Impacto de la Ley de protección de datos personales N°21.719 en las instituciones financieras y propuesta de un plan de acción para su cumplimiento

Abstract

La presente investigación examina el impacto de la Ley N°21.719 sobre Protección de Datos Personales en las instituciones financieras chilenas y desarrolla una propuesta de plan de acción orientada a garantizar su cumplimiento efectivo. Esta normativa, promulgada en 2024 y cuya entrada en vigor está prevista para diciembre de 2026, representa una modernización sustantiva del marco regulatorio nacional, alineándolo con estándares internacionales como el Reglamento General de Protección de Datos (GDPR) europeo, en respuesta a la creciente digitalización y a los riesgos asociados a la gestión de información sensible. El sector financiero chileno, por su naturaleza intensiva en datos personales, se configura como uno de los ámbitos más impactados por la nueva ley. La normativa introduce principios rectores tales como licitud, transparencia, seguridad y responsabilidad proactiva; amplía los derechos de los titulares e impone obligaciones específicas, entre ellas la designación de un Delegado de Protección de Datos (DPO), la realización de Evaluaciones de Impacto en la Privacidad (DPIA), la notificación de brechas de seguridad y la implementación de medidas técnicas y organizativas robustas. Asimismo, establece un régimen sancionatorio severo, con multas que pueden alcanzar hasta 20.000 UTM, lo que genera riesgos económicos y reputacionales significativos para las instituciones. La metodología empleada combina análisis cualitativo, benchmarking normativo respecto del GDPR y evaluación costo–beneficio, evidenciando que la adopción proactiva de medidas de cumplimiento resulta más eficiente que asumir sanciones o daños reputacionales. El estudio concluye que la protección de datos debe integrarse como un eje estratégico dentro de la gobernanza corporativa, superando enfoques reactivos y consolidando una cultura organizacional orientada a la privacidad. La propuesta de plan de acción contempla medidas en materia de gobernanza, procesos internos, infraestructura tecnológica, capacitación y gestión de incidentes, asegurando un enfoque integral y sostenible. El análisis económico demuestra que(...).

This research examines the impact of Chilean Law N°21.719 on Personal Data Protection within financial institutions and proposes a strategic action plan to ensure effective compliance. Enacted in 2024 and scheduled to take effect in December 2026, this regulation modernizes the national legal framework, aligning it with international standards such as the European General Data Protection Regulation (GDPR), in response to growing digitalization and cybersecurity risks. The financial sector, due to its intensive use of sensitive data, is among the most affected by this law. The regulation introduces key principles such as lawfulness, transparency, security, and proactive accountability, expands data subject rights, and imposes obligations including the appointment of a Data Protection Officer (DPO), Privacy Impact Assessments (DPIA), breach notifications, and robust technical and organizational measures. It also establishes a strict sanctioning regime, with fines up to 20,000 UTM, creating significant economic and reputational risks. The methodology combines qualitative analysis, regulatory benchmarking against GDPR, and cost–benefit evaluation, demonstrating that proactive compliance is more efficient than facing penalties or reputational damage. The proposed action plan addresses governance, internal processes, technological infrastructure, training, and incident management, ensuring a comprehensive and sustainable approach. Economic analysis shows that(...).