Hay una fecha que todo comité de datos de LATAM debería tener marcada: 1 de diciembre de 2026. Ese día entra en plena vigencia la Ley 21.719 de Chile, publicada en diciembre de 2024, que reconstruye por completo el régimen de protección de datos personales chileno. Y no llega sola: llega con una Agencia de Protección de Datos Personales autónoma, con potestad para investigar de oficio, ordenar suspensiones de tratamiento y publicar un Registro Nacional de Sanciones.
El régimen de multas define tres categorías — leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM, del orden de los 1.400 millones de pesos chilenos) — y para reincidentes la sanción puede escalar hasta el 4% de los ingresos anuales. Es el mismo lenguaje del GDPR europeo, hablado por primera vez con acento chileno.
Brasil ya mostró cómo se ve la fiscalización
Si Chile es el futuro inmediato, Brasil es el presente. La LGPD (Lei 13.709/2018) sanciona desde agosto de 2021, y su autoridad —la ANPD— ya aplica la metodología de cálculo de sanciones (Resolução CD/ANPD nº 4/2023). El artículo 52 de la propia ley fija multas de hasta el 2% de la facturación en Brasil, con tope de R$ 50 millones por infracción, más sanciones que duelen tanto o más que el dinero — bloqueo o eliminación de los datos, suspensión de la actividad de tratamiento y publicación de la infracción.
La lección brasileña es clara: la autoridad no fiscaliza intenciones, fiscaliza evidencia. Y la ola no se detiene en dos países — Panamá, Ecuador y Perú han renovado o reglamentado sus marcos en los últimos años. La dirección regional es una sola.
Lo que las leyes piden, en realidad, es gobierno de datos
Léase cualquiera de las dos leyes con ojos de ingeniería y aparece siempre la misma lista:
- ¿Dónde viven los datos personales? — inventario y clasificación de PII en todos los sistemas, no solo en el CRM.
- ¿Quién responde por ellos? — ownership definido: responsables de tratamiento con nombre y rol.
- ¿Por qué los tienes? — base de licitud y finalidad documentadas por conjunto de datos.
- ¿Hasta cuándo? — ciclo de vida: retención y eliminación demostrables (el derecho de supresión no se cumple con un correo, se cumple con un proceso).
- ¿Puedes probarlo? — trazabilidad: saber qué sistema alimentó a cuál, y poder mostrárselo a un fiscalizador.
Esa lista no es un checklist legal: es la definición operativa de un programa de gobierno de datos. Inventario y clasificación son un catálogo con etiquetado de PII. El ownership es un modelo operativo de datos. El ciclo de vida y la trazabilidad son políticas de retención y linaje técnico. Marcos como DAMA-DMBOK y DCAM existen precisamente para estructurar eso — cultura, organización, procesos y tecnología — con método, no con heroísmo de última hora.
Por eso el enfoque de escribir la política y archivarla fracasa ante estas leyes: el documento dice qué debería pasar, pero la autoridad pregunta qué está pasando, dónde, y quién responde. Sin la capa operativa —catálogo, owners, linaje, calidad— la política es un deseo.
Cumplir sin sobre-ingeniería
La buena noticia: el cumplimiento no exige el programa de gobierno más ambicioso del mundo — exige el cimiento bien puesto. Es la misma fundación que después paga en analítica confiable, optimización de costos y una IA que no alucina sobre datos huérfanos. Data First también es la estrategia de cumplimiento: primero saber qué datos tienes, de quién son y por qué existen; después, todo lo demás.
El error más caro es el orden inverso: correr en noviembre de 2026 a comprar una herramienta "de compliance" sin haber resuelto ownership ni inventario. La herramienta sin programa produce evidencia vacía.
¿Dónde está tu organización hoy? Una evaluación de madurez de datos de minutos te da el punto de partida honesto — qué tienes gobernado, qué está huérfano y qué te pediría un fiscalizador mañana.
Fuentes: Ley 21.719 — Biblioteca del Congreso Nacional de Chile · Lei 13.709/2018 (LGPD) — Planalto
