En un nuevo escenario, marcado por exigencias legales, tecnológicas y éticas, la Universidad de Chile comenzó a definir su hoja de ruta institucional para fortalecer la protección de los datos personales de la comunidad. El proceso fue abordado en la reunión ampliada del Comité Estratégico del Gobierno de Datos, conducido por el prorrector Claudio Pastenes, y en el que se revisaron los principales desafíos que impone la modernización legal.
El Comité, presidido por el prorrector e integrado por las vicerrectorías, representantes de facultades y la Dirección de Datos de la VTI, es el órgano colegiado de más alto nivel en materia de gobierno de datos de la Universidad. Su respaldo marca el inicio oficial de una de las transformaciones normativas más significativas que enfrentará la institución en los próximos años.
La Ley N° 21.719, que moderniza completamente el marco chileno de protección de datos personales y entra en plena vigencia el 1 de diciembre de 2026, genera un cambio sustantivo: se pasa de un marco principalmente declarativo a un régimen exigible, fiscalizable y con sanciones aplicadas por una nueva Agencia Nacional de Protección de Datos Personales. "Para la Universidad, esto implica la necesidad urgente de demostrar cumplimiento efectivo, especialmente considerando que trata datos personales y sensibles de estudiantes, funcionarias y funcionarios, académicas y académicos, personas investigadoras y otras personas vinculadas a su quehacer institucional", explicó el abogado de la Vicerrectoría de Tecnologías de la Información, VTI, Sebastián San Martín Pérez.
"Es necesario que todos entendamos que existe una diferencia entre la custodia de los datos personales y la ciberseguridad", recalcó el profesional de la VTI. Desde 2018, la protección de datos personales cuenta con reconocimiento constitucional en Chile, por lo que su tratamiento adecuado forma parte del deber institucional de resguardar los derechos fundamentales de las personas. "Una brecha de seguridad, una denuncia por mal uso de información o una gestión deficiente de datos sensibles puede tener consecuencias legales, operativas y reputacionales relevantes", agregó el abogado.
"Seamos claros, la Ley N° 21.719 no es una actualización menor. Crea una Agencia Nacional de Protección de Datos Personales con facultades fiscalizadoras, establece sanciones económicas y reputacionales para quienes incumplan, y reconoce derechos exigibles a toda persona cuyos datos sean tratados por una institución. Para la Universidad de Chile, que gestiona datos de más de 40.000 estudiantes, 15.000 funcionarias y funcionarios, además de pacientes, personal académico y personas investigadoras, se traduce en un cambio de paradigma relevante, que nos hace revisar nuestros propios procesos de tratamiento de datos de estudiantes, funcionarias y funcionarios, académicas y académicos, y público en general", insistió el letrado.
En este contexto, la Universidad busca anticiparse a las nuevas obligaciones mediante una implementación organizada en cuatro áreas principales: conocimiento, gobierno y normativa, capacitación, y la creación de un canal único para el ejercicio de derechos.
Presentación ante el comité ampliado
Durante su presentación ante el comité, San Martín Pérez destacó que uno de los ejes centrales será la construcción de un Registro de Actividades de Tratamiento (RAT), que permitirá identificar qué datos personales se tratan, quién los utiliza, con qué finalidad, bajo qué base legal, durante cuánto tiempo se conservan, a quiénes se comunican y qué medidas de seguridad los protegen.
Este registro, agregó, será una herramienta indispensable para demostrar responsabilidad proactiva, ordenar los tratamientos existentes y responder adecuadamente frente a eventuales fiscalizaciones. En la práctica, el RAT funcionará como una fuente institucional de verdad sobre los datos personales que circulan en los distintos procesos universitarios.
Para elaborar el RAT se trabajará a partir de los sistemas, activos y procesos ya existentes, priorizando aquellos que involucren un mayor volumen de información, datos sensibles, exposición a terceros o riesgos más altos para las personas. A partir de ese diagnóstico, será necesario trabajar con cada una de las unidades académicas y administrativas para vincular aplicaciones, formularios, bases de datos, procesos administrativos y flujos internos o externos de información.
Un segundo eje de acción es la gobernanza y la generación de políticas, ámbito en el que la Universidad ya cuenta con avances relevantes, como una política vigente, un Comité de Gobierno de Datos y el Plan DATAGOB, liderado por la directora de Datos de la VTI, Lucía Moreno. El nuevo escenario exige profundizar ese marco en reglas operativas obligatorias, con estándares mínimos para avisos de privacidad, minimización de datos, retención de información, accesos, contratación de terceros, seguridad y uso de plataformas digitales.
