Efectos de la LPDP en las fusiones y adquisiciones en Chile

En un mundo globalizado ― y altamente digitalizado ― la privacidad ha ido cobrando cada vez mayor relevancia, siendo considerada en los últimos años como un valor estratégico dentro de las organizaciones, sobre todo a la luz de la irrupción de nuevas tecnologías como la IA. 

En Europa, vemos, por ejemplo, que el efecto de la dictación del Reglamento General de Protección de Datos fue profundo, reformulando los mercados de capitales, y convirtiendo la madurez del gobierno de datos en un factor crítico, y definiendo aspectos clave de las integraciones de entidades posteriores al acuerdo. En Latinoamérica, con el repunte de las transacciones — aproximadamente USD 96 mil millones en operaciones durante los primeros once meses de 2025 — el escenario esperado no es distinto. 

Chile se encuentra entonces en un escenario particular. La Ley 21.719 sobre protección de datos personales, entrará en vigor el 1 de diciembre de 2026, reemplazando 25 años de escasa fiscalización y bajas sanciones en la materia. La LPDP introduce multas de hasta 20.000 UTM  ― aproximadamente USD 1,6 millones — y crea la Agencia de Protección de Datos Personales con facultades investigativas y correctivas. Para un mercado donde las operaciones tecnológicas se están acelerando este cambio no es meramente regulatorio: es estructural.

En la tercera edición de su libro, “Privacy Program Management: Tools for Managing Privacy Within Your Organization,” uno de los principales textos del curso de CIPM de la IAPP, el autor Russel Densmore sistematiza los efectos de las áreas donde la privacidad se entrecruza con las fusiones y adquisiciones, de la siguiente forma:

1. Evaluación de riesgos durante el proceso de debida diligencia.
2. Requisitos legales para el intercambio de datos.
3. Desafíos de integración tras la operación.

En Chile, estos pilares toman rasgos propios bajo la LPDP.

Exposición al riesgo y el imperativo de la debida diligencia

En el primer pilar, la evaluación del riesgo, la experiencia europea ofrece enseñanzas claras. Bajo el RGPD, los compradores aprendieron que el deficiente manejo de datos conlleva a reducción del precio de compra por cientos de millones de dólares, multas regulatorias y responsabilidades que emergen años después del cierre. El concepto “cementerios de datos” — bases de datos heredadas donde los datos personales persisten sin base legal válida — ha demostrado ser particularmente tóxico para el valor de las operaciones. Reguladores como las autoridades alemanas lo demostraron con una sanción de 17 millones euros contra Deutsche Wohnen  por este tipo de incumplimiento.

Hoy los procesos de fusiones y adquisiciones suelen incluir lo que la IAPP describe como un "punto de control de privacidad" para evaluar la situación de la empresa objetivo. Esto cubre tres dimensiones: identificar leyes y regulaciones sectoriales aplicables; revisar contratos para habilitar la transferencia de datos en caso de fusión; y evaluar si los recursos, tecnologías y procesos de la empresa objetivo se alinean con las políticas de privacidad y seguridad antes de la integración.

En Chile, ese control debe ajustarse a la LPDP: verificar bases de licitud y consentimientos; capacidades de portabilidad; y preparación para nuevos derechos (supresión y oposición a decisiones automatizadas). La anterior Ley 19.628 en Chile era bastante menos exigente, por lo que conviene que las entidades puedan adaptar estas prácticas antes de diciembre de 2026.

Intercambio de datos y la base de licitud

La debida diligencia es tratamiento de datos. Compartir datos personales con un potencial comprador — bases de datos de clientes, registros de empleados, información de proveedores — requiere base legal válida. Bajo el RGPD, compradores suelen invocar interés legítimo o necesidad contractual, para recibir y tratar los datos durante la operación. Los titulares deben ser informados de cambios relevantes resultantes de la operación, y pueden oponerse. Esto crea una tensión práctica entre la transparencia necesaria para valorar el activo y la transparencia (principio de licitud y lealtad en materia de datos personales) a los titulares. 

La LPDP introduce un marco análogo en Chile: consentimiento, necesidad contractual, interés legítimo y obligación legal regirán el intercambio durante negociaciones. Empresas acostumbradas a la flexibilidad de la Ley 19.628 deberán establecer protocolos para “data romos” (espacios seguros físicos o virtuales para almacenar o compartir información confidencial), divulgaciones lícitas, minimización de datos y notificaciones cuando correspondan.

En transacciones transfronterizas, la LPDP requiere estándares adecuados de protección, salvaguardas contractuales o bases legales específicas. Herramientas como las Cláusulas Contractuales Tipo, y Evaluaciones de Impacto en Transferencias no serán solo europeas: también se volverán estándar en Chile. En este ámbito, adquiere particular relevancia que el Ministerio de Economía de Chile haya aprobado en diciembre de 2025 las CCT para la transferencia internacional de datos personales, alineadas con la Ley N.º 21.719. Estas cláusulas, se encuentran basadas en modelos de la Red Iberoamericana de Protección de Datos, y se establecieron con el objetivo de facilitar el cumplimiento de estándares internacionales, y en el caso actual de Chile, permitirán otorgar certeza jurídica a las organizaciones en el espacio anterior a la entrada en vigor plena de la nueva normativa en diciembre de 2026.

