Cada 28 de enero se conmemora el Día Internacional de la Protección de Datos Personales, una fecha que recuerda la apertura a firma del Convenio 108 del Consejo de Europa en 1981 y que, desde entonces, busca reforzar la conciencia global sobre privacidad y tratamiento responsable de la información en la era digital.
En Chile, esta conversación llega en un momento decisivo: el 13 de diciembre de 2024 se publicó la Ley N.° 21.719, que moderniza el régimen de protección de datos personales y crea la Agencia de Protección de Datos Personales. La normativa entra en vigencia plena el 1 de diciembre de 2026, abriendo un período de transición que exige decisiones concretas, especialmente para CIO, CISO y líderes TI que administran plataformas críticas, proveedores, integraciones y grandes volúmenes de datos.
La urgencia no es teórica. En diciembre de 2025 se reportó un incidente de ransomware con exfiltración de datos sensibles en un prestador de salud relevante del país, que motivó requerimientos formales de información por parte de autoridades. Sin exponer casos particulares, este tipo de eventos evidencia un riesgo transversal: la continuidad operacional y la reputación pueden deteriorarse en horas cuando fallan los controles, la trazabilidad o la respuesta coordinada.
Ley de Protección de Datos Personales: qué cambia y por qué afecta a TI y a la continuidad
La Ley N.° 21.719 redefine el estándar para cualquier organización que trate datos personales, con implicancias directas para arquitectura, gobierno de datos, ciberseguridad, contratos con terceros y gestión de incidentes.
En términos ejecutivos, el impacto para TI suele concentrarse en cuatro frentes:
1) Gobernanza y accountability del dato
Las organizaciones deben poder demostrar control sobre el tratamiento: quién decide fines y medios, cómo se autorizan accesos, cómo se documentan procesos y cómo se gestionan terceros. Esto empuja a formalizar responsables, roles y mecanismos internos de supervisión.
2) Derechos de los titulares y operación real
El cumplimiento no es un documento: se mide en la capacidad de responder solicitudes de titulares dentro de procesos reales. Para TI esto se traduce en identificar dónde viven los datos (sistemas, integraciones, respaldos, analítica), cómo se corrigen, suprimen o bloquean, y cómo se deja evidencia verificable.
3) Seguridad y trazabilidad “auditables”
No basta con “tener seguridad”: debe existir evidencia de controles, monitoreo, trazabilidad de actividades, y prácticas consistentes en el ciclo de vida del dato. La trazabilidad se vuelve crítica cuando hay múltiples repositorios, proveedores cloud, servicios administrados y herramientas de soporte.
4) Riesgo regulatorio y costos de fricción
La entrada en vigencia plena en 2026 reduce el margen de reacción. Llegar tarde suele traducirse en costos por remediaciones urgentes, retrasos de proyectos, auditorías complejas, incidentes mal gestionados y pérdida de confianza.
Privacidad y ciberseguridad: el nuevo marco con ANCI y la Ley Marco de Ciberseguridad
La conversación sobre privacidad ocurre, además, con un cambio institucional relevante: la Ley Marco de Ciberseguridad (Ley 21.663) crea la Agencia Nacional de Ciberseguridad (ANCI) y fija obligaciones para instituciones públicas y privadas que prestan servicios esenciales u operan infraestructura crítica. En otras palabras, la ciberseguridad deja de ser solo “buena práctica” y pasa a un régimen con exigencias, supervisión y un marco de cumplimiento que debe administrarse de forma continua.
Para los tomadores de decisión, el punto clave es la convergencia: privacidad, continuidad operacional y ciberresiliencia ya no pueden gestionarse por separado. Los incidentes recientes demuestran que, cuando el cibercrimen compromete datos personales, las consecuencias se multiplican: operación, pacientes o clientes, proveedores, reputación, respuesta regulatoria y costos de recuperación.
Cómo puede apoyar Innova-net: evaluación de cumplimiento y hoja de ruta accionable
En este escenario, Innova-net acompaña a organizaciones públicas y privadas con un servicio de evaluación de cumplimiento normativo y postura de seguridad, orientado a entregar visibilidad ejecutiva y un plan priorizado de mejora.
En términos generales, este tipo de evaluación suele considerar:
- levantamiento de evidencias (entrevistas y revisión documental),
- medición de brechas frente a controles y requisitos,
- una matriz de riesgos para priorizar acciones,
- y entregables ejecutivos para habilitar decisiones (plan de acción por etapas, “quick wins” y líneas de trabajo de mediano plazo).
El objetivo no es “cumplir por cumplir”, sino reducir exposición, evitar fricción en auditorías, y proteger continuidad operacional con controles verificables.
Decisiones que no pueden esperar
El 28 de enero es un recordatorio oportuno: la protección de datos ya es un tema de riesgo operacional y de cumplimiento, no solo legal. Con la Ley N.° 21.719 en marcha hacia su plena vigencia en 2026 y un contexto de ciberamenazas en aumento, las organizaciones que actúen desde hoy ganarán tiempo, evidencia y resiliencia.
Si tu institución necesita ordenar prioridades y definir una hoja de ruta de cumplimiento, Innova-net puede apoyar con una evaluación inicial y un plan de acción ejecutivo, coordinando una reunión técnica de diagnóstico.
Contacto:
valeria.munoz@innova-net.cl
contacto@innova-net.cl
+569 4228 0749
Fuentes (APA 7)
Consejo de Europa. (s. f.). Convention 108 and Protocols. Recuperado el 26 de enero de 2026, de https://www.coe.int/en/web/data-protection/convention108-and-protocol
Council of Europe. (2021). Data Protection Day: 40 years of Convention 108 (Portal). Recuperado el 26 de enero de 2026, de https://www.coe.int/en/web/portal/-/data-protection-day-40-years-of-convention-108
Diario Oficial de la República de Chile. (2025, 17 de junio). Crea Comisión Asesora Ministerial para la implementación de la Ley N° 21.719 (CVE 2660255) [PDF]. https://www.diariooficial.interior.gob.cl/publicaciones/2025/06/17/44176/01/2660255.pdf
Biblioteca del Congreso Nacional de Chile. (2024). Ley N° 21.719: Regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. Recuperado el 26 de enero de 2026, de https://www.bcn.cl/leychile/navegar?i=1209272
Biblioteca del Congreso Nacional de Chile. (2024). Ley N° 21.663: Ley Marco de Ciberseguridad. Recuperado el 26 de enero de 2026, de https://www.bcn.cl/leychile/navegar?i=1202434
Servicio Nacional del Consumidor (SERNAC). (2025, 24 de diciembre). SERNAC oficia a un prestador de salud tras incidente de ciberseguridad: se filtraron 250 GB de información [Comunicado]. https://www.sernac.cl/portal/604/w3-article-87923.html
data.europa.eu. (s. f.). CPDP – Data Protection Day (evento). Recuperado el 26 de enero de 2026, de https://data.europa.eu/en/news-events/events/cpdp-data-protection-day
