La creación de la Agencia de Protección de Datos Personales marca un hito en Chile, pero su superposición con el SERNAC abre una zona gris regulatoria. Sin coordinación efectiva, el riesgo no es el exceso de control, sino la inacción frente a la vulneración de derechos digitales.
Por Rafael Pastor Besoain.- La creación de la Agencia de Protección de Datos Personales (APDP) tras la aprobación de la Ley 21.719 representa un avance para Chile. Por fin tendremos una autoridad especializada que resguarde los datos personales frente a su gestión abusiva en diversos mercados y sectores. Sin embargo, junto con esta buena noticia surge una tensión institucional que puede minar su eficacia regulatoria: la coexistencia de esta nueva agencia con el Servicio Nacional del Consumidor (SERNAC) en un terreno común, donde ambos parecen tener competencias concurrentes.
En efecto, el SERNAC puede presentar acciones de interés colectivo o difuso y realizar fiscalizaciones respecto de los datos personales de los consumidores en el marco de las relaciones de consumo. La APDP, por su parte, tiene potestad para sancionar tratamientos ilícitos de datos personales, incluso cuando se produzcan dentro de una relación de consumo. El resultado es una zona gris, un espacio de fronteras difusas donde ambos organismos podrían intervenir… o ninguno hacerlo.
El profesor estadounidense William Buzbee llamó a esta situación regulatory commons, aludiendo a la idea de que cuando varios reguladores comparten jurisdicción sobre un mismo problema social o falla de mercado, ninguno asume primacía. En vez de exceso de regulación, se produce un vacío de acción regulatoria. No se trata de una “tragedia de los comunes” sobre un recurso natural, sino sobre la oportunidad misma de hacer efectiva la regulación.
Este riesgo es real en Chile. Sin coordinación efectiva, el SERNAC y la APDP pueden caer en dos extremos igualmente dañinos: por una parte, la posibilidad de duplicidad sancionatoria; por otra, la inacción por deferencia mutua. En ambos casos, el ciudadano pierde. Si estos servicios públicos investigan un mismo hecho —por ejemplo, una filtración de datos en una plataforma digital comercial— podrían dictar sanciones distintas, con criterios divergentes y altos costos administrativos. Si, por el contrario, ninguna se declara competente, la vulneración quedará sin castigo.
Evitar ese laberinto requiere diseño institucional e incentivos correctos, no solo buena voluntad. La experiencia internacional enseña que las agencias deben coordinarse bajo un mecanismo de coherencia regulatoria, como lo establece el artículo 63 del Reglamento Europeo de Protección de Datos. Esto implica generar protocolos de actuación conjunta, ventanillas únicas para denuncias y reglas claras de jerarquía reglamentaria. Es decir, cuando el problema principal sea la gestión ilegal de datos personales en una relación de consumo, la APDP debe tomar la iniciativa, con apoyo del SERNAC, y no al revés.
Los datos hoy son los nuevos bienes comunes. Su protección no puede depender de cálculos burocráticos. La ciudadanía necesita certezas, no una institucionalidad fragmentada. En los mercados digitales, donde cada clic deja huella, el Estado debe hablar con una sola voz.
Si el SERNAC y la nueva agencia logran actuar coordinadamente, Chile podría convertirse en un referente regional en la regulación de datos personales en las relaciones de consumo. De lo contrario, corremos el riesgo de que esta protección se pierda en un nuevo regulatory commons, donde dos instituciones son responsables, pero nadie actúa.
Rafael Pastor Besoain es decano de la Facultad de Derecho, U.Central