También se plantea trabajar en mecanismos de revisión previa de la privacidad, la seguridad y el cumplimiento para nuevos sistemas, proyectos o contratos. De esta manera, ninguna iniciativa que involucre el tratamiento de datos personales debería avanzar sin una evaluación adecuada de sus riesgos y obligaciones, agregó el abogado de la VTI.
San Martín recalcó que un tercer eje sobre el que descansará la implementación es la capacitación y sensibilización permanente. "Esto es un cambio cultural; es un cambio de enfoque; nos llama a mirar nuestros propios procesos y preguntarnos el porqué", señaló. En ese sentido, sostuvo que se deben desarrollar permanentemente charlas y actividades de sensibilización, ya que "no se puede depender de una charla anual ni de acciones informativas aisladas".
El abogado añadió que se requiere instalar capacidades permanentes, diferenciadas según el rol de cada equipo y orientadas a la práctica cotidiana. "Las necesidades de formación de unidades académicas, equipos de TI, áreas de compras, mesas de ayuda, dueños de procesos o equipos de investigación no son las mismas", afirmó.
Por eso, la estrategia, explicó, considera módulos específicos, microcápsulas, listas de verificación, sesiones periódicas con enlaces de unidades, materiales de apoyo y mecanismos de seguimiento. La formación deberá integrarse también al ciclo de vida de los proyectos, para que toda nueva iniciativa incorpore desde su diseño las reglas de privacidad aplicables.
Finalmente, un cuarto eje de la implementación es la creación de un canal único institucional para el ejercicio de derechos ARCO-P, consultas de privacidad y eventuales denuncias internas. Este canal permitirá contar con una puerta de entrada clara, trazable y con plazos definidos para recibir solicitudes, verificar identidad, derivar a las unidades responsables, coordinar la búsqueda de información y responder dentro de los márgenes legales.
Los derechos ARCO-P permiten a las personas solicitar Acceso, Rectificación, Cancelación, Oposición y Portabilidad de sus datos personales. En el nuevo marco legal, estos derechos serán exigibles y las instituciones deberán responderlos dentro de plazos determinados. Por ello, contar con procedimientos claros, plantillas estandarizadas, responsables identificados y seguimiento mensual será clave para asegurar el cumplimiento, añadió el profesional.
La presentación realizada ante el Comité Estratégico del Gobierno de Datos también subrayó la importancia de avanzar hacia un Modelo de Prevención de Infracciones, entendido como un programa de cumplimiento en protección de datos. Aunque su adopción es voluntaria, puede operar como atenuante frente a sanciones, permitir procesos de certificación ante la futura Agencia Nacional de Protección de Datos Personales y exigir una difusión activa dentro de la organización.
La hoja de ruta propuesta ante el Comité considera tres fases durante los primeros seis meses de trabajo. La primera corresponde al diagnóstico y mapeo de áreas prioritarias, como recursos humanos, registro académico, tecnologías de información, investigación y salud. La segunda contempla el análisis de brechas, la identificación de tratamientos que requieren evaluaciones de impacto y la priorización de acciones según riesgo. La tercera fase se orienta a la formalización de documentos, canales y capacitaciones, incluyendo la política institucional, el canal ARCO-P, el canal de denuncia interna y un programa formativo diferenciado.
Por ello, el Comité adoptó tres acuerdos concretos: respaldó formalmente la metodología y los plazos del proceso; comprometió la designación de una contraparte operativa en cada área representada; y llamó a agendar una próxima sesión para revisar el avance del RAT y definir prontamente la figura del Delegado de Protección de Datos, cuya designación debe emanar de Rectoría.
La Universidad ya cuenta con un trabajo base desarrollado en el Comité de Gobierno de Datos. "Hemos levantado los activos de información y entregado diagnósticos cuyo eje es el uso de datos personales en cada organismo. En ese contexto, y en reuniones con las mesas de trabajo, se solicitó designar a un encargado de datos personales", comentó Lucía Moreno, directora de Datos.
Esta designación facilitará la articulación orgánica y actuará como nexo entre los organismos, la VTI y el futuro Delegado de Protección de Datos Personales. Además, apoyará al equipo de Gobierno de Datos en la elaboración de las matrices de tratamiento y de procesos, utilizando como insumo inicial los activos de información declarados por los organismos. "Con ello podremos avanzar con mayor rapidez en la implementación del futuro modelo de prevención", agregó Moreno.