En diciembre se cumple el plazo de 24 meses para la plena entrada en vigencia de la legislación que se alinea con el estándar europeo. “La inacción ya no es una opción”, dice Cristián Maulén, directos de Estrategia de CustomerTrigger.

“Estos 9 meses que restan no deben verse como una pausa, sino como una fase crítica de adecuación”, advierte Cristián Maulén, director de Estrategia y socio de CustomerTrigger, respecto de la cuenta regresiva de 24 meses para la plena entrada en vigencia de la Ley N° 21.719, publicada en diciembre de 2024, que alineó la legislación chilena con estándares internacionales como el GDPR.

Un segundo hito clave de este año es la creación de la Agencia de Protección de Datos Personales, una corporación autónoma con facultades fiscalizadoras y sancionatorias reales. “Ya no estamos ante una ley ‘de papel’; ahora existe una autoridad que fiscalizará, interpretará la normativa y aplicará multas o incluso porcentajes de los ingresos anuales en casos de reincidencia para grandes empresas”, añade Maulén.

Finalmente, el especialista destaca como hito la redefinición del consentimiento, que ahora debe ser expreso, libre, informado y específico, eliminando prácticas obsoletas como las casillas pre-marcadas o el consentimiento tácito.

¿Cuáles son las interrogantes que persisten hoy en las empresas con respecto al cumplimiento de las exigencias de esta ley?

La mayor interrogante radica en la brecha entre la intención estratégica y la capacidad técnica. Nuestro estudio Data Driven Index 2025 revela que, aunque el 84,6% de las organizaciones considera los datos como «críticos» o «importantes», existe un preocupante 69,8% de líderes que declara desconocer los detalles de la nueva Ley de Datos.

Las dudas más recurrentes giran en torno a la operativización de los derechos ARCOP (Acceso, Rectificación, Cancelación, Oposición y Portabilidad). Muchas empresas se preguntan: ¿Es mi infraestructura tecnológica capaz de eliminar o portar datos de un cliente específico en todos mis sistemas de forma simultánea? También persiste incertidumbre sobre cómo gestionar el consentimiento retrospectivamente en bases de datos históricas y cómo equilibrar el uso de datos para modelos predictivos e IA sin infringir los principios de finalidad y proporcionalidad.

A estas alturas, ¿qué deberían estar haciendo las empresas para cumplir con la ley?

La inacción ya no es una opción; el reloj corre. Lo primero es salir del estado de vulnerabilidad: un 19% de las empresas declara no haber hecho «nada» en materia de protección de datos. Las empresas deben estar ejecutando hoy un diagnóstico y auditoría de alto impacto para identificar brechas tecnológicas y legales.

Deberían estar implementando un mapa de datos hiper preciso que trace el flujo de información desde la captura hasta la eliminación. Es crucial establecer un Gobierno de Datos formal, definiendo roles claros y responsables, ya que actualmente solo el 45,9% de las organizaciones cuenta con un CDO o rol similar.

Además, deben estar revisando sus mecanismos de captura de datos (formularios, cookies) para asegurar que el consentimiento sea granular y no condicionado. No basta con actualizar los «términos y condiciones»; se requiere capacidad demostrable para gestionar preferencias (Centros de Preferencias) y responder a incidentes de seguridad.

Desde el punto de vista del marketing, ¿qué riesgos concretos enfrentan las empresas que no cumplan adecuadamente con la normativa -más allá de las sanciones económicas- en términos de reputación, confianza y relación con los consumidores?

El riesgo reputacional es hoy más letal que la sanción económica. La nueva ley obliga a reportar las vulneraciones de seguridad a la Agencia y, en casos graves, a los propios afectados. Imaginen el impacto en la confianza si una marca debe comunicar públicamente que perdió los datos sensibles de sus clientes. Eso erosiona el valor de la marca de forma irreversible.

Desde el marketing, el incumplimiento genera una «pérdida de valor por Opt-out». Cuando el cliente percibe que no tiene control o que se abusa de sus datos con comunicaciones irrelevantes, se desuscribe. Hemos calculado que el valor erosionado por estas bajas puede superar el valor incremental de una campaña.

Una empresa que no cumple es vista como invasiva. Si el 92% de los usuarios se da de baja por exceso de mensajes o comunicaciones no solicitadas, el incumplimiento normativo se traduce directamente en una pérdida de mercado y en la imposibilidad de construir un Valor de Vida del Cliente sostenible.

¿Qué recomendaciones estratégicas daría a las áreas de marketing para trabajar de manera más integrada con las áreas legales, de tecnología y de data, y así asegurar un uso ético, seguro y alineado con la nueva ley?

Mi recomendación central es adoptar un enfoque de «Privacidad por Diseño». Marketing no puede diseñar una campaña y luego preguntar a Legal si se puede hacer. Deben trabajar juntos desde la concepción del producto o servicio.

• Integración de la función del CDO: El Director de Datos debe actuar como puente. Marketing aporta la visión del cliente, Tecnología la infraestructura y Legal el marco normativo. Deben operar como una unidad de negocio unificada.
• Unificar el lenguaje: Marketing debe entender que el «consentimiento» no es solo un check, es la base de licitud. Legal debe entender que los datos son un activo para crear valor, no solo un riesgo a mitigar.
• Tecnología compartida: Implementar plataformas de gestión de consentimiento (CMP) y Customer Data Platforms (CDP) que sean accesibles y gobernables por todas las áreas. Esto evita los silos de información que dificultan el cumplimiento.
• Capacitación cruzada: Los equipos de marketing deben ser educados en ética de datos. La mejor tecnología es inútil si el usuario es el eslabón débil.

Mirando hacia adelante, ¿cree que esta nueva regulación puede transformarse en una oportunidad competitiva para las marcas?

Absolutamente. Estoy convencido de que la privacidad es el nuevo diferenciador de una marca. En un entorno donde los ciudadanos son cada vez más conscientes y selectivos sobre con quién comparten su información, las empresas que ofrezcan transparencia y control ganarán la preferencia del consumidor.

La regulación empuja a las empresas a ordenar su casa. Al tener datos más limpios, gobernados y consentidos explícitamente, la calidad de los insights mejora drásticamente. Esto permite pasar de una estrategia defensiva a una ofensiva, utilizando IA y modelos predictivos sobre datos de alta calidad para ofrecer experiencias realmente personalizadas (Next Best Action).

El uso responsable construye confianza, y la confianza es la moneda de cambio en la economía digital. Aquellas marcas que demuestren respetar la privacidad no solo evitarán multas, sino que crearán relaciones leales y duraderas, transformando el cumplimiento en una ventaja competitiva sostenible.

Cumbre de Inteligencia Aplicada

En mayo se realizará la Cumbre de Inteligencia Aplicada 2026, evento que, en palabras de Cristián Maulén, “trasciende el formato de conferencia tradicional para consolidarse como el epicentro de decisión estratégica para la alta dirección en la región”.

El evento marca el lanzamiento exclusivo del ‘Data-Driven INDEX 2026’, un barómetro único que mide la madurez del mercado en cinco dimensiones críticas: Confianza, Avance, Prácticas, Límites e Inversión.

Más allá de las cifras, la agenda está diseñada para resolver las tres fracturas urgentes que hoy enfrentan los líderes empresariales: La crisis de ejecución en IA, El riesgo regulatorio, La monetización de datos. “Reuniremos a más de 250 decisores (CDOs, CTOs y CMOs) de 17 industrias para definir, en conjunto, la hoja de ruta del futuro económico de los datos”, adelanta.