Juan Pablo Arias y la Ley de Protección de Datos: “Hoy los datos personales son el nuevo petróleo”

La entrada en vigencia de la Ley 21.719 sobre Protección de Datos Personales, prevista para diciembre de 2026, marcará un antes y un después para las empresas chilenas. Inspirada en el modelo europeo del Reglamento General de Protección de Datos (GDPR), esta normativa redefine la relación entre ciudadanos, instituciones y tecnología, imponiendo nuevas obligaciones para quienes manejan información personal y estableciendo multas que pueden llegar hasta 20 mil UTM o unos mil 300 millones de pesos.

En este nuevo escenario, las pymes enfrentan uno de los mayores desafíos: adecuar sus procesos tecnológicos, legales y culturales a estándares de ciberseguridad y tratamiento de datos que hasta ahora eran patrimonio exclusivo de las grandes corporaciones. Desde tiendas en línea que venden artesanías hasta fintechs que administran información financiera, todas deberán aprender a manejar el “nuevo petróleo” del siglo XXI: los datos.

Para profundizar en los alcances de esta ley y en cómo las pequeñas y medianas empresas pueden prepararse, conversamos con Juan Pablo Arias, Gerente de ingeniería para Fortinet Chile, especialista en ciberseguridad y protección de datos, quien explica los principales cambios normativos, las obligaciones que se vienen y el impacto que tendrá la creación de una Agencia de Protección de Datos Personales en Chile.

-¿Cómo cambia el escenario para las empresas en Chile con la entrada en vigencia de la ley 21.719 respecto a la protección de datos personales?
-La ley 21.719 actualiza la antigua Ley de Protección de la Vida Privada de 1999, que quedó obsoleta frente al avance de Internet. Hoy los datos personales son el nuevo petróleo, y esta normativa busca protegerlos. Se inspira fuertemente en el GDPR europeo y crea un marco regulatorio robusto. La ley ya está publicada y entra en vigencia en diciembre de 2026; las empresas tienen dos años para adecuarse.

-Entiendo que la ley europea es una de las más estrictas del mundo. ¿Chile aprendió de esa experiencia o se quedó corto?
–Nuestra ley está muy inspirada en el GDPR, pero adaptada a la realidad local. Crea una nueva institucionalidad: la Agencia de Protección de Datos Personales, con facultades de dictar normas, aplicar sanciones y multas de hasta 20 mil UTM. Sin embargo, busca equilibrio: proteger sin frenar la innovación, porque los datos también son el insumo principal de tecnologías como la inteligencia artificial.

-¿Cuál es el desafío para una pyme que trabaja con datos?
–Para las grandes empresas el ajuste será menor, pero para las pymes el reto es enorme. Deben ser conscientes de cómo tratan los datos personales: nombre, RUT, teléfono, dirección, etc. La ley exige bases de licitud —como el consentimiento o el cumplimiento de contrato— y limita usos secundarios, como campañas de marketing no autorizadas. Además, impone procesos de eliminación de datos y responsabilidad frente a fugas o usos indebidos.

-¿Y qué medidas de seguridad deberían implementar esas pequeñas empresas?
–La seguridad se construye sobre tres pilares: tecnología, procesos y personas. Tecnológicamente, deben proteger su sitio web, correos y bases de datos, incluso si operan en la nube. En procesos, deben definir cómo y quién maneja la información. Y en personas, generar cultura interna: evitar enviar datos por WhatsApp, no guardar planillas sin protección, capacitar equipos y tener protocolos ante incidentes.

-¿Cómo funcionará la fiscalización?
–Habrá dos vías: las denuncias de los ciudadanos y la acción de la Agencia de Protección de Datos, que podrá fiscalizar y aplicar sanciones. Las empresas deberán designar un encargado de protección de datos que actúe como contraparte ante la agencia. Incluso las pymes deberán definir a esa persona, aunque sea su representante legal.

-¿Existe algún checklist o guía práctica para las pymes?
–Sí, recomendamos establecer un roadmap tecnológico: asegurar correo y redes, implementar soluciones básicas de protección de datos, definir procesos de respuesta ante incidentes y capacitar al personal. No todas las fugas son maliciosas; muchas ocurren por desconocimiento o urgencia. Por eso, más que castigar, la ley busca instalar una cultura de protección de la información.

-Finalmente, ¿cuál es tu reflexión sobre el proceso que se viene?
–Las empresas no deben confiarse por el plazo. En Europa, los dos años de implementación fueron insuficientes. Además, esta ley mezcla lo técnico y lo legal, lo que genera confusión. Lo clave es asesorarse pronto y entender que la protección de datos no es solo una obligación legal: es un activo reputacional y una ventaja competitiva.