Multas y Sanciones de la Ley 21.719: Lo que Debes Saber para Evitarlas

Introducción: El Costo Oculto de la Desinformación

En el dinámico panorama digital actual, la protección de datos personales ha dejado de ser una opción para convertirse en una obligación legal ineludible. En Chile, la promulgación de la Ley 21.719 ha marcado un antes y un después, estableciendo un marco robusto para el tratamiento de la información personal. Sin embargo, más allá de los beneficios de una mayor privacidad para los ciudadanos, esta ley conlleva un componente crítico para las empresas: las multas y sanciones por incumplimiento.

Ignorar o subestimar las implicaciones de la Ley 21.719 no solo pone en riesgo la reputación de tu empresa, sino que también puede traducirse en pérdidas económicas significativas. En este blog post, desglosaremos los tipos de multas que contempla la ley, analizaremos casos reales de incumplimiento en el ámbito internacional que sirven de advertencia, y te proporcionaremos consejos prácticos para que tu empresa pueda evitar estas costosas consecuencias. Prepárate para entender el verdadero impacto de la Ley 21.719 y cómo Alayia Trust puede ser tu aliado para navegar este complejo escenario.

Tipos de Multas y Sanciones en la Ley 21.719

La Ley 21.719 establece un sistema de infracciones y sanciones diseñado para asegurar el cumplimiento efectivo de la normativa. Las multas no son arbitrarias; su monto se determina considerando la gravedad de la infracción, la naturaleza de los datos afectados, el número de personas perjudicadas, la intencionalidad del infractor y la reincidencia, entre otros criterios [1].

La ley clasifica las infracciones en tres categorías principales, cada una con un rango de multas asociado:

• Infracciones Leves: Pueden ser sancionadas con una amonestación escrita o una multa de hasta 5.000 UTM (Unidades Tributarias Mensuales) [2]. Estas infracciones suelen estar relacionadas con incumplimientos formales o de menor impacto en la privacidad de los datos.
• Infracciones Graves: Las multas pueden ascender hasta 10.000 UTM [2]. Aquí se incluyen incumplimientos que afectan de manera más significativa los derechos de los titulares de datos o la seguridad de la información, como el tratamiento de datos sin una base legal adecuada o la falta de respuesta a solicitudes de derechos ARCO en los plazos establecidos.
• Infracciones Gravísimas: Son las más severas y pueden acarrear multas de hasta 20.000 UTM[3]. En casos de reincidencia, las multas pueden triplicarse, llegando hasta 60.000 UTM [4]. Estas infracciones implican un daño considerable a los derechos de los titulares, violaciones masivas de datos, o la obstrucción a la labor de fiscalización de la futura Agencia de Protección de Datos Personales.

Para poner estas cifras en perspectiva, 60.000 UTM equivalen a varios millones de dólares, lo que subraya la seriedad con la que el legislador chileno ha abordado la protección de datos. Además de las multas económicas, el incumplimiento puede acarrear otras consecuencias graves:

• Daño Reputacional: Una violación de datos o una sanción pública puede destruir la confianza de los clientes y dañar la imagen de marca de forma irreparable, afectando la lealtad y la adquisición de nuevos clientes.
• Pérdida de Confianza y Clientes: Los consumidores son cada vez más conscientes de la importancia de su privacidad. Un incidente de seguridad o un mal manejo de datos puede llevar a la fuga de clientes y a la dificultad para atraer nuevos.
• Acciones Legales: Los individuos afectados por un incumplimiento pueden iniciar acciones legales para reclamar indemnizaciones por daños y perjuicios, lo que suma costos legales y compensaciones.
• Suspensión de Actividades: En casos extremos de infracciones muy graves y reiteradas, la Agencia de Protección de Datos Personales podría ordenar la suspensión temporal o definitiva de las actividades de tratamiento de datos, lo que paralizaría el negocio.

Es crucial entender que la Ley 21.719 no solo busca sancionar, sino también prevenir. Por ello, la inversión en cumplimiento es una medida proactiva que protege a la empresa de estos riesgos financieros y reputacionales.

Casos Reales de Incumplimiento: Lecciones del Mundo

Para comprender la magnitud de las sanciones y el impacto del incumplimiento, es útil observar casos reales en países que ya han implementado normativas de protección de datos similares al GDPR, que ha servido de inspiración para la Ley 21.719. Estos ejemplos demuestran que las autoridades están dispuestas a imponer multas sustanciales a las empresas que no cumplen con la normativa, sin importar su tamaño o reconocimiento de marca.

