En un entorno regulatorio cada vez más exigente, las empresas del ecosistema de medios de pago enfrentan el desafío de cumplir con nuevas leyes como la Ley Marco de Ciberseguridad, la Ley de Protección de Datos Personales y la Ley de Delitos Económicos. Para Ximