El oficial de cumplimiento y el delegado de datos, dos guardianes frente al mismo fuego

Toda organización que cumple con la Ley 19.913 vive una paradoja silenciosa. Para proteger al sistema financiero del lavado de activos debe recolectar información sobre las personas. Nombres, cédulas, perfiles patrimoniales, vínculos familiares, antecedentes judiciales. La debida diligencia es, en esencia, un acto de conocimiento profundo del otro. Y conocer al otro, en el lenguaje de la nueva era regulatoria, es tratar sus datos personales.

Hasta ahora esa paradoja dormía tranquila porque una de sus dos mitades carecía de fuerza. La ley de datos vigente desde 1999 exigía poco y fiscalizaba menos. Desde el 1 de diciembre de 2026, con la entrada en vigencia de la Ley 21.719, las dos mitades quedarán despiertas al mismo tiempo. Y las áreas de cumplimiento serán de las primeras en sentirlo.

Dos mandatos que parecen tirar en direcciones opuestas

La normativa de prevención de lavado de activos le pide a la empresa que pregunte, que verifique, que conserve y que reporte. La normativa de protección de datos le pide que minimice, que justifique, que limite los plazos de conservación y que resguarde. Vistos con apuro, parecen mandatos enfrentados. Uno empuja a saber más y el otro a guardar menos.

La lectura serena revela otra cosa. La propia Ley 21.719 reconoce que el tratamiento de datos es lícito cuando responde al cumplimiento de una obligación legal. La debida diligencia que exige la UAF no queda en entredicho. Lo que queda en entredicho es la manera descuidada de hacerla.

Porque una cosa es consultar los antecedentes de un cliente para cumplir la ley, y otra muy distinta es que esa consulta termine en una planilla que circula por correos internos, se respalda en computadores personales y sobrevive durante años sin que nadie recuerde por qué existe. La primera es compliance. La segunda, desde diciembre, es una infracción esperando fiscalizador.

El nuevo vecino del oficial de cumplimiento

La ley introduce una figura que muchas organizaciones chilenas conocerán por primera vez. El delegado de protección de datos, encargado de velar por el tratamiento correcto de la información personal dentro de la empresa. Su parentesco con el oficial de cumplimiento es evidente. Ambos custodian riesgos que no se ven en el balance, ambos responden ante autoridades con poder sancionatorio y ambos necesitan que la organización entera colabore para que su trabajo tenga sentido.

En las empresas que ya cuentan con un modelo de prevención de delitos, la tentación será sumar la protección de datos como un anexo más del mismo manual. Conviene resistirla. Son disciplinas hermanas pero no gemelas. La prevención de lavado mira hacia afuera, hacia el riesgo que el cliente puede traer. La protección de datos mira hacia adentro, hacia el riesgo que la propia empresa genera al custodiar vidas ajenas en sus servidores.

Lo sensato es que ambos guardianes conversen. Que el inventario de datos personales incluya los que se recolectan por exigencia de la UAF. Que los plazos de conservación de los expedientes de debida diligencia tengan un fundamento escrito. Que los proveedores tecnológicos que participan del proceso firmen contratos donde el tratamiento de datos quede regulado con claridad.

Preguntas que toda área de compliance debiera hacerse hoy

Quien dirija un área de cumplimiento puede medir su preparación con un puñado de preguntas honestas. Sabemos exactamente qué datos personales recolectamos en nuestros procesos de conocimiento del cliente. Sabemos dónde se almacenan y quién puede verlos. Podemos explicar por qué conservamos cada expediente y hasta cuándo. Nuestros sistemas registran quién consultó qué información y en qué momento. Si mañana un titular ejerce su derecho de acceso, podemos responderle sin improvisar.

Si alguna respuesta tambalea, ahí está el trabajo de los próximos meses.

Hay además una buena noticia escondida en este desafío. Las organizaciones que hacen bien su debida diligencia ya poseen los músculos que la nueva ley exige. Saben documentar, saben trazar, saben rendir cuentas ante un regulador. Extender esa disciplina al tratamiento de datos es menos un salto que un paso.

En Neitcom diseñamos nuestras soluciones sabiendo que la información de las personas merece el mismo rigor que la norma que obliga a consultarla. Nuestros sistemas registran cada consulta y generan la trazabilidad que tanto la UAF como la nueva Agencia de Protección de Datos esperan encontrar. Si quiere profundizar en las obligaciones de conocimiento del cliente, le recomendamos nuestra guía sobre debida diligencia, y si prefiere conversar sobre su caso particular, escríbanos.