Google (Francia): Falta de Transparencia y Consentimiento

En 2019, la CNIL (autoridad francesa de protección de datos) multó a Google con 50 millones de euros por falta de transparencia, información inadecuada y ausencia de consentimiento válido para la personalización de anuncios [5]. La infracción se relacionó con la forma en que Google informaba a los usuarios sobre el uso de sus datos y la dificultad para configurar las opciones de privacidad. Este caso subraya la importancia del consentimiento explícito y la claridad en las políticas de privacidad.

British Airways (Reino Unido): Brecha de Seguridad por Falta de Medidas

En 2019, la ICO (autoridad británica) propuso una multa de 183 millones de libras esterlinas(aproximadamente 204 millones de euros) a British Airways por una brecha de datos que afectó a medio millón de clientes [6]. La infracción se debió a la falta de medidas de seguridad adecuadas que permitieron a los atacantes redirigir el tráfico del sitio web a un sitio fraudulento y robar datos de pago. Aunque la multa final fue reducida, el caso destacó la seriedad con la que se toman las brechas de seguridad y la necesidad de proteger la infraestructura de TI.

H&M (Alemania): Monitoreo Ilegal de Empleados

En 2020, la autoridad de Hamburgo multó a H&M con 35,3 millones de euros por recopilar y almacenar ilegalmente datos personales de sus empleados, incluyendo detalles sobre sus vidas privadas, enfermedades y creencias religiosas [7]. La empresa utilizó esta información para evaluar el rendimiento y tomar decisiones laborales, lo que constituyó una grave violación de la privacidad. Este caso resalta la importancia de la protección de datos de los empleados y la limitación en la recopilación de información sensible.

Amazon (Luxemburgo): Récord por Publicidad Dirigida

En 2021, la autoridad de Luxemburgo impuso una multa récord de 746 millones de euros a Amazon por no cumplir con los principios de tratamiento de datos del GDPR, específicamente en relación con la forma en que procesaba los datos personales para la publicidad dirigida [8]. Este caso subraya que incluso las grandes corporaciones no están exentas de las sanciones más elevadas y la necesidad de un cumplimiento riguroso en el uso de datos para fines comerciales.

Samsung Electronics (Ejemplo de Cumplimiento y Confianza)

Si bien no se trata de un caso de multa, es relevante mencionar a empresas como Samsung Electronics que, en contraste, han fortalecido la confianza digital a través de la implementación de soluciones de gestión de consentimiento, como se menciona en la propia página de Alayia Trust. Esto demuestra que la inversión en herramientas y procesos adecuados no solo evita sanciones, sino que también genera una ventaja competitiva al construir una relación de confianza con los usuarios. La cita de Leanne White, Responsable de Privacidad de Datos de Samsung Electronics, en la web de Alayia Trust, lo resume: “La mayor diferencia desde que trabajamos con OneTrust es que ahora le damos más control a los usuarios. Ellos deciden cómo se gestionan sus datos y eso genera confianza.”

Estos ejemplos internacionales son un claro recordatorio de que la protección de datos es una prioridad global y que las empresas deben tomar en serio sus obligaciones. La Ley 21.719 en Chile, al estar alineada con estos estándares, probablemente seguirá una tendencia similar, haciendo que el cumplimiento no sea solo una obligación, sino una inversión esencial para la continuidad y el éxito del negocio.

Tips Preventivos: Cómo Evitar Multas y Asegurar el Cumplimiento

Evitar las multas y sanciones de la Ley 21.719 no es una tarea imposible, pero requiere un compromiso proactivo y una estrategia bien definida. Aquí te presentamos consejos clave para que tu empresa pueda asegurar el cumplimiento y protegerse de riesgos:

