¿Responde el directorio por incumplir la Ley de Datos?
No de la forma que muchos suponen. La Ley 21.719 multa a la empresa, no al director en persona. Pero una multa de hasta 20.000 UTM y una inscripción pública son un perjuicio para la sociedad, y responder por ese perjuicio es un deber del directorio. La distinción es todo el asunto.
Esta página separa dos cosas que se confunden en las conversaciones de directorio: a quién sanciona realmente la Ley de Protección de Datos, y por qué la exposición igual alcanza a los directores. Recorre el régimen administrativo y sus cifras, el deber de gobierno que se sitúa sobre él, el estándar de responsabilidad proactiva contra el que se mide a la empresa y cómo un directorio acredita su diligencia. Cierra con las preguntas que más hace un director.
Quién responde, y en qué plano
La ley sanciona a la empresa como responsable del tratamiento. El directorio responde en un plano separado, el del gobierno societario. Confundir ambos lleva a una falsa calma o a una alarma mal ubicada.
La empresa (responsable del tratamiento)
Carga la responsabilidad administrativa: multas de la Agencia de Protección de Datos e inscripción en el registro de sanciones. Es la sanción directa que la ley crea, y recae sobre la entidad, no sobre la persona que integra el directorio.
El directorio (deber de gobierno)
No recibe la multa administrativa, pero debe el deber de cuidado del artículo 41 de la Ley 18.046. Si la empresa es multada por una falla de cumplimiento que el directorio no exigió ni supervisó, la exposición es responsabilidad civil interna y reputación, no una sanción administrativa personal.
Para dimensionar el deber de gobierno, conviene ver el tamaño de la sanción que recae sobre la empresa.
El régimen administrativo
La reforma gradúa las infracciones y les asocia cifras que convierten el cumplimiento de datos en un asunto financiero de directorio, no en una nota al pie de tecnología.
Infracciones graduadas
Las infracciones se clasifican en leves, graves y gravísimas, cada una con su banda de sanción. La categoría depende del deber infringido y del daño a los titulares.
Multas de hasta 20.000 UTM
Las infracciones gravísimas llegan hasta 20.000 UTM. Ante una falla reiterada o sistémica, la cifra es relevante en cualquier balance y, de lleno, una preocupación de gobierno.
Registro público de sanciones
Las sanciones se inscriben en un registro público. El efecto reputacional ante clientes, contrapartes y el mercado suele sobrevivir a la multa misma.
La responsabilidad administrativa tampoco es el techo. Según cómo haya ocurrido el incidente, un mismo hecho puede cruzar al derecho penal.
Cuando el incidente además es delito informático
Una filtración de datos y un delito informático no son el mismo caso, pero suelen compartir los mismos hechos. Donde se superponen, la exposición deja de ser solo de la empresa.
Cuando un incidente de datos involucra acceso ilícito, interceptación o un ataque a la integridad de los datos o los sistemas, deja de ser solo un asunto administrativo de la Ley 21.719: puede constituir un delito informático de la Ley 21.459. Desde la Ley 21.595, esos delitos se consideran delitos económicos de segunda categoría cuando se cometen en el marco de una empresa o en su beneficio, y forman parte del catálogo de la Ley 20.393. La consecuencia es directa: un mismo hecho puede exponer a quienes lo dirigieron o lo permitieron a responsabilidad penal personal, y a la empresa a responsabilidad penal corporativa, además de la multa de la Agencia. La exposición penal de la empresa frente a ciberincidentes desarrolla este track, y conecta la pregunta de datos con la responsabilidad personal de gerentes y directores.
Lo que convierte tanto la sanción a la empresa como esta exposición penal en una pregunta de directorio es el estándar con que la ley juzga el cumplimiento.
Responsabilidad proactiva y deber de cuidado
La reforma no solo pide a la empresa cumplir; le pide poder demostrar que cumple. Ese estándar es lo que compromete al directorio.
Bajo la responsabilidad proactiva, la ausencia de políticas, registros y medidas verificables se lee como incumplimiento ante la Agencia. El artículo 41 de la Ley 18.046, a su vez, exige a los directores el cuidado y la diligencia que las personas emplean ordinariamente en sus propios negocios. En conjunto, un directorio que dejó pasar un plazo conocido sin exigir un programa de cumplimiento de datos no puede alegar después que la falla fue puramente operativa: el estándar de su propia diligencia lo fijó la misma ley que multa a la empresa.
