Llegar a diciembre, el arte de prepararse para la ley de datos sin perder el alma

Hay una vieja sabiduría de campo que dice que el mejor momento para plantar un árbol fue hace veinte años y el segundo mejor momento es hoy. Con la Ley 21.719 ocurre algo parecido. El mejor momento para empezar a cumplirla fue diciembre de 2024, cuando se publicó y comenzó a correr el plazo de dos años. El segundo mejor momento es esta semana.

El 1 de diciembre de 2026 la ley entra en plena vigencia, con su Agencia de Protección de Datos Personales facultada para fiscalizar y sancionar, sus multas que pueden alcanzar las 20.000 UTM y su exigencia central, que no es tener buenas intenciones sino poder demostrarlas. Para las organizaciones que aún miran el calendario con incomodidad, lo que sigue es una hoja de ruta sin alarmismo. El tiempo alcanza si se camina con dirección.

Primero, saber qué se tiene

Ningún viaje de cumplimiento comienza en el manual. Comienza en el inventario. Antes de redactar políticas conviene responder la pregunta más antigua de todas. Qué datos personales trata mi organización, dónde viven, quién los ve y por qué existen.

Este ejercicio, que la ley formaliza bajo la figura del registro de actividades de tratamiento, suele deparar sorpresas. Datos de clientes en el sistema comercial, sí, pero también en la planilla del vendedor, en el correo del gerente, en el respaldo de un computador dado de baja. Datos de trabajadores en recursos humanos, de postulantes que nunca fueron contratados, de proveedores, de visitas registradas en recepción. El mapa completo casi siempre es más grande que el recordado.

Levantar ese mapa con honestidad es la mitad del cumplimiento. Lo que no se conoce no se puede proteger ni justificar.

Segundo, darle a cada dato una razón de existir

La nueva ley exige que todo tratamiento descanse sobre una base de licitud. El consentimiento de la persona, la ejecución de un contrato, el cumplimiento de una obligación legal, entre otras. El ejercicio práctico consiste en recorrer el inventario preguntándole a cada categoría de datos cuál es su fundamento.

Aquí las organizaciones reguladas tienen ventaja y deber a la vez. Quien recolecta información por mandato de la Ley 19.913 tiene su base de licitud servida, pues cumple una obligación legal. Pero esa misma claridad lo obliga a distinguir. Los datos que la norma exige conservar tienen su justificación. Los que se acumularon por costumbre, por si acaso, porque el formulario siempre los pidió, no la tienen. Diciembre será un buen pretexto para soltar lastre.

Tercero, ordenar la casa de los terceros

Pocas empresas tratan sus datos completamente solas. Hay proveedores de software, servicios en la nube, empresas de cobranza, agencias de marketing. La ley exige que esas relaciones queden reguladas por contratos donde el encargado del tratamiento asuma deberes concretos de seguridad y confidencialidad.

Revisar esos contratos toma tiempo porque depende de voluntades ajenas. Por eso conviene empezar temprano y por los proveedores que tocan los datos más sensibles. Una organización seria también le preguntará a cada proveedor dónde aloja la información, pues las transferencias internacionales de datos tienen ahora reglas propias y el país avanzó durante 2025 en cláusulas modelo para darles cauce.

Cuarto, prepararse para el mal día

La ley obliga a notificar las brechas de seguridad que afecten datos personales. Detrás de esa obligación hay una verdad incómoda que la experiencia internacional confirma. La pregunta no es si una organización sufrirá algún incidente sino cuándo, y lo que distingue a las empresas maduras no es la ausencia de brechas sino la calidad de su respuesta.

Prepararse para el mal día significa tener un procedimiento escrito y ensayado. Quién detecta, quién evalúa, quién decide notificar, quién le habla a los afectados y quién a la autoridad. Una brecha gestionada con transparencia y rapidez puede incluso fortalecer la confianza. Una brecha escondida la destruye dos veces.

Quinto, las personas antes que los papeles

Ninguna política sobrevive al desconocimiento de quienes deben aplicarla. La capacitación no es el anexo del proyecto de cumplimiento sino su corazón. El vendedor que pide datos de más, el analista que comparte una planilla por mensajería, el ejecutivo que reutiliza una base antigua actúan casi siempre por hábito y no por malicia. Los hábitos se corrigen con formación, con ejemplos cercanos y con líderes que prediquen practicando.

Las empresas de menor tamaño cuentan con un primer año en que las infracciones iniciales se sancionarán con amonestaciones en lugar de multas. Es una ventana de aprendizaje valiosa, pensada para corregir en marcha. Sería un error leerla como permiso para no empezar.

El cumplimiento como forma de cuidado

Si algo enseñan las dos décadas que llevamos acompañando a organizaciones en su cumplimiento normativo, es que las leyes exigentes terminan separando aguas. De un lado quedan las empresas que cumplen por miedo, siempre tarde y a regañadientes. Del otro, las que entienden que cumplir es una manera de cuidar aquello que se les confió.

La Ley 21.719 custodia algo particularmente delicado, los fragmentos de vida que las personas dejan en manos ajenas cada vez que firman, compran, postulan o navegan. Llegar bien a diciembre no es solamente evitar multas. Es estar a la altura de esa confianza.

En Neitcom construimos tecnología para que el cumplimiento sea trazable, ordenado y demostrable, que es precisamente lo que la nueva Agencia vendrá a buscar. Si su organización quiere conversar sobre cómo sus procesos de debida diligencia y su gestión de datos pueden caminar juntos hacia diciembre, estamos aquí. Y si desea seguir leyendo, le sugerimos nuestro artículo sobre los derechos que la nueva ley devuelve a las personas.