top of page
ARTION 26.png
Home
Nosotros

El Cambio Cultural: la Parte que Ningún Procedimiento ni Software Resuelve Solo

  • Foto del escritor: Mario Saffirio
    Mario Saffirio
  • 9 jun
  • 4 min de lectura


Hay una verdad incómoda en cada proyecto de cumplimiento normativo: puedes tener el mejor kit de implementación del mercado, contratar al consultor más experimentado y adquirir el software más completo, y aun así seguir expuesto. No porque te falte tecnología ni documentación, sino porque en tu empresa persisten creencias que hacen inútil todo lo demás.


La Ley de Protección de Datos Personales (LPDP) 21.719 entra en vigor el 1º de diciembre de 2026. Y aunque la norma exige procedimientos, registros y medidas técnicas concretas, su cumplimiento real depende de algo que ninguna herramienta puede instalar por sí sola: una cultura organizacional donde proteger los datos personales sea una responsabilidad compartida, no una tarea del área de TI.


Lo que Cambia en la Operación Diaria

Cumplir la LPDP no es un proyecto puntual. Es un cambio permanente en cómo trabajan al menos cuatro áreas de tu empresa.


  • Ventas y Atención al Cliente son el primer punto de contacto con datos personales. Cada formulario, cada correo de cotización, cada llamada de seguimiento que recopila información requiere —según la ley— un aviso de privacidad claro y, cuando corresponde, consentimiento explícito del titular. Hoy, la mayoría de esos procesos no lo contempla.


  • Contratos y Proveedores es el área que más sorprende a las empresas cuando revisan sus acuerdos vigentes. Todo proveedor que accede a datos de tus clientes —una agencia de marketing, un sistema CRM en la nube, una empresa de cobranza— debe tener incorporadas cláusulas de protección de datos (DPA - Data Protection Agreement). Sin ellas, la responsabilidad legal recae sobre tu empresa, no sobre el proveedor.


  • Recursos Humanos maneja algunos de los datos más sensibles que existen: contratos de trabajo, carpetas de empleados, nóminas, procesos de selección. Toda esa información debe adecuarse a los nuevos estándares de la LPDP, incluyendo plazos de retención y protocolos de acceso.


  • TI y Sistemas deja de ser el único responsable para convertirse en un habilitador. Los registros de acceso, las políticas de retención, los backups y los protocolos de respuesta a incidentes pasan a ser procesos documentados y exigibles en toda la empresa, no configuraciones internas invisibles.


El Problema Real: Creencias que Frenan el Cumplimiento

Implementar procedimientos sin transformar la mentalidad es como instalar cerraduras nuevas y dejar las llaves en la puerta. En la mayoría de las empresas chilenas conviven hoy cuatro creencias que bloquean el cumplimiento genuino:


La primera es "guardamos todos los datos para no perder información". Parece prudente, pero bajo la LPDP es un riesgo: acumular datos sin finalidad definida expone a sanciones. El principio de minimización exige recopilar solo lo necesario y definir desde el inicio cuándo se eliminarán.


La segunda es "el cliente nos dio su correo, podemos usarlo para todo". Falso. La licitud del tratamiento está atada a la finalidad por la que se obtuvo el dato. Usar un correo entregado para una cotización para enviar campañas de marketing sin base de licitud adecuada es una infracción.


La tercera es "eso es tema del área de TI". Es la creencia más extendida y la más peligrosa. La protección de datos personales es una responsabilidad transversal. Recursos Humanos, Finanzas, Ventas y Operaciones tratan datos personales todos los días; no pueden delegar su responsabilidad en un equipo técnico.


La cuarta es "si pasa algo, lo resolvemos en el momento". La LPDP no admite improvisación ante incidentes. La norma exige notificación a la Agencia Protección Datos Personales en plazos definidos y procedimientos documentados previamente. Reaccionar sin protocolo agrava la infracción.


¿Cómo se Instala una Cultura de Privacidad?

El cambio cultural no ocurre en un taller de dos horas ni en un correo informativo. Ocurre cuando las nuevas conductas se integran en los procesos cotidianos y cuando existe un referente interno que las sostiene.


Tres palancas concretas aceleran este proceso. Primero, capacitación específica por rol: el equipo de ventas necesita entender el consentimiento; RR.HH. necesita manejar datos sensibles; TI necesita documentar procedimientos. Un entrenamiento genérico para todos no cambia comportamientos.


Segundo, visibilidad interna de los incidentes: las organizaciones que aprenden más rápido son las que comparten sus errores internamente, sin buscar culpables. Cuando un incidente de datos se convierte en caso de aprendizaje, las creencias cambian.


Tercero, liderazgo explícito desde la dirección: si el gerente general o el directorio no hablan de privacidad / protección de datos personales como un valor de negocio, el mensaje nunca llega con suficiente peso.


Procedimientos y Cultura: las Dos Caras del Cumplimiento

En ARTION entendemos que el cumplimiento de la LPDP tiene dos dimensiones que deben avanzar en paralelo. Los procedimientos, políticas y registros que componen CumpleDatos entregan el esqueleto normativo: lo que la ley exige, documentado y operativo. Pero es la cultura organizacional la que da vida a ese esqueleto y lo hace sostenible en el tiempo.


A menos de seis meses del 1º de diciembre, la pregunta relevante no es solo ¿tenemos los documentos en orden? Es también ¿nuestra gente sabe por qué importa esto y cómo actuar cuando corresponde?


Esas dos preguntas juntas son el cumplimiento real.


¿Quieres evaluar el nivel de madurez cultural de tu organización en privacidad de datos? Contáctanos y te orientamos sin compromiso.

Comentarios

bottom of page