Existe un momento específico en la vida de una organización en que la planilla de cálculo deja de ser una herramienta y se convierte en una bomba de tiempo. Ese momento no ocurre de golpe. Ocurre silenciosamente, fila por fila, pestaña por pestaña, durante años. Y cuando explota, lo hace frente al fiscalizador, frente al cliente, o frente al directorio.
En Chile, ese momento tiene ahora una fecha de vencimiento: el 1 de diciembre de 2026.¹
________
El problema no es la planilla. Es lo que representa.
Cuando una empresa utiliza hojas de cálculo para gestionar sus datos personales — quién dio su consentimiento, cuándo, para qué propósito, en qué sistema reside esa información — no está cometiendo un error tecnológico. Está revelando un problema estructural más profundo: la ausencia de una arquitectura de datos gobernada.
La planilla es el síntoma. El diagnóstico real es que los datos de la organización están fragmentados, sin trazabilidad, sin linaje y sin control de acceso centralizado. Están, en el lenguaje de la ingeniería de datos, en silos.
Y los silos no responden solicitudes ARSOP en plazo perentorio. No generan un Registro de Actividades de Tratamiento auditable. No detectan automáticamente categorías de datos sensibles cuando un empleado carga un archivo en un servidor compartido. No se integran con los sistemas legados de la compañía sin intervención manual. Y, sobre todo, no producen evidencia verificable frente a una fiscalización de la nueva Agencia de Protección de Datos Personales.
Lo que la Ley 21.719 realmente exige — y lo que la mayoría no tiene
La Ley N° 21.719 establece obligaciones que suenan razonables hasta que se intenta cumplirlas sin infraestructura:
Respuesta a derechos ARSOP en plazo perentorio.² Un titular de datos puede solicitar acceso, rectificación, supresión, oposición o portabilidad de su información. La empresa tiene un plazo legalmente definido para responder. Si sus datos están distribuidos en múltiples sistemas sin un catálogo centralizado, ese plazo se convierte en una carrera contra el reloj que su equipo de TI perderá sistemáticamente.
Registro de Actividades de Tratamiento (RAT).² Debe existir un inventario actualizado de todos los tratamientos de datos personales que realiza la organización: finalidad, base legal, categoría de datos, destinatarios, plazos de retención. Ninguna planilla de cálculo puede mantenerse actualizada en tiempo real cuando los datos se mueven a través de decenas de integraciones, APIs y procesos automatizados.
Evidencia de consentimiento dinámico.² No basta con que el titular haya marcado una casilla en el sitio web hace tres años. La ley exige que el consentimiento sea específico, informado, libre e inequívoco — y que pueda probarse con trazabilidad técnica. Un campo de texto en una hoja de cálculo no es trazabilidad técnica.
Notificación de brechas en 72 horas.³ Si ocurre un incidente de seguridad que afecte datos personales, la organización debe notificar a la Agencia sin dilación indebida y, cuando sea posible, dentro de las 72 horas siguientes a haber tenido conocimiento del hecho. Identificar el alcance de una brecha en una infraestructura no gobernada puede tomar días o semanas.
El costo alternativo que nadie está calculando
Existe una discusión frecuente sobre el costo del cumplimiento. Es la discusión equivocada.
La discusión correcta es sobre el costo del no cumplimiento — y ese costo tiene varias dimensiones que rara vez se calculan juntas.
El régimen sancionatorio de la ley clasifica las infracciones en tres categorías: leves, graves y gravísimas.⁴ Las infracciones gravísimas — como el tratamiento fraudulento de datos o la omisión deliberada de notificar una brecha — contemplan multas de hasta 20.000 UTM (aproximadamente USD $1,2 millones al tipo de cambio actual). En casos de reincidencia para empresas no-PYME, esa cifra puede escalar hasta el 4% de los ingresos anuales de la organización si esa cantidad resulta mayor a la multa base. Para una compañía con ingresos anuales de $10.000 millones de pesos, eso representa una exposición superior a los $400 millones. Pero las multas son solo la capa visible.