Cómo el directorio acredita diligencia
La ley nombra las herramientas que un directorio debería exigir, y adoptarlas opera a favor de la empresa.
- Un delegado de protección de datos con independencia y recursos reales (artículo 50). Ver el rol del delegado.
- Un modelo de prevención de infracciones (artículo 51), cuya adopción la ley reconoce como atenuante.
- Un diagnóstico documentado de brechas frente a la ley antes de que sea exigible, para que la diligencia sea acreditable, no declarada. Ese es el sentido de un diagnóstico de la Ley de Datos.
La misma pregunta, bajo las otras leyes
La exposición de quienes dirigen la empresa se repite entre regímenes, con reglas distintas cada vez. La misma pregunta surge para gerentes y directores bajo la Ley de Delitos Económicos y para el empleador bajo la Ley Karin.
¿Puede su directorio acreditar su diligencia?
La diferencia entre una multa y una posición defendible es la evidencia documentada de cumplimiento construida antes de que la ley sea exigible. El diagnóstico de la Ley de Datos mapea sus tratamientos contra la Ley 21.719 y entrega el programa priorizado que un directorio puede exhibir.
Solicitar un diagnóstico de la Ley de DatosPreguntas frecuentes
¿La Ley 21.719 impone responsabilidad penal a los directores?
No. El régimen de la Ley 21.719, que reforma la Ley 19.628, es administrativo: sanciona al responsable del tratamiento, es decir a la empresa, con multas de la Agencia de Protección de Datos. No crea un delito ni una multa personal para el director. La exposición del directorio es indirecta y de otro orden: es un deber de gobierno societario.
¿De cuánto son las multas y a quién se aplican?
Las infracciones se clasifican en leves, graves y gravísimas (artículo 34 ter), y las gravísimas pueden llegar a 20.000 UTM (artículo 35). Se aplican a la empresa como responsable del tratamiento. A la multa se suma la inscripción en el registro de sanciones, un efecto reputacional que la propia ley contempla.
¿Entonces por qué debería preocuparse el directorio?
Porque una multa de esa magnitud y una inscripción pública son un perjuicio para la sociedad, y el artículo 41 de la Ley 18.046 obliga a los directores a administrar con el cuidado y la diligencia de un buen administrador. Desatender el cumplimiento de datos, teniendo la ley plazo de vigencia conocido, es precisamente el tipo de omisión que compromete ese deber frente a la empresa y sus accionistas.
¿Qué es la responsabilidad proactiva y por qué importa aquí?
Es el principio según el cual el responsable no solo debe cumplir, sino poder demostrar que cumple, mediante políticas, registros y medidas verificables. Traslada la carga a la empresa: ante la Agencia, la ausencia de evidencia se lee como incumplimiento. Para el directorio, es el estándar contra el cual se medirá si ejerció o no su diligencia.
¿Cómo se acredita la diligencia del gobierno corporativo?
Con las herramientas que la propia ley reconoce: un delegado de protección de datos (artículo 50) y un modelo de prevención de infracciones (artículo 51), cuya adopción opera como atenuante. Un directorio que exige, dota de recursos y supervisa estas piezas convierte una eventual multa en un caso de diligencia acreditable, no de omisión.
¿Una filtración de datos puede constituir un delito?
Sí, según cómo ocurra. Si media acceso ilícito, interceptación o un ataque a la integridad de los datos o los sistemas, el hecho puede ser un delito informático de la Ley 21.459, distinto de la infracción administrativa de la Ley 21.719. Desde la Ley 21.595 esos delitos son económicos de segunda categoría y están en el catálogo de la Ley 20.393, de modo que exponen a las personas naturales y a la empresa a responsabilidad penal, además de la multa de la Agencia.
Fuentes oficiales
- Ley 19.628 según la Ley 21.719, artículos 34 ter y 35 (infracciones y multas), 50 (delegado de protección de datos) y 51 (modelo de prevención de infracciones): BCN/LeyChile
- Ley 21.719 sobre Protección de Datos Personales (reforma y vigencia): BCN/LeyChile
- Ley 21.459 sobre Delitos Informáticos (acceso ilícito, interceptación, ataque a la integridad de datos y sistemas): BCN/LeyChile
- Ley 18.046 sobre Sociedades Anónimas, artículo 41 (deber de cuidado y responsabilidad de los directores): BCN/LeyChile
Conversemos sobre los desafíos legales de su empresa
Agende una conversación inicial con nuestro equipo.