La Ley N°21.719, que entrará en vigencia el 1° de diciembre de 2026, marca un antes y un después en la regulación del tratamiento de datos personales en Chile. Aunque la discusión pública se ha centrado en las grandes empresas tecnológicas y en la creación de una Agencia de Protección de Datos, el verdadero desafío —y probablemente el más complejo— recae en las pequeñas y medianas empresas.
Son ellas, en definitiva, las que sostienen la mayor parte del empleo en el país.
Las pymes administran diariamente información altamente sensible: antecedentes médicos, licencias, remuneraciones, cargas familiares, datos bancarios, evaluaciones de desempeño y, en muchos casos, sistemas biométricos de control de asistencia. Bajo el nuevo estándar legal, cada uno de esos tratamientos debe contar con una base de licitud clara y documentada, ajustarse a principios estrictos de finalidad y proporcionalidad, y poder ser acreditado ante una eventual fiscalización.
Aquí emerge el primer problema estructural: la cultura de cumplimiento en materia de datos personales ha sido históricamente baja. En muchas empresas, los contratos laborales incluyen cláusulas genéricas de autorización; los sistemas de control operan sin evaluación formal de impacto; los archivos históricos se conservan indefinidamente; y los accesos a información sensible no están debidamente segmentados.
La nueva ley cambia radicalmente ese escenario.
El consentimiento ya no es una solución universal. Debe ser libre, específico, informado y verificable, y puede revocarse en cualquier momento. En el contexto laboral, además, existe una presunción de que no es libre cuando no es estrictamente necesario para la ejecución del contrato. Si no hay consentimiento válido, el tratamiento sólo será legítimo cuando exista una obligación legal, una necesidad contractual o un interés legítimo debidamente ponderado.
En la práctica, esto obliga a las pymes a revisar contratos, reglamentos internos, políticas de privacidad y relaciones con proveedores tecnológicos. Obliga también a preguntarse algo más profundo: ¿los mecanismos actuales de control resisten un análisis serio de necesidad y proporcionalidad?
La videovigilancia permanente, el monitoreo indiscriminado del correo electrónico o los sistemas automatizados de evaluación pueden transformarse, bajo el nuevo marco normativo, en focos de riesgo jurídico si no están debidamente justificados.
El desafío no es sólo normativo; es organizacional. Implica documentar decisiones, establecer protocolos para el ejercicio de derechos, limitar accesos, definir plazos de conservación y preparar planes de respuesta ante incidentes de seguridad. Para una gran empresa, esto puede significar crear una gerencia especializada. Para una pyme, significa reorganizar recursos escasos.
Sin embargo, el cumplimiento no debe verse únicamente como un costo. Una gestión responsable de los datos personales fortalece la reputación, mejora la cultura organizacional y reduce riesgos laborales y sancionatorios. En un entorno cada vez más digitalizado, la confianza se convierte en un activo estratégico.
La Ley 21.719 no es sólo una reforma técnica. Es un cambio de paradigma. Y para las pequeñas y medianas empresas, el tiempo para prepararse ya comenzó.
