* Columna publicada originalmente el 01 de abril de 2025 en El Mercurio Legal 

La aprobación de la nueva Ley de Protección de Datos Personales (LPDP) en Chile, introdujo cambios profundos en el entorno regulatorio que enfrentan empresas dedicadas a la información comercial y evaluación de riesgos, como los data brokers, los burós de crédito y las plataformas de evaluación crediticia. Aunque la normativa mantiene ciertos aspectos fundamentales del régimen anterior, su actualización trae consigo transformaciones sustanciales que afectarán significativamente la operación y los modelos de negocio del sector.

Entre los principales cambios, destaca la prohibición expresa de comunicar información sobre deudas prescritas sin necesidad de declaración judicial y la introducción de la llamada “información positiva”, referida a datos sobre buen comportamiento de pago y cumplimiento financiero. Los efectos de esta última inclusión, en la comisión mixta de la tramitación del proyecto, estarán por verse en su interpretación y aplicación práctica. 

Por otro lado, la eliminación de las fuentes accesibles al público como base suficiente para legitimar tratamientos de datos representa uno de los ajustes más disruptivos al núcleo del negocio. Esta modificación obliga a estas empresas a buscar otras fuentes legítimas para procesar la información no estrictamente comercial, abriendo posibilidades a la obtención del consentimiento del titular o la invocación justificada del interés legítimo. Ello implica que consultas realizadas por burós de crédito podrían requerir de manera generalizada el consentimiento del titular, transformando profundamente prácticas tradicionales del sector, con los riesgos asociados a la gestión de dicho consentimiento.

Otro ámbito clave es el tratamiento automatizado de decisiones, donde se inserta el scoring crediticio. Inspirándose en la discusión doctrinaria y en línea con la jurisprudencia europea, la ley establece ahora nuevas reglas sobre perfilamiento de personas, uso de sistemas de decisiones automatizadas y con obligaciones claras para ofrecer explicaciones detalladas sobre estos procesos, garantizar intervención humana cuando sea requerido, y asegurar el derecho de oposición del usuario afectado.

Estas modificaciones implican la necesidad de realizar adaptaciones profundas. No bastará con simples auditorías o actualizaciones superficiales de bases de datos. Será imprescindible realizar auditorías algorítmicas que permitan cumplir adecuadamente con obligaciones específicas, como transparencia en la obtención y tratamiento de datos, mecanismos efectivos para responder a los derechos ejercidos por los titulares y evaluaciones rigurosas del impacto del tratamiento de datos.

En este sentido, aunque la nueva ley amplía las alternativas para legitimar tratamientos de datos más allá del consentimiento—como el interés legítimo o la ejecución de contratos—, la exigencia en la aplicación de estas alternativas también se incrementa notablemente. Esto genera un ambiente regulatorio complejo, en el que una interpretación precisa será clave para evitar infracciones y potenciales sanciones por parte de la Autoridad de Protección de Datos Personales (APDP) y la Comisión para el Mercado Financiero (CMF).

Las empresas del sector enfrentarán desafíos importantes: habrá que esperar para tener certezas en la interpretación de la nueva ley, cuando la APDP empiece a funcionar en régimen. Lo aconsejable es avanzar a un compliance robusto, en donde se implemente organizacionalmente la responsabilidad proactiva que promueve la ley. En este contexto, los riesgos del incumplimiento son altos, considerando que estas industrias probablemente estarán bajo intensa fiscalización y podrían enfrentar numerosas denuncias ante la APDP.

Finalmente, la adaptación a estas exigencias regulatorias es una oportunidad estratégica para reforzar la reputación corporativa mediante políticas efectivas de compliance. Asumirlo como mera carga o costo no sintoniza con la protección de los derechos de las personas que interactúan cotidianamente con estas empresas. Este cambio normativo puede convertirse en un impulso competitivo significativo, propiciando un modelo de negocio más ético, transparente y sostenible en el largo plazo.

Marcelo Drago – Presidente de la Asociación Gremial de Profesionales en Protección de Datos Personales. Socio Data Compliance. 

Pablo Contreras – Director del Doctorado en Derecho de la Universidad Central de Chile. Socio de Data Compliance.