Nueva Ley de Protección de Datos: cómo cambia el flujo de información en la banca

Es por esta razón que su implementación plantea un cambio profundo y un desafío en cómo las organizaciones —y especialmente el sector financiero— serán quienes deberán recolectar, tratar, compartir y proteger los datos personales de sus usuarios.

Y es en este escenario en donde el flujo de datos se vuelve fundamental: quién los proporciona, quién los recibe y qué responsabilidades tiene cada uno. 

En este artículo te explicamos las principales implicancias para los bancos, desde el enfoque de los proveedores de datos (data providers) y receptores de datos (data receivers).

Un nuevo contexto legal para el tratamiento de datos

La nueva Ley 21.719 representa una modernización profunda del marco jurídico chileno en materia de protección de datos personales, reemplazando una legislación que databa de 1999, pero que hoy resultaba insuficiente frente al volumen, velocidad y sofisticación del tratamiento de datos en entornos digitales.

Al respecto, y entre sus principales avances, establece principios clave como la privacidad desde el diseño y por defecto, la minimización en el uso de datos, la transparencia en los tratamientos, el consentimiento informado y el fortalecimiento efectivo de los derechos de los titulares. 

En otras palabras, no se trata solo de regular el uso de la información, sino de exigir que las organizaciones construyan sus productos, servicios y sistemas con la protección de datos como componente estructural.

Además, la ley crea una Agencia de Protección de Datos Personales, un organismo autónomo con atribuciones para fiscalizar, dictar instrucciones técnicas, supervisar el cumplimiento y aplicar sanciones que pueden llegar al 4 % de los ingresos anuales o a 20.000 UTM por infracciones gravísimas, con posibilidad de duplicarse en caso de reincidencia.

Para la industria bancaria, este nuevo contexto implica mucho más que cumplir con una lista de requisitos legales. Obliga a incorporar una nueva cultura organizacional respecto del tratamiento de datos, donde se reconoce que la información personal no es solo un insumo operacional, sino un activo delicado que debe manejarse con rigor, responsabilidad y visión estratégica. 

Esta transformación afecta desde los equipos técnicos y jurídicos hasta la relación directa con los clientes, que hoy tienen más poder sobre sus datos que nunca.

Del marco legal a los flujos de datos: nuevas responsabilidades para bancos y aliados

Este nuevo escenario legal no solo impone principios generales y sanciones, sino que obliga a las organizaciones a entender con mayor claridad su rol dentro del ecosistema de datos. Ya no basta con tener políticas de privacidad: ahora es indispensable saber quién entrega los datos, quién los recibe, cómo se tratan y bajo qué condiciones.

En este contexto, adquieren especial relevancia dos conceptos que permiten mapear las relaciones y responsabilidades dentro del flujo de información: los proveedores de datos (data providers) y los receptores de datos (data receivers).

¿Qué son los data providers y data receivers?

Todo flujo de información se basa en dos roles clave:

Proveedores de datos (data providers)

Son quienes generan, recopilan o transforman datos personales para que otros los utilicen. En el entorno bancario, pueden ser:

• Los propios clientes, al entregar su información para abrir cuentas, solicitar productos o realizar transacciones.
• Sistemas internos, como motores de scoring, plataformas de onboarding digital o registros de actividad.
• Terceros, como centrales de riesgo, fintechs o integraciones API (Open Finance).

Los data providers deben:

• Garantizar que los datos se recopilen con consentimiento o una base legal válida.
• Prepararlos en formatos útiles y seguros.
• Documentar su origen, finalidad y condiciones de tratamiento.

Receptores de datos (data receivers)

Son las entidades que reciben, procesan o almacenan los datos para fines determinados. Pueden ser:

• Aplicaciones internas del banco (analítica, CRM, canales digitales).
• Plataformas externas (cloud, proveedores de servicios, integradores).
• Fintechs o alianzas que actúan como encargados del tratamiento.

Los receptores son responsables de:

• Usar los datos solo con las finalidades autorizadas.
• Protegerlos adecuadamente.
• Facilitar el ejercicio de los derechos de los titulares (acceso, rectificación, portabilidad, oposición, eliminación).

Impactos prácticos para la banca

Desde diciembre de 2026, los bancos deberán revisar a fondo todos sus procesos que impliquen tratamiento, traspaso o almacenamiento de datos personales, tanto internos como con terceros. 

Esta nueva ley no solo redefine el marco normativo, sino también las responsabilidades y flujos de información dentro del ecosistema financiero. A continuación, algunos puntos críticos donde esta transformación se hace tangible:

Historiales de crédito más completos

La ley habilita la inclusión de datos positivos —como pagos puntuales— en los historiales crediticios. Esto exige que los sistemas internos actúen como proveedores de datos confiables, y que los modelos de evaluación de riesgo operen como receptores responsables, incorporando esta información de forma ética, justa y trazable.

Open Finance y Fintech

La interoperabilidad en el sistema financiero se profundiza, pero también se regula con mayor exigencia. Los bancos deberán reforzar la seguridad en sus APIs, mientras que las fintech deberán contar con mecanismos sólidos de consentimiento informado, trazabilidad de acceso y protección de la información compartida.

Evaluaciones de impacto y privacidad por diseño

Todo nuevo desarrollo que involucre datos personales —como procesos biométricos, onboarding digital o sistemas de inteligencia artificial— deberá considerar la privacidad desde la concepción. Esto implica realizar Evaluaciones de Impacto en Privacidad (PIA) y una colaboración estrecha entre los equipos de desarrollo (como data providers) y las áreas de seguridad o compliance (como data receivers).

Transferencias internacionales

Cualquier dato alojado fuera del país deberá contar con salvaguardas específicas, como cláusulas contractuales estandarizadas o consentimiento explícito del titular. Esto afecta especialmente a los bancos que trabajan con proveedores de servicios cloud, plataformas SaaS o centros de respaldo en el extranjero.

¿En qué etapa está la ley?

• Publicación oficial: 13 de diciembre de 2024
• Entrada en vigencia: 1 de diciembre de 2026
• Periodo de adecuación: 24 meses, actualmente en curso

Durante este plazo, las organizaciones deberán:

• Nombrar un Delegado de Protección de Datos (DPO) con autonomía funcional.
• Implementar plataformas de gestión de consentimiento y solicitudes ARCO.
• Adaptar contratos con terceros que acceden o procesan datos personales.
• Capacitar a sus equipos en los principios y obligaciones de la nueva ley.
• Establecer mecanismos de atención al titular, con tiempos de respuesta de hasta 30 días.

Lo que viene para la banca

La nueva ley no es solo una obligación regulatoria: es una señal clara de hacia dónde se mueve el ecosistema digital y financiero. En un entorno donde los datos personales son cada vez más sensibles —y los usuarios más conscientes de su valor—, las instituciones que lideren esta transición no solo minimizarán riesgos, sino que podrán construir relaciones más sólidas y sostenibles con sus clientes.

Adoptar una visión estratégica del tratamiento de datos permitirá a los bancos innovar con mayor legitimidad, aprovechar mejor la interoperabilidad con otros actores del sistema financiero y demostrar que la privacidad puede ser también un diferencial de confianza. El momento de actuar es ahora: no solo para cumplir, sino para evolucionar.

¿Tu organización ya está trabajando en su estrategia para cumplir con la nueva Ley de Protección de Datos?

En 2Brains ayudamos a bancos y empresas del sector financiero a transformar esta exigencia legal en una oportunidad para fortalecer la relación con sus clientes, mejorar sus procesos digitales y diseñar soluciones seguras, modernas y escalables, teniendo en el centro a las personas.

Desde el levantamiento del As-Is de los procesos, sistemas y flujos de información así como de tecnología, así como en la definición de los requerimientos funcionales y no funcionales, pasando por la implementación de modelos de consentimiento y flujos de datos responsables. Nuestro approach se apalanca de estrategia, tecnología y diseño para acompañarte en este camino.

Conversemos. Estamos listos para ayudarte a dar el siguiente paso hacia una cultura de datos más consciente y competitiva.