Artículo 14 ter — Su sitio web será la primera fiscalización · Idónea

Su sitio web será la primera fiscalización

ido
nea
Ley 19.628 reformada · Deber de información y transparencia

Su sitio web será la primera fiscalización

El deber de información y transparencia del artículo 14 ter: la obligación más visible de la Ley 19.628 reformada, y la más barata de fiscalizar

Por Catherine Muñoz Gutiérrez, Idónea Consultores SpA

La obligación que se ve desde afuera

Haga el ejercicio: abra el sitio web de su empresa y busque qué dice sobre datos personales. Lo más probable es que encuentre una «política de privacidad» en el pie de página, escrita hace años, adaptada de un modelo extranjero, sin fecha ni versión. Hoy eso no le cuesta nada. Desde el 1 de diciembre de 2026, cuando entre en vigencia la Ley 19.628, reformada por la Ley 21.719, esa misma página podrá constituir un incumplimiento verificable a distancia, sin requerimiento, sin oficio y sin que nadie le avise.

De todas las obligaciones de la ley reformada, el deber de información y transparencia es la única que cualquiera puede fiscalizar completa desde un escritorio, en cinco minutos. La Agencia de Protección de Datos Personales, un competidor, un periodista, un cliente molesto: a todos les basta un navegador. Por eso conviene entender bien qué exige.

Qué exige exactamente el artículo 14 ter

El artículo 14 ter obliga al responsable a facilitar y mantener «permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente», un catálogo de información que la ley detalla en doce letras. Conviene leerlas agrupadas, porque ordenadas dicen más que sueltas.

Las tres primeras letras: identifican Grupo 1

Las tres primeras identifican: la política de tratamiento de datos personales, con su fecha y versión; la individualización del responsable, su representante legal y el encargado de prevención si existe; y un canal de contacto operativo, de uso común y fácil acceso, para que los titulares presenten sus solicitudes.

El segundo grupo: describe el tratamiento Grupo 2

El segundo grupo describe el tratamiento: las categorías de datos que trata, la descripción genérica del universo de personas de sus bases, los destinatarios a los que prevé comunicar o ceder datos, las finalidades, la base de legitimidad y, cuando invoca intereses legítimos, cuáles serían. A esto se suman la política y medidas de seguridad adoptadas, el período durante el que se conservarán los datos y la fuente de la cual provienen.

El tercer grupo: informa derechos Grupo 3

El tercer grupo informa derechos: acceso, rectificación, supresión, oposición y portabilidad; el derecho de recurrir ante la Agencia si el responsable rechaza o no responde oportunamente; y, cuando el tratamiento se basa en consentimiento, la existencia del derecho a retirarlo en cualquier momento.

Dos letras con mención propia Atención

Quedan dos letras que merecen mención propia. Las transferencias internacionales: a qué país u organización van los datos, si ofrece o no un nivel adecuado de protección y, si no lo ofrece, qué garantías justifican la transferencia. Y la existencia de decisiones automatizadas, incluida la elaboración de perfiles, con información significativa sobre la lógica aplicada y las consecuencias previstas para el titular. De esta última hablamos en el artículo anterior de esta serie: es la mitad de la explicación que exige el artículo 8° bis, escrita por anticipado.

El estándar de redacción tampoco queda al criterio de cada empresa. El principio de transparencia e información del artículo 3° exige que todo esto esté permanentemente accesible de manera «precisa, clara, inequívoca y gratuita». Una política ilegible cumple tan poco como una política ausente.

Por qué será lo primero que se mire

Incumplir el deber del artículo 14 ter es infracción leve, según el artículo 34 bis. Leve suena a poco. Dos precisiones antes de relajarse. La primera: las infracciones leves se sancionan con amonestación escrita o multa de hasta 5.000 unidades tributarias mensuales. La segunda: la infracción se configura por incumplir «total o parcialmente». No publicar es infracción; publicar incompleto, también.

Pero el monto no es el punto. El punto es el costo de fiscalización. Para verificar casi cualquier otra obligación de la ley, la Agencia necesita abrir un procedimiento, pedir antecedentes, mirar adentro de la empresa. Para verificar esta, le basta visitar su sitio web. Una autoridad nueva, con recursos acotados y necesidad de mostrar resultados, parte por lo que puede comprobar de forma masiva y barata. Europa ya recorrió ese camino: la primera multa millonaria del GDPR, los 50 millones de euros de la CNIL francesa a Google en enero de 2019, fue precisamente por deficiencias de transparencia e información, no por una filtración espectacular.

Hay un segundo efecto, menos comentado. Lo que usted publica queda como declaración permanente, disponible para cualquier reclamo futuro. Si lo publicado no calza con lo que su empresa efectivamente hace, la evidencia de la inconsistencia la dejó usted mismo en línea. La transparencia no es solo una obligación: es prueba, a favor o en contra.

La trampa de «parece fácil»

A primera vista, el artículo 14 ter es la obligación más sencilla de la ley: redactar una página y subirla. La trampa está en que cada letra presupone trabajo interno ya hecho. No puede publicar el período de conservación si no ha definido plazos de supresión. No puede declarar bases de legitimidad si no ha levantado sus actividades de tratamiento. No puede informar transferencias internacionales si no sabe en qué país están los servidores de sus proveedores. No puede describir la lógica de sus decisiones automatizadas si no las ha mapeado.

Dicho de otra forma: el artículo 14 ter no es una tarea de redacción, es el resumen ejecutivo público de su sistema de cumplimiento. Si el sistema no existe, la página solo tiene dos caminos, quedar incompleta o faltar a la verdad, y ambos son infracción. No se puede publicar con verdad lo que no se ha hecho.

Cómo prepararse

El instinto dice «encarguemos la redacción de la política». El orden correcto es el inverso: la redacción es el último paso, no el primero.

No es una intuición de consultor: es lo que recomiendan las propias autoridades europeas. La guía de implementación de avisos de privacidad de la autoridad alemana de protección de datos de Renania del Norte-Westfalia aconseja, antes de redactar, hacer un inventario y construir el registro de actividades de tratamiento, porque con esa información reunida la redacción del aviso resulta considerablemente más sencilla. Y la misma guía deja una advertencia que conviene leer dos veces: publica un modelo de aviso y aclara, en el propio documento, que usarlo no exime de cumplir, porque toda plantilla debe adaptarse a los tratamientos reales de cada empresa. Ni siquiera la autoridad que regala el formato sostiene que el formato sea el cumplimiento.

Los cinco pasos, en orden
Marque los que ya tenga resueltos

Primero, levante sus actividades de tratamiento: qué datos trata, de quiénes, para qué, con qué base de legitimidad y con quién los comparte. Ese levantamiento es el insumo directo de la mitad de las doce letras.

Segundo, defina lo que todavía no existe: plazos de conservación por categoría de datos, el inventario de transferencias internacionales con sus garantías, el mapa de decisiones automatizadas con su lógica explicable. Y si va a invocar intereses legítimos, deje la ponderación hecha y documentada antes de declararlos: la guía alemana recomienda, como buena práctica, ofrecer al titular información sobre esa ponderación.

Tercero, redacte las doce letras en lenguaje claro, pensando en el titular que las leerá y no en el abogado que las defenderá. El estándar legal es ese: precisa, clara, inequívoca y gratuita.

Cuarto, ponga fecha y versión, y asigne un dueño. La ley exige mantener la información «permanentemente» a disposición: la transparencia es un documento vivo, y cada cambio relevante en sus tratamientos debe reflejarse en lo publicado.

Quinto, pruebe el canal de contacto. La ley exige un medio actualizado y operativo para recibir solicitudes de los titulares, y su ausencia es otra infracción autónoma. Un correo que nadie lee no es un canal: es un riesgo publicado.

La pregunta que conviene poder responder

Abra de nuevo su sitio web y léalo con esta vara: ¿describe lo que su empresa efectivamente hace con los datos, completo, al día y en un lenguaje que su propio cliente entendería? Si la respuesta es sí, no solo su fachada está en regla: lo más probable es que lo de adentro también. Si la respuesta es no, ahí tiene, a la vista de cualquiera, la primera brecha que cerrar. El artículo 14 ter no le pide contar algo nuevo: le pide tener algo que contar.

En Idónea ayudamos a las organizaciones a construir ese contenido en el orden correcto: levantar sus tratamientos, cerrar las definiciones que faltan y redactar la información de transparencia para que resista la mirada de la Agencia y la de sus propios clientes. Si quiere saber cómo se ve su sitio web con los ojos del artículo 14 ter, conversemos.

Sobre la autora

Catherine Muñoz Gutiérrez es fundadora y directora ejecutiva de Idónea Consultores, la primera consultora interdisciplinaria de Chile en protección de datos, ciberseguridad y gobernanza de inteligencia artificial. Abogada y Máster en Derecho (LL.M.) por la Universidad de Heidelberg, es profesora de derecho y tecnología y participó en las discusiones en el Senado durante la tramitación de la reforma a la Ley 19.628.

Este artículo tiene fines de orientación general y no constituye asesoría legal para un caso concreto.

ido
nea
Idónea Consultores SpA · Servicios Legales para un Mundo Digital · www.idonea.cl