Los datos no son de las empresas. Son de cada uno de nuestros clientes. Estamos administrando, con el mayor cuidado posible, un activo que cada vez más las personas saben que les pertenece y sobre el cual tienen derechos.

Los cambios normativos suelen ser un dolor de cabeza para las empresas. Se entiende que son importantes, pero duele dedicar presupuesto y horas a estos proyectos “rompe fila”.

Es el caso de la Ley de Protección de Datos Personales, la 21.719, que entra en vigencia el 1 de diciembre de 2026 y que exige a toda organización que trate datos personales tener inventariados sus tratamientos, documentadas sus bases legales y operativos sus procedimientos para responder a los titulares.

Por un lado, venimos hace años escuchando que los datos son el nuevo petróleo, que las empresas más importantes del mundo están basadas en datos, que la IA es el futuro y que IA es datos, que si una empresa sufre una fuga puede ser catastrófico.

Y por otro lado gestionar y gobernar los datos parece cada día más complejo, porque residen en muchas áreas, con distintas reglas, responsables, usos y tecnologías.

La dificultad se agrava porque la nueva exigencia no es evidentemente de un área. Fiscalía dice que es problema operativo, Tecnología insiste en que es tema legal, y compliance no tiene equipo para asumirlo. Nadie se siente dueño. O todos.

¿Es un problema tecnológico? ¿Legal? ¿Comercial? ¿Operativo? Todas las anteriores. Dicho en chileno, es de esos desafíos que no sabemos por dónde agarrarlos.

Después de haber liderado áreas de datos por tantos años, puedo dar algunas recomendaciones para abordar la implementación de esta ley sin que se vuelva inmanejable.

Primero, liderazgo. Implementar esta ley debe ser un proyecto formal: con nombre, fecha, alcance, presupuesto asignado y un líder con autoridad para mover áreas que no le reportan. Mi recomendación es que el liderazgo lo asuma fiscalía o compliance, porque entienden la urgencia normativa y la priorizan por sobre la wish list de la compañía.

Segundo, gobernanza. El sponsor del proyecto tiene que ser directamente el CEO, o el directorio a través del comité de auditoría, a fin de garantizar que las áreas operativas van a ceder tiempo de su gente para entrevistas, levantamientos y firmas.

Tercero, alcance. Este cumplimiento no es one-time. Las empresas deben poder decir “estoy ok, cumplo con todo lo exigido” antes de diciembre, y además implementar un proceso que les permita seguir cumpliendo mes a mes. Es habilitación primero, operación después. La habilitación termina el 1 de diciembre, con el inventario de tratamientos levantado y la documentación generada. La operación empieza el 2 de diciembre.

Las sanciones por incumplimiento llegan hasta 20.000 UTM (alrededor de 1.400 millones de pesos), con responsabilidad solidaria entre responsable y encargado, y posible responsabilidad personal bajo la Ley de Delitos Económicos.

Y quizás lo más importante: los datos no son de las empresas. Son de cada uno de nuestros clientes. Estamos administrando, con el mayor cuidado posible, un activo que cada vez más las personas saben que les pertenece y sobre el cual tienen derechos. Los clientes nos dan su confianza cada vez que nos dan sus datos, y esa confianza es la base de nuestras relaciones.

Sobre el autor:

Marina Tannenbaum es Founder Aplaid y Directora ACTI

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Chile.