son también las mejores prácticas de seguridad de la información. Implementar estándares como ISO/IEC 27001, utilizar cifrado en tránsito y en reposo, gestionar identidades con autenticación multifactor, o aplicar segmentación de redes, no solo mitiga riesgos legales, sino que refuerza la resiliencia organizacional frente a amenazas externas.
El cumplimiento normativo y la ciberseguridad ya no pueden avanzar por caminos separados. Las empresas que adopten este enfoque integrado no solo evitarán sanciones, sino que se diferenciarán como actores confiables en un entorno digital cada vez más exigente. Porque hoy, proteger datos no es una opción; es una responsabilidad crítica de gestión.
Artículo publicado en Revista Seguridad:
https://revistaseguridad.cl/2025/04/17/proteccion-de-datos-personales-2/