Bajo esa capa está el daño reputacional. La nueva ley crea un Registro Nacional de Sanciones de acceso público.¹ Aparecer en ese registro no es solo un problema regulatorio: es un problema comercial. En el mercado B2B, donde la confianza institucional es el activo más frágil, una sanción pública puede destruir relaciones comerciales que tomaron años construir.
Y más abajo aún está el costo de oportunidad. Las organizaciones que gobiernan sus datos correctamente no solo evitan multas: monetizan su información. Pueden construir modelos predictivos sobre datos limpios, ofrecer experiencias personalizadas sobre bases de consentimiento sólidas, y generar reportes de inteligencia de negocios en tiempo real. Las que no lo hacen simplemente no pueden competir en esa dimensión.
Cuándo la planilla deja de ser el problema y pasa a ser la excusa
Existe un patrón que observamos repetidamente en las organizaciones que llegan a UpSociative en estado de urgencia: el equipo de TI sabe que la infraestructura no está lista. El área legal sabe que los procesos no son auditables. Pero nadie ha tenido la conversación a nivel de directorio, porque nadie quería ser el portador de esa noticia.
La planilla se convierte entonces en la excusa perfecta: algo está siendo gestionado, hay un archivo, hay un responsable. El problema es que esa sensación de control es completamente falsa.
El gobierno de datos no es una tarea de gestión. Es una arquitectura. Requiere un marco metodológico, roles definidos, herramientas integradas y procesos automatizados. Requiere, en términos concretos, lo que la metodología DAMA establece como gobernanza de datos madura: Data Owners que definen políticas por dominio, Data Stewards que garantizan calidad en los subdominios, y Data Custodians que administran la infraestructura con estándares de seguridad verificables.
Nada de eso ocurre en una planilla de cálculo.
El primer paso no es tecnológico. Es diagnóstico.
La buena noticia es que la brecha entre donde está su organización hoy y donde necesita estar el 1 de diciembre de 2026 es medible. Y lo que es medible es manejable.
El primer paso no es contratar software ni lanzar un proyecto de transformación digital de gran escala. Es sentarse con los equipos correctos — legal, TI y negocio en la misma sala — y hacerse las preguntas incómodas: ¿Sabemos exactamente qué datos personales procesamos y dónde residen? ¿Podemos demostrarlo ante un fiscalizador hoy? ¿Tenemos roles de gobernanza definidos o simplemente tenemos personas que “se encargan de eso”?
Esas preguntas no tienen respuestas cómodas en la mayoría de las organizaciones. Pero son el único punto de partida honesto.
El reloj ya está corriendo. Y la distancia entre hoy y el 1 de diciembre se acorta a la misma velocidad para todas las empresas, estén preparadas o no.
Referencias
¹ Ley N° 21.719, Artículo primero transitorio. Regula la Protección y el Tratamiento de los Datos Personales y Crea la Agencia de Protección de Datos Personales. Publicada en el Diario Oficial el 13 de diciembre de 2024. Vigencia diferida al 1 de diciembre de 2026.
² Ley N° 21.719, Artículos 5° al 9°. Derechos del titular (acceso, rectificación, supresión, oposición, portabilidad). Ibíd.
³ Ley N° 21.719, disposiciones sobre notificación de vulneraciones de seguridad. Confirmado en: Amsoft (2026). «Ley 21.719: Adecuación tecnológica». amsoft.cl; Codevsys (2026). «Guía práctica de protección de datos para empresas en Chile». codevsys.cl.
⁴ Ley N° 21.719, Artículo 35 y Artículos 34 bis, 34 ter, 34 quáter. Régimen sancionatorio: infracciones leves (hasta 5.000 UTM), graves (hasta 10.000 UTM, o 2% ingresos en reincidencia no-PYME) y gravísimas (hasta 20.000 UTM, o 4% ingresos en reincidencia no-PYME). Fuente complementaria: Anguita Osorio (2025). «Sanciones y Multas — Ley 21.719». anguitaosorio.cl.
En UpSociative somos una consultora especializada en estrategias de datos y cumplimiento de la Ley 21.719 de Protección de Datos Personales. Trabajamos con organizaciones para transformar sus datos en activos gobernados, seguros y monetizables.