1. Realiza un Diagnóstico Exhaustivo: Antes de cualquier acción, es fundamental saber dónde te encuentras. Identifica qué datos personales manejas, dónde se almacenan, cómo se procesan y quién tiene acceso a ellos. Un mapeo completo de tus flujos de datos te permitirá identificar brechas y áreas de mejora.
2. Obtén Consentimientos Válidos: Revisa todos tus puntos de recolección de datos (formularios web, contratos, aplicaciones) para asegurar que el consentimiento sea libre, específico, informado e inequívoco. Elimina cualquier consentimiento tácito y asegúrate de que los usuarios puedan retirar su consentimiento fácilmente.
3. Implementa Medidas de Seguridad Robustas: La ley exige medidas técnicas y organizativas adecuadas para proteger los datos. Esto incluye cifrado, firewalls, control de acceso, copias de seguridad, y la capacitación constante de tu personal en ciberseguridad y protección de datos. La seguridad de la información es un pilar fundamental del cumplimiento.
4. Establece Políticas y Procedimientos Claros: Documenta tus políticas de privacidad, procedimientos para el manejo de datos, gestión de solicitudes de derechos ARCO y planes de respuesta a incidentes de seguridad. Asegúrate de que todo el personal conozca y aplique estas políticas.
5. Designa un Responsable de Protección de Datos (DPO): Aunque no sea obligatorio para todas las empresas, contar con un DPO (interno o externo) es una excelente práctica. Este experto te ayudará a supervisar el cumplimiento, asesorar sobre las obligaciones legales y actuar como enlace con la futura Agencia de Protección de Datos Personales.
6. Gestiona los Derechos de los Titulares de Datos: Implementa procesos eficientes para atender las solicitudes de acceso, rectificación, cancelación, oposición y portabilidad de los datos. La agilidad y transparencia en este proceso son clave para evitar quejas y posibles sanciones.
7. Capacita a tu Personal: El error humano es una de las principales causas de las brechas de seguridad. Invierte en la formación continua de tus empleados sobre la importancia de la protección de datos, las políticas internas y cómo manejar la información personal de forma segura.
8. Utiliza Tecnología Especializada: Plataformas de gestión de privacidad como OneTrust automatizan gran parte del proceso de cumplimiento, desde el mapeo de datos y la gestión de consentimientos hasta la respuesta a solicitudes de derechos y la evaluación de riesgos. Estas herramientas son esenciales para empresas que manejan grandes volúmenes de datos.
9. Realiza Auditorías Periódicas: El cumplimiento no es un destino, sino un viaje continuo. Realiza auditorías internas y externas de forma regular para verificar la efectividad de tus medidas de protección de datos y realizar los ajustes necesarios.
10. Mantente Actualizado: La normativa de protección de datos puede evolucionar. Mantente informado sobre cualquier cambio en la Ley 21.719 y las directrices de la Agencia de Protección de Datos Personales.

Al adoptar estas medidas preventivas, tu empresa no solo evitará las costosas multas y sanciones, sino que también construirá una base sólida de confianza con tus clientes, lo que se traducirá en una ventaja competitiva en el mercado.

Conclusión: La Prevención es la Mejor Inversión

La Ley 21.719 es un llamado a la acción para todas las empresas en Chile. Las multas y sanciones por incumplimiento son una realidad ineludible, y los casos internacionales demuestran que las autoridades están decididas a hacer cumplir la normativa. Sin embargo, más allá del temor a las penalizaciones, esta ley representa una oportunidad invaluable para fortalecer la relación con tus clientes, construir una reputación sólida y asegurar la sostenibilidad de tu negocio en un entorno digital cada vez más exigente.

La prevención es, sin duda, la mejor inversión. Al adoptar un enfoque proactivo en la protección de datos, implementar las medidas de seguridad adecuadas y contar con el asesoramiento experto, tu empresa no solo evitará riesgos financieros y legales, sino que también se posicionará como un referente en confianza y transparencia.

¿Estás listo para proteger tu empresa de las multas y asegurar un cumplimiento robusto de la Ley 21.719?

No esperes a que sea demasiado tarde. En AlayIATrust, somos especialistas en la Ley 21.719 y te ofrecemos soluciones integrales, desde diagnósticos de brechas hasta la implementación de tecnologías líderes como OneTrust. Nuestro equipo de expertos te guiará paso a paso para que tu empresa cumpla con la normativa de forma eficiente y segura.

¡Contactanos hoy mismo y transforma el cumplimiento en una ventaja competitiva!

Haz clic aquí para agendar una reunión

Referencias

[1] Biblioteca del Congreso Nacional de Chile. Ley 21.719. Disponible en: https://www.bcn.cl/leychile/navegar?idNorma=1209272

[5] CNIL. Google fined 50 million euros by CNIL. Disponible en: https://www.cnil.fr/en/google-fined-50-million-euros-cnil

[6] Information Commissioner’s Office. ICO statement: British Airways. Disponible en: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-statement-british-airways/

[7] DataGuidance. Germany: Hamburg DPA fines H&M €35.3 million for employee data protection violations. Disponible en: https://www.dataguidance.com/news/germany-hamburg-dpa-fines-hm-%E2%82%AC353-million-employee-data-protection-violations

[8] Secureframe. Multas y Sanciones del RGPD. Disponible en: https://secureframe.com/es-es/hub/gdpr/fines-and-penalties