El 1 de diciembre de 2026 no es solo una fecha en el calendario. Es un punto de inflexión para Chile en materia de protección de datos personales. Y conviene decirlo sin dramatismo: esta ley no viene a “prohibir los datos”. Viene a ordenar. A exigir criterio. Y, sobre todo, a hacer exigible algo que hoy muchas organizaciones declaran… pero pocas pueden demostrar.
En buen chileno: pasamos de la buena intención a la rendición de cuentas.
Como suele ocurrir con reformas relevantes, aparecen mitos. Algunos por desconocimiento. Otros por ansiedad. Y varios porque todavía miramos la privacidad como un costo, cuando bien hecha puede ser un activo de confianza. Para aterrizar la conversación, revisamos seis ideas que se repiten con frecuencia y también explicamos por qué no se sostienen. Para este ejercicio, se usará como termómetro la Encuesta de Protección de Datos Personales 2025, que elaboramos en conjunto con Fundación Generación Empresarial.
Autores:
David Ballestero
Director
Consultoría y Asesoría Empresarial
PwC Chile
david.ballestero@pwc.com
Jonatan Isarael
Gerente
Asesoría Legal y Tributaria
PwC Chile
jonatan.israel@pwc.com
“No podremos tratar datos personales”: falso
La ley no elimina ni restringe en demasía el tratamiento de datos personales. Es todo lo contrario, reconoce que tratar datos personales es una actividad legítima y necesaria. El giro está en el “cómo”: finalidad clara, proporcionalidad, transparencia, y responsabilidad demostrable.
Aun así, el ánimo del mercado muestra otra cosa. La encuesta señala que un 16% identifica las multas como su principal preocupación. Es comprensible. Pero también es una pista: la conversación se está dando desde el temor a la sanción, más que desde la construcción de una gestión seria del dato.
Privacidad no es “no tocar datos”. Es saber por qué los tratas, para qué, por cuánto tiempo, con qué controles y con qué evidencia.
“Necesitaremos consentimiento para todo”: falso
El consentimiento importa. Mucho. Pero no es la única base de licitud que considera la Ley. La regulación contempla otros fundamentos, como contratos, obligación legal o intereses legítimos, cuando corresponda y se documente.
La encuesta muestra que un 43% ve como principal riesgo ético el uso de datos sin un consentimiento “adecuado”. Ese dato revela una confusión común: no todo tratamiento exige consentimiento, pero todo tratamiento exige una base jurídica clara y una fundamentación adecuada.
El problema no es solo “falta de consentimiento”. A veces es más simple —y más grave—: falta de criterio y falta de trazabilidad.
“Todos los datos personales son iguales”: falso
No lo son. Y tratar todo como si fuera igual suele terminar en dos errores clásicos: o se sobreprotege lo irrelevante, o se desprotege lo crítico.
La futura normativa distingue tipos de datos y eleva el estándar cuando se trata de datos sensibles u otras categorías que exigen cuidados reforzados. Esto no es teoría. Se traduce en controles, accesos, seguridad y decisiones concretas.
No por nada, un 20% identifica el acceso no autorizado a información sensible como una preocupación principal. Esa cifra suele aparecer donde faltan tres cosas muy prácticas: clasificación, control de accesos y medidas proporcionales al riesgo real.
“Esto es un tema de abogados o compliance”: falso
Si la protección de datos se queda en el área legal, fracasa. Porque los datos se mueven en operaciones, tecnología, marketing, recursos humanos, atención de clientes. En la práctica diaria. En los sistemas. En los formularios. En los correos. En las integraciones.
La encuesta lo confirma: un 72% considera prioritario fortalecer la capacitación y cultura interna. Y es lógico: la ley empuja un enfoque de privacidad desde el diseño y por defecto. Es decir, no al final del proyecto, cuando ya es caro arreglar. Al inicio, cuando todavía se puede decidir bien y tomar las medidas de resguardo que correspondan.
La privacidad no es un “apéndice” del negocio. Es una condición para que el negocio sea confiable.
“Tenemos un equipo ciberseguridad, es suficiente”: falso
Si bien proteger los datos personales de accesos indebidos, eventos de phishing o filtraciones masivas es una parte muy relevante de la privacidad, no es la única ni mucho menos.
Asegurar un correcto tratamiento de los datos personales al interior de las compañías, velar por los derechos de los titulares, evaluar de manera correcta la proporcionalidad y uso de estos en diferentes actividades de la compañía también son tareas esenciales a la hora de cumplir con lo indicado por la ley.
A veces, nos perdemos en aspectos tecnológicos difíciles de entender fuera de círculos expertos (data discovery, funciones hash, APIs, gestores de consentimiento, encriptaciones, bases de datos, etc.) y nos alejamos de la razón principal de todas estas herramientas, velar por la privacidad en el uso de datos personales de todos nosotros.
La tecnología es una herramienta, super potente, que debe ser considerada con mesura, estrategia y coherencia. Su función es servir como un habilitador para cumplir con las directrices y mandatos de la protección de datos, no ser usada por el simple hecho de usar tecnología.
“Falta mucho para el 1 de diciembre; nos sobra tiempo”: falso
Aquí las cifras son bien elocuentes. Solo un 13% de los encuestados se considera muy preparado. Un 54% se declara medianamente preparado. Y un 33% reconoce estar poco preparado.
Con ese nivel de preparación, el plazo deja de ser cómodo. Porque adecuarse no es escribir una política bonita. Es meter las manos a la tierra y comenzar a trabajar. Es hacer inventario de datos. Definir bases de licitud. Ajustar contratos y proveedores. Implementar medidas de seguridad. Diseñar respuestas a derechos. Y sostener todo eso con evidencia y procesos bien documentados.
Lo que cuesta no es “cumplir”. Lo que cuesta es improvisar tarde.
Conclusión
La nueva Ley de Protección de Datos Personales no debería leerse como un protocolo de sanciones y lo primero que debemos hacer entonces es desmitificarla.
Aquí hay una invitación —exigente, es verdad— a profesionalizar nuestra relación con los datos personales y hacer de la privacidad una parte integral de nuestros negocios. Y eso, en un mundo digital, es una ventaja competitiva.
El paso siguiente es más difícil, pero más valioso: hacer frente a los mitos y asesorarse bien. Eso sí, antes de que el calendario nos obligue a correr cuando ya no quede margen.
Contáctenos