El empuje de infraestructura digital en Chile amplifica esta dinámica. El Cable submarino Humboldt de Google, la primera región de centros de datos de Microsoft en Chile (julio de 2025) y la inversión estatal en cómputo de alto rendimiento posicionan al país como portal del Pacífico para flujos de datos. Sin embargo, más conectividad implica más superficie regulatoria que los compradores deben evaluar.

Integración, gobernanza post-fusión y el “Día 1”

La integración es donde la teoría colisiona con la operación. Gestionar datos compartidos tras la transacción es complejo, sobre todo al integrar sistemas dispares. La IAPP ha destacado que existe alto riesgo de incidentes de seguridad durante esta fase, lo que podría resultar en pérdida o corrupción de datos. Esta es la fase donde debe cerrarse la “brecha de cumplimiento” entre comprador y empresa objetivo.

Tres prioridades marcan la diferencia: 

1. Gobernanza y responsabilidad: registros exactos y actualizados, procedimientos documentados y una arquitectura unificada de trazabilidad del consentimiento (artículo 14 bis LPDP).
2. Políticas de retención: un marco consistente que evite conservar datos más allá de lo necesario —precisamente el tipo de incumplimiento que afectó a Deutsche Wohnen.
3. Integridad en desinversiones: asegurar que, en ventas de entidades resultantes de procesos de divisiones, por ejemplo, no queden datos residuales en sistemas de la organización original. 

Una falla común en Europa, es ignorar la alineación cultural entre las empresas fusionadas. Si el comprador planea usar los datos de forma distinta a lo informado, puede requerirse nuevo consentimiento, el que resulta costoso y negativo para la experiencia del usuario. En Chile, donde muchas organizaciones recién consolidan culturas de privacidad, esta dimensión cultural será crítica.

El delegado de protección de datos como un activo transaccional

En un artículo anterior, argumentamos que, aunque la LPDP no obliga a nombrar un DPO, su presencia sí crea valor en las fusiones y adquisiciones. Este contexto refuerza este argumento en los tres pilares del marco de la IAPP. En debida diligencia, la presencia (o ausencia) de un DPO señala madurez de gobernanza. Durante el intercambio de datos, el DPO se encargará de validar las bases de licitud. Durante la integración, aportará continuidad y conocimiento del ecosistema de datos de la empresa objetivo.

Una empresa con un DPO activo, mapa de datos actualizado bajo las obligaciones del registro del LPDP y un marco de cumplimiento articulado es, simplemente, una adquisición menos riesgosa.

La CNIL francesa estudió los beneficios económicos del rol de DPO (julio de 2025 ), concluyendo que los DPO otorgan ventajas competitivas, evitan sanciones, previenen fugas de datos y optimizan la gestión. En el ciclo de fusiones y adquisiciones, estos beneficios se traducen directamente en mayor certeza transaccional, declaraciones y garantías limpias y costos de remediación reducidos.

El artículo 49 de la LPDP sobre modelos voluntarios de prevención de infracciones, junto con el Decreto N.º 662/2025 que detalla el rol del DPO (interno o externo), entregan flexibilidad para diseñar gobernanzas sólidas. Quienes inviertan temprano estarán mejor posicionados regulatoria y transaccionalmente.

Mirando hacia adelante: la gobernanza de la IA como la próxima frontera

La intersección entre protección de datos y gobernanza de la IA ya es operativa. En Europa, el Ómnibus Digital y la Ley de IA de la UE — con disposiciones esperadas para julio de 2026 — están reconfigurando las listas de verificaciones que se realizan durante una diligencia debida. Se exige a los negociadores evaluar la procedencia de los datos de entrenamiento, supervisión humana de IA y si las prácticas de desarrollo de modelos respetan los principios de transparencia y limitación de propósito.

En Chile, la Política Nacional de IA 2024–2031 y la inversión estatal en centros de supercomputación especializados en IA señalan una trayectoria similar. Las organizaciones que utilizan datos personales en sistemas automatizados enfrentarán escrutinio bajo la LPDP y futuros marcos de IA. Para los compradores, el proceso de debida diligencia del futuro deberá abarcar no solo cómo una empresa recolecta y almacena datos, sino también cómo alimentan a sistemas inteligentes.

Conclusión

La protección de datos dejó de ser un ápice más del proceso de fusiones y adquisiciones. Con la LPDP, Chile entra en una nueva realidad, y para navegarla el marco de tres pilares de la IAPP resulta útil — evaluación de riesgos, intercambio lícito de datos y gobernanza post-fusión— entregando una estructura para navegar esta transición.

La evidencia europea muestra que la madurez del gobierno de datos impacta precios, exposición a responsabilidades, costos de integración y rendimiento del acuerdo a largo plazo. En Chile, la ventana de cumplimiento se cierra. Invertir ahora en puntos de control de privacidad, estructuras de DPO, mecanismos de transferencia y gobernanza de integración no solo evitará sanciones: construirán un valor transaccional.