Marco de Trabajo para Privacidad de Datos Personales

A partir de diciembre de 2026, el ecosistema empresarial en Chile enfrenta un cambio de paradigma definitivo con la plena vigencia de la Ley 21.719. Sin embargo, el desafío para las organizaciones no es solo legal; es, fundamentalmente, un reto de arquitectura operativa.

El Problema: El Costo de la Parálisis Normativa

Históricamente, muchas organizaciones han gestionado la privacidad como un "check-list" de cumplimiento legal o un silo técnico en el área de TI. Bajo el nuevo marco regulatorio, este enfoque es insuficiente y peligroso. La ley introduce el concepto de Responsabilidad Proactiva (Accountability), lo que significa que ya no basta con cumplir, sino que se debe demostrar el cumplimiento a través de evidencia.

Las empresas hoy se enfrentan a tres obstáculos críticos:

1. Silos Organizacionales: Cada línea de negocio opera los sistemas que soportan sus procesos del día a día, manteniendo su propia versión de los datos personales. No hay claridad de cual es el dato original y cuales son copias, ni la forma como se sincronizan entre si.

2. Modelos Jerárquicos Rígidos: Las estructuras tradicionales no están preparadas ni poseen la agilidad necesaria para responder todos los nuevos requerimientos que impone la Ley, como la atención de incidentes o solicitudes de derechos ARCO-P .

3. La Brecha de Ejecución: Existe un abismo entre "lo que dice la ley" y "lo que el analista de procesos hace en su escritorio". Sin un modelo operativo claro, la ley se convierte en un costo administrativo en lugar de un estándar de calidad.

Convertir el Marco en Movimiento

Como se sabe, la gobernanza de datos no se soluciona con más burocracia, sino con un diseño inteligente. La clave en este caso está en la capacidad de traducir requerimientos normativos en un marco de trabajo accionable. Quienes tengan la experiencia de haber adoptado prácticas de DAMA DMBoK correrán con ventaja en este punto.

Para elaborar un Marco de Trabajo de Privacidad de Datos Personales que sea realmente accionable se requieren años de experiencia en la gestión de datos, ya que no se trata solo de diseñar un diagrama; debe ser un mapa de navegación para la transformación.

Anatomía de un Modelo Operativo Resiliente

El Marco de Trabajo debe incluir a todos los componentes del Modelo Operativo requerido y la relaciones entre ellos. Debe facilitar la identificación de funciones y roles, que guien la distribución de responsabilidades en la organización. Finalmente, debe dar forma a la estructura que garantice alineamiento entre la estratégica y las iniciativas que la implementan. Para ello, el diagrama agrupa actividades en tres niveles:

1. Gobernanza y Supervisión (El Cerebro)

El cumplimiento nace en la Alta Gerencia (CEO/Directorio). Sin presupuesto ni visión estratégica, cualquier esfuerzo es estéril. Aquí, la Gestión de Riesgo y Cumplimiento (CRO) juega un rol clave estableciendo los criterios de riesgo institucional, mientras el DPO (Delegado de Protección de Datos) actúa como el pivote central, conectando la estrategia con la supervisión de riesgos y la relación con la autoridad.

2. Programa de Transformación (El Motor)

La transición a la Ley 21.719 no ocurre por inercia ni de un día para otro. Será necesario conducir numerosas iniciativas de naturaleza heterogénea y con diferentes contrapartes para resolver todas las brechas de capacidad requeridas para el Cumplimiento Normativo. Un Programa de Transformación permite gestionar esas múltiples iniciativas como proyectos interconectados (legales, tecnológicos y culturales) y bajo una misma gobernanza. Es el puente que asegura que las políticas no se queden en papel.

3. Matriz de Especialidades y Líneas de Negocio (La Ejecución)

Aquí es donde ocurre la magia técnica bajo la forma de una estructura matricial, en donde la operación se divide en roles especializados, que permean hacia todas las líneas de negocio (L1 a L4):

• Gestión de Datos (CDO): Para que el dato sea privado, primero debe estar catalogado como Golden Record y ser de calidad.

• Sistemas TI (CSO): Registros Maestros en Core/ERP/CRM, Sistemas para privacidad ARCO/Licitud/Audit Log, Sistemas ETL/DWH/BI, SDLC (ciclo de vida del software).

• Seguridad (CISO): Cifrado y anonimización como estándares "por diseño".

• Personas (CPO) y Proveedores (CVO): Asegurando que el factor humano y los terceros cumplan con los mismos estándares de confidencialidad y due diligence.

¿A quién confiar su estrategia de Cumplimiento Normativo?

En un mercado saturado de promesas tecnológicas, mantenerse agnósticos a marcas y productos podría considerarse el requisito base para una colaboración. La única lealtad relevante es con el dato y con el negocio.

Por el contrario, una opción mas valiosa es el acompañamiento de un Asesor Legal, ya que la privacidad viene en este caso, desde un requerimiento legal. No obstante, entender la Ley no es suficiente para traducir un Cuerpo Normativo en un Marco de Trabajo accionable.

Y luego estamos los Expertos en Procesos de Datos, los CDMP, que hemos recorrido la adopción de los contenidos de DAMA DMBoK, el Marco de Procesos de Gestión de Datos por excelencia, transversal a industrias y agnóstico soluciones de tecnología, y que encontramos en la Privacidad de Datos un desafío que, de alguna forma, resulta familiar. Habilitados para orquestar a otros, extendiendo un puente efectivo desde la interpretación legal hasta la operación del negocio, integrando a todos quedan entremedio.

¿Que sigue?

Este marco de trabajo es solo el inicio. Le siguen otros artefactos tales como Mapas de Arquitectura, Cuestionarios de Madurez, Estrategias Lean Privacy y una lista larga de recursos, para el despliegue de un nuevo Modelo Operativo que integra la Gobernanza y la Privacidad en el ADN de su organización, alineando cada proceso con los contenidos de DAMA y los Marcos Normativos vigentes.

Todo lo anterior forma parte del Programa de Privacidad de Datos, que entrega desde Inventarios de Activos hasta Modelos de Prevención de Infracciones, todos accionables, permitiendo que su organización se enfoque en innovar mientras otros se aseguran de su integridad normativa.