top of page
Buscar

Qué pasa cuando una empresa cree que eliminó un dato personal, pero sigue apareciendo

  • Foto del escritor: Roberto Osorio
    Roberto Osorio
  • 12 may
  • 6 min de lectura

Un dato personal puede seguir apareciendo después de haber sido eliminado.


No necesariamente por mala intención. Muchas veces ocurre porque antes de llegar al sistema principal, ese dato ya había viajado por distintos puntos de la operación: un formulario, un correo, un CRM, una planilla, una automatización, una campaña o un proveedor externo.


Ahí empieza una conversación más incómoda. El problema no es solo borrar un registro. El problema es saber si la empresa realmente conoce el recorrido de sus datos personales.


Con la Ley 21.719 en Chile, esta pregunta empieza a tomar más peso. La protección de datos personales ya no se puede mirar solo como una política publicada en el sitio web. También exige entender cómo se capturan, usan, conservan, comparten y eliminan los datos dentro de una empresa.


Eliminar datos personales no siempre significa que desaparecen de toda la operación | Datactil

Primero se borra del sistema visible


En una revisión interna, la respuesta suele ser rápida: “ese contacto ya fue eliminado”. Y puede ser cierto. El registro ya no aparece en el CRM, la ficha fue cerrada, el usuario fue dado de baja o la fila desapareció de la planilla principal.


Desde la pantalla visible, el dato ya no está.


Pero la operación rara vez funciona en una sola pantalla. Antes de llegar ahí, ese dato pudo pasar por formularios, correos automáticos, bases exportadas, integraciones, respaldos, reportes, campañas antiguas o herramientas externas.


Por eso, cuando hablamos de qué pasa si un cliente pide eliminar sus datos según la Ley 21.719, la pregunta no puede limitarse al CRM. Hay que revisar el flujo completo.

La pregunta no es solo si el dato fue borrado. La pregunta es si la empresa sabe dónde estuvo.


Después aparecen las copias


Las copias son el punto incómodo. Una base comercial descargada para una campaña, una planilla enviada por correo, un archivo guardado en una carpeta compartida, un respaldo automático o una integración antigua pueden parecer detalles menores por separado.


Pero cuando se miran en conjunto, muestran algo más profundo: el dato no estaba perdido. Estaba repartido.


Y cuando un dato personal está repartido, eliminarlo deja de ser una acción simple. Se vuelve una tarea de trazabilidad.


Esa trazabilidad es una parte clave del cumplimiento. No basta con tener documentos si la empresa no puede demostrar qué ocurre con la información en la operación real.


El problema no siempre está en el sistema principal


Muchas empresas miran primero su plataforma más importante: el CRM, el ERP, el sitio web, el sistema de ventas o la base de clientes. Tiene sentido, porque ahí está la operación más visible.


Pero en la práctica, el riesgo muchas veces aparece alrededor. En el formulario que nadie actualizó, en la automatización que sigue activa, en el usuario que todavía tiene acceso, en el Excel que se usó “solo por mientras” o en la base que quedó guardada para una campaña futura.


La operación real no siempre coincide con el mapa formal.


Ahí es donde la Ley 21.719 empieza a exigir una mirada más seria. No basta con decir que existe una política de privacidad. Hay que poder explicar cómo se tratan los datos personales dentro del negocio.


Borrar no siempre significa suprimir


En sistemas reales, borrar puede significar muchas cosas. Puede ser ocultar un registro, desactivarlo, archivarlo, sacarlo de una vista, moverlo a una papelera o impedir que aparezca en una campaña.


Todo eso puede ayudar.


Pero no siempre equivale a una supresión efectiva.


La supresión de datos personales supone que el dato deja de ser tratado cuando ya no corresponde conservarlo, salvo que exista una razón legal, contractual u operacional válida para mantenerlo.


Ahí aparece una diferencia que no siempre se conversa. Una empresa puede creer que eliminó un dato porque ya no lo ve, pero si ese dato sigue activo en otro flujo, el problema sigue abierto.


Por eso conviene revisar también los derechos sobre datos personales en Chile y los cambios que trae la Ley 21.719. Cuando una persona ejerce sus derechos, la empresa necesita responder desde la operación, no solo desde la intención.


La conservación necesita una razón


Durante años, muchas empresas guardaron datos “por si acaso”. Por si el cliente vuelve, por si sirve para una campaña futura, por si se necesita comparar resultados o por si alguien pide revisar un historial.


Ese criterio empieza a ser débil.


Con la Ley 21.719, conservar datos personales exige una razón más clara. Hay que poder explicar para qué se conservan, quién accede, durante cuánto tiempo, bajo qué finalidad y qué ocurre cuando dejan de ser necesarios.


