DPO y Carrera10 min de lectura

Cómo convencer a la dirección de invertir en conformidad con la Ley 21.719: argumentos que funcionan

Equipo Confidata·
Compartir

"Necesitamos invertir en conformidad con la Ley N° 21.719" es una frase que DPOs y compliance officers repiten —pero que frecuentemente encuentra resistencia de la dirección cuando no viene acompañada de argumentos financieros y de negocio concretos. La protección de datos se percibe como costo, no como inversión. Cambiar esa percepción es trabajo del DPO.

Esta guía presenta los argumentos que funcionan en la práctica, la estructura de presentación que resuena con los directivos y cómo responder las objeciones más comunes.

Por qué la dirección resiste

Antes de presentar argumentos, es útil entender las resistencias:

  1. "Nunca nos han sancionado antes" — el sesgo de normalidad: lo que no ha ocurrido todavía, no ocurrirá
  2. "Es costo sin retorno visible" — la conformidad no aparece en el estado de resultados cuando funciona; solo aparece cuando falla
  3. "Estamos creciendo; esto puede esperar" — priorización del crecimiento por sobre el compliance
  4. "El mercado completo lo hace así" — percepción de que la no conformidad es norma sectorial, por lo tanto riesgo compartido
  5. "Ya tenemos seguridad de TI, ¿no es suficiente?" — confusión entre seguridad de la información y conformidad con la Ley N° 21.719

Cada uno de esos puntos tiene respuesta directa. El error del DPO es entrar con argumentos jurídicos para resistencias que son financieras o estratégicas.

Argumento 1: El costo del riesgo es mayor que el costo de la conformidad

Este es el argumento más eficaz para la mayoría de las direcciones —y el que requiere más preparación.

El costo de una sanción de la Agencia

La Ley N° 21.719 (Arts. 35, 35 bis y 35 ter) clasifica las infracciones en tres niveles con sanciones hasta:

  • Infracciones leves: hasta 5.000 UTM
  • Infracciones graves: hasta 10.000 UTM, o el 2% de los ingresos anuales por ventas y servicios en Chile (el monto mayor)
  • Infracciones gravísimas: hasta 20.000 UTM, o el 4% de los ingresos anuales por ventas y servicios en Chile (el monto mayor)

Con el valor de la UTM en torno a $65.000 CLP (abril 2026), las sanciones máximas pueden alcanzar aproximadamente:

  • Leves: ~$325 millones CLP
  • Graves: ~$650 millones CLP
  • Gravísimas: ~$1.300 millones CLP (o 4% de ingresos anuales si es mayor)

Las sanciones gravísimas incluyen el uso fraudulento de datos, divulgación distorsionada, transferencias internacionales ilegales y el incumplimiento deliberado de notificar vulneraciones de seguridad.

El costo de un incidente de datos

El IBM Cost of a Data Breach Report 2024 (referencia global) establece un costo promedio de USD 4,88 millones por incidente a nivel mundial, incluyendo:

  • Costos de respuesta y contención
  • Notificaciones a titulares y reguladores
  • Honorarios jurídicos y consultoría especializada
  • Pérdida de clientes e impacto en ingresos
  • Daño reputacional de largo plazo

En Chile, con el tamaño promedio del mercado y la creciente exposición digital de las empresas, los costos de un incidente relevante son significativos incluso para organizaciones medianas.

Cómo calcular el costo del riesgo para la dirección

Presente el cálculo del riesgo esperado (Valor Esperado):

Costo del riesgo = Probabilidad de incidente × Costo promedio del incidente

Ejemplo para una empresa de tamaño medio:
- Probabilidad de incidente relevante en 5 años: 30%
- Costo promedio de un incidente: $300 millones CLP
- Costo esperado del riesgo en 5 años: $90 millones CLP

Costo del programa de conformidad en 5 años: $60 millones CLP

Conclusión: invertir en conformidad tiene valor positivo de $30 millones CLP
considerando solo el riesgo de incidente.

Este modelo simplificado puede ajustarse con datos del sector y tamaño de la organización.

Argumento 2: Conformidad como ventaja competitiva

En el mercado B2B

Los clientes corporativos medianos y grandes exigen cada vez más conformidad con la Ley N° 21.719 de sus proveedores y prestadores. La razón es simple: quien contrata a un encargado del tratamiento no conforme puede ser corresponsabilizado por los incidentes que ese encargado cause.

El resultado práctico: organizaciones B2B no conformes están siendo excluidas de licitaciones, RFPs y contratos con clientes más grandes. La conformidad se ha convertido en requisito de entrada en ciertos mercados.

Argumento para la dirección: "Nuestro cliente más importante nos envió un cuestionario de due diligence de privacidad. No tener respuestas satisfactorias pone en riesgo $X de ingresos anuales."

En procesos de M&A e inversión

Fondos de capital privado, venture capital y potenciales adquirentes incluyen la protección de datos en sus procesos de due diligence. Los pasivos de privacidad identificados pueden:

  • Reducir la valoración de la empresa
  • Crear contingencias en el contrato de compra
  • Inviabilizar la transacción

Startups y scale-ups que planeen levantar rondas de inversión o ser adquiridas tienen interés directo en estructurar el programa de conformidad antes del proceso —no durante.

En el mercado internacional

Empresas chilenas que tratan datos de titulares europeos deben cumplir con el RGPD. La Ley N° 21.719 fue diseñada con estándares compatibles con los sistemas europeos, lo que facilita la operación en ambos mercados. Para empresas que quieren operar en el mercado europeo o latinoamericano con altos estándares de privacidad, la conformidad con la Ley N° 21.719 es una ventaja diferenciadora.

