Su sitio web será la primera fiscalización
La obligación que se ve desde afuera
Haga el ejercicio: abra el sitio web de su empresa y busque qué dice sobre datos personales. Lo más probable es que encuentre una «política de privacidad» en el pie de página, escrita hace años, adaptada de un modelo extranjero, sin fecha ni versión. Hoy eso no le cuesta nada. Desde el 1 de diciembre de 2026, cuando entre en vigencia la Ley 19.628, reformada por la Ley 21.719, esa misma página podrá constituir un incumplimiento verificable a distancia, sin requerimiento, sin oficio y sin que nadie le avise.
De todas las obligaciones de la ley reformada, el deber de información y transparencia es la única que cualquiera puede fiscalizar completa desde un escritorio, en cinco minutos. La Agencia de Protección de Datos Personales, un competidor, un periodista, un cliente molesto: a todos les basta un navegador. Por eso conviene entender bien qué exige.
Qué exige exactamente el artículo 14 ter
El artículo 14 ter obliga al responsable a facilitar y mantener «permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente», un catálogo de información que la ley detalla en doce letras. Conviene leerlas agrupadas, porque ordenadas dicen más que sueltas.
El estándar de redacción tampoco queda al criterio de cada empresa. El principio de transparencia e información del artículo 3° exige que todo esto esté permanentemente accesible de manera «precisa, clara, inequívoca y gratuita». Una política ilegible cumple tan poco como una política ausente.
Por qué será lo primero que se mire
Incumplir el deber del artículo 14 ter es infracción leve, según el artículo 34 bis. Leve suena a poco. Dos precisiones antes de relajarse. La primera: las infracciones leves se sancionan con amonestación escrita o multa de hasta 5.000 unidades tributarias mensuales. La segunda: la infracción se configura por incumplir «total o parcialmente». No publicar es infracción; publicar incompleto, también.
Pero el monto no es el punto. El punto es el costo de fiscalización. Para verificar casi cualquier otra obligación de la ley, la Agencia necesita abrir un procedimiento, pedir antecedentes, mirar adentro de la empresa. Para verificar esta, le basta visitar su sitio web. Una autoridad nueva, con recursos acotados y necesidad de mostrar resultados, parte por lo que puede comprobar de forma masiva y barata. Europa ya recorrió ese camino: la primera multa millonaria del GDPR, los 50 millones de euros de la CNIL francesa a Google en enero de 2019, fue precisamente por deficiencias de transparencia e información, no por una filtración espectacular.
Hay un segundo efecto, menos comentado. Lo que usted publica queda como declaración permanente, disponible para cualquier reclamo futuro. Si lo publicado no calza con lo que su empresa efectivamente hace, la evidencia de la inconsistencia la dejó usted mismo en línea. La transparencia no es solo una obligación: es prueba, a favor o en contra.
La trampa de «parece fácil»
A primera vista, el artículo 14 ter es la obligación más sencilla de la ley: redactar una página y subirla. La trampa está en que cada letra presupone trabajo interno ya hecho. No puede publicar el período de conservación si no ha definido plazos de supresión. No puede declarar bases de legitimidad si no ha levantado sus actividades de tratamiento. No puede informar transferencias internacionales si no sabe en qué país están los servidores de sus proveedores. No puede describir la lógica de sus decisiones automatizadas si no las ha mapeado.
Dicho de otra forma: el artículo 14 ter no es una tarea de redacción, es el resumen ejecutivo público de su sistema de cumplimiento. Si el sistema no existe, la página solo tiene dos caminos, quedar incompleta o faltar a la verdad, y ambos son infracción. No se puede publicar con verdad lo que no se ha hecho.
Cómo prepararse
El instinto dice «encarguemos la redacción de la política». El orden correcto es el inverso: la redacción es el último paso, no el primero.
No es una intuición de consultor: es lo que recomiendan las propias autoridades europeas. La guía de implementación de avisos de privacidad de la autoridad alemana de protección de datos de Renania del Norte-Westfalia aconseja, antes de redactar, hacer un inventario y construir el registro de actividades de tratamiento, porque con esa información reunida la redacción del aviso resulta considerablemente más sencilla. Y la misma guía deja una advertencia que conviene leer dos veces: publica un modelo de aviso y aclara, en el propio documento, que usarlo no exime de cumplir, porque toda plantilla debe adaptarse a los tratamientos reales de cada empresa. Ni siquiera la autoridad que regala el formato sostiene que el formato sea el cumplimiento.
Primero, levante sus actividades de tratamiento: qué datos trata, de quiénes, para qué, con qué base de legitimidad y con quién los comparte. Ese levantamiento es el insumo directo de la mitad de las doce letras.
Segundo, defina lo que todavía no existe: plazos de conservación por categoría de datos, el inventario de transferencias internacionales con sus garantías, el mapa de decisiones automatizadas con su lógica explicable. Y si va a invocar intereses legítimos, deje la ponderación hecha y documentada antes de declararlos: la guía alemana recomienda, como buena práctica, ofrecer al titular información sobre esa ponderación.
Tercero, redacte las doce letras en lenguaje claro, pensando en el titular que las leerá y no en el abogado que las defenderá. El estándar legal es ese: precisa, clara, inequívoca y gratuita.
Cuarto, ponga fecha y versión, y asigne un dueño. La ley exige mantener la información «permanentemente» a disposición: la transparencia es un documento vivo, y cada cambio relevante en sus tratamientos debe reflejarse en lo publicado.
Quinto, pruebe el canal de contacto. La ley exige un medio actualizado y operativo para recibir solicitudes de los titulares, y su ausencia es otra infracción autónoma. Un correo que nadie lee no es un canal: es un riesgo publicado.
La pregunta que conviene poder responder
Abra de nuevo su sitio web y léalo con esta vara: ¿describe lo que su empresa efectivamente hace con los datos, completo, al día y en un lenguaje que su propio cliente entendería? Si la respuesta es sí, no solo su fachada está en regla: lo más probable es que lo de adentro también. Si la respuesta es no, ahí tiene, a la vista de cualquiera, la primera brecha que cerrar. El artículo 14 ter no le pide contar algo nuevo: le pide tener algo que contar.
Catherine Muñoz Gutiérrez es fundadora y directora ejecutiva de Idónea Consultores, la primera consultora interdisciplinaria de Chile en protección de datos, ciberseguridad y gobernanza de inteligencia artificial. Abogada y Máster en Derecho (LL.M.) por la Universidad de Heidelberg, es profesora de derecho y tecnología y participó en las discusiones en el Senado durante la tramitación de la reforma a la Ley 19.628.
Este artículo tiene fines de orientación general y no constituye asesoría legal para un caso concreto.