Cuando esas respuestas no existen, el dato deja de ser un activo ordenado. Se convierte en una carga operativa.


La escena más común


Una persona pide que eliminen sus datos. El equipo revisa el CRM y los elimina. Hasta ahí, todo parece resuelto.


Días después, esa misma persona recibe un correo automático.


No fue mala intención. Fue una automatización conectada a una base antigua.


Ese pequeño error muestra un problema mayor: la empresa no tenía control completo del flujo. No sabía que el dato seguía viviendo en otro lugar.


Y cuando eso ocurre, la conversación deja de ser legal en abstracto. Se vuelve operativa.


En empresas con campañas comerciales, clubes de beneficios, bases de clientes o programas de fidelización, este riesgo puede crecer rápido. Por eso el retail y las empresas con alto volumen de contactos deberían revisar con especial cuidado cómo administran sus datos, tal como comentamos en el análisis sobre clubes de beneficios y Ley 21.719.


El mapa vale más que la promesa


Antes de prometer eliminación, conviene construir un mapa simple del recorrido del dato. No un informe enorme ni una consultoría interminable. Un mapa honesto que muestre por dónde entra la información, qué sistemas la reciben, qué personas acceden, qué proveedores participan y dónde puede quedar una copia.


Ese ejercicio suele mostrar más que una política extensa. Permite detectar formularios antiguos, bases duplicadas, automatizaciones olvidadas, respaldos sin criterio y accesos que ya no tienen sentido.


En protección de datos, la promesa importa. Pero el mapa importa más. Porque cuando una persona ejerce sus derechos, la empresa no responde con intención. Responde con evidencia.


La trazabilidad cambia la conversación


Tener trazabilidad no significa tener un sistema complejo desde el primer día. Significa poder reconstruir el camino de un dato con suficiente claridad.


Aquí sí vale ordenar algunas preguntas concretas:

¿cuándo llegó el dato?

¿por qué llegó?

¿dónde quedó guardado?

¿quién lo usó?

¿a quién se comunicó?

¿cuándo dejó de ser necesario?

¿qué ocurrió cuando se pidió corregirlo o eliminarlo?


Si la empresa no puede responder estas preguntas, cada solicitud se vuelve manual. Y cuando todo depende de buscar correos, preguntar por WhatsApp o revisar planillas sueltas, el riesgo aumenta.


Este es uno de los motivos por los que soluciones como la tokenización de datos en Chile empiezan a ser relevantes en algunos escenarios. No todos los casos requieren el mismo nivel de arquitectura, pero sí conviene entender que la protección de datos también puede resolverse desde el diseño técnico.


Prepararse no es llenar carpetas


Prepararse para la Ley 21.719 no debería partir por acumular documentos. Debería partir por entender cómo circulan los datos personales dentro de la empresa.


Un buen primer ejercicio es elegir un flujo específico, por ejemplo el formulario de contacto comercial, y seguirlo completo: qué datos pide, dónde llegan, quién los recibe, qué sistema los almacena, qué automatización se activa, qué proveedor participa, cuánto tiempo se conservan y cómo se eliminan o anonimizan.


Ese recorrido permite priorizar. No todo debe resolverse el mismo día, pero sí conviene saber dónde está el riesgo real.


El riesgo no está solo en la multa


Las multas importan, por supuesto. Ya lo revisamos en el artículo sobre multas de la Ley 21.719 en Chile. Pero mirar solo la sanción puede llevar a una lectura incompleta.


El riesgo más cercano suele estar en la pérdida de control. En no saber qué responder. En depender de búsquedas manuales. En tener bases antiguas circulando. En descubrir tarde que una automatización seguía activa.


Cuando una empresa no puede explicar sus datos, queda expuesta.


No solo frente a la autoridad.


También frente a sus clientes.


Agenda una evaluación de proyecto con Datactil


En Datactil revisamos estos temas desde la operación real: formularios, CRM, planillas, automatizaciones, integraciones, accesos, trazabilidad y flujos de datos.


La Ley 21.719 no se prepara solo escribiendo documentos. Se prepara entendiendo cómo circula la información dentro de la empresa y qué ajustes técnicos conviene hacer antes de que una solicitud, una fiscalización o un incidente obliguen a improvisar.


Si quieres revisar dónde están tus datos personales, qué sistemas participan y qué ajustes conviene priorizar, puedes agendar una evaluación de proyecto con Datactil:




Este contenido es informativo y no reemplaza una asesoría legal especializada. Su objetivo es ayudar a mirar la Ley 21.719 desde la operación tecnológica y los procesos reales de una empresa.

Comentarios

bottom of page