Argumento 3: El entorno regulatorio se está endureciendo

La Agencia de Protección de Datos Personales fue creada por la Ley N° 21.719 y comenzará operaciones con la entrada en vigor de la ley el 1° de diciembre de 2026. Con poderes investigativos y sancionatorios explícitos, la Agencia tiene un mandato claro de fiscalización activa.

La pregunta no es si la Agencia fiscalizará el mercado, sino cuándo comenzará a sancionar a las organizaciones que no hayan adoptado medidas preventivas. Las organizaciones que inviertan en conformidad antes de esa fecha estarán en posición de demostrar buena fe y esfuerzo comprobado —factores relevantes en la dosimetría de sanciones.

Además, la Ley N° 21.719 creó un sistema de Modelos de Prevención de Infracciones (MPI) certificables ante la Agencia. Las organizaciones con MPI certificado tienen acceso a circunstancias atenuantes en el proceso sancionatorio. Cada mes que pasa sin avanzar en el programa de conformidad es un mes de oportunidad de atenuación perdida.

Argumento 4: La confianza del cliente como activo

Estudios globales muestran consistentemente que los consumidores valoran la privacidad de sus datos y prefieren empresas que demuestran cuidado con esa protección. Para sectores como salud, financiero y educación —donde los datos tratados son particularmente sensibles— la confianza está directamente ligada a la percepción de respeto a la privacidad.

Un incidente de datos público destruye confianza de forma inmediata y duradera. El costo de reconstruir la reputación posincidente es sistemáticamente mayor que el costo de prevenirlo.

Cómo estructurar la presentación para la dirección

Estructura recomendada (30 minutos)

1. El contexto regulatorio (5 min) Dónde estamos: qué es la Ley N° 21.719, cuándo entra en vigor la Agencia, cuáles son las sanciones aplicables a nuestra organización.

2. Nuestra situación actual (5 min) Diagnóstico honesto: cuáles son las brechas de conformidad más relevantes, cuáles los riesgos más inmediatos.

3. El costo del riesgo vs el costo de la conformidad (10 min) El cálculo presentado arriba, personalizado para la organización. Incluya el costo del riesgo de incidente Y el costo del riesgo regulatorio (sanción de la Agencia).

4. Las oportunidades de negocio (5 min) Clientes B2B que exigen conformidad, procesos de due diligence, expansión a mercados internacionales, acceso a clientes que solicitan certificaciones de seguridad.

5. La propuesta concreta (5 min) Lo que se está pidiendo: presupuesto, personas, plazo. No "necesitamos conformidad" —"necesitamos $X para implementar los controles A, B, C en los próximos Y meses."

Respondiendo las objeciones

Objeción de la direcciónRespuesta eficaz
"Nunca nos sancionaron""La Agencia comienza operaciones en diciembre de 2026 con poderes plenos. No haber sido sancionado antes no aplica para el nuevo escenario."
"Cuesta demasiado""El costo esperado de un incidente es $X. El costo del programa es $Y. El valor de invertir es $X–Y."
"Nuestros competidores tampoco lo hacen""Nuestros clientes más importantes [citar nombres] ya nos consultaron sobre conformidad. Uno de ellos está condicionando la renovación del contrato a eso."
"TI se encarga de eso""Seguridad de TI protege contra intrusiones; la Ley N° 21.719 exige que la empresa documente qué recolecta, con qué base de licitud, y garantice los derechos de los titulares. Son obligaciones distintas."
"Podemos esperar""Las organizaciones que acrediten un Modelo de Prevención de Infracciones (MPI) ante la Agencia tendrán sanciones atenuadas. Cada mes que esperamos es un mes de oportunidad perdida."

Lista de verificación de la presentación

  • ¿Calculé el costo del riesgo específico para nuestra empresa?
  • ¿Identifiqué clientes o prospectos que exigen conformidad con la Ley N° 21.719?
  • ¿Listé las brechas de conformidad más críticas (no todas —las más urgentes)?
  • ¿La propuesta incluye presupuesto específico, no solo "necesitamos recursos"?
  • ¿Puedo cuantificar lo que podemos perder en contratos por falta de conformidad?
  • ¿Preparé respuestas para las objeciones previsibles?
  • ¿La presentación dura menos de 30 minutos?

Conclusión

Convencer a la dirección de invertir en conformidad con la Ley N° 21.719 es una venta —y como toda venta, exige entender qué valora el comprador. La dirección valora la protección de ingresos, la reducción de riesgo y la ventaja competitiva. El DPO que presenta la conformidad en esos términos —no en términos jurídicos abstractos— tiene muchas más posibilidades de obtener el apoyo necesario.

Confidata ayuda a los DPOs a construir el business case de conformidad con evidencias concretas: mapeo de brechas, cuantificación de riesgos y demostración del ROI del programa de privacidad para el liderazgo ejecutivo.

Compartir
#DPO#business case Ley 21.719#conformidad#dirección#inversión privacidad#ROI protección de datos

Artículos relacionados

Planilla vs Sistema de Conformidad Ley 21.719: ComparativoDPO y Carrera · 10 minCompetencias y formación del Delegado de Protección de Datos: lo que el mercado chileno exige en 2026DPO y Carrera · 11 minCómo realizar auditorías internas de privacidad y protección de datosGuías Prácticas · 13 minLey 21.719 vs GDPR: diferencias y similitudes que realmente importanCumplimiento · 14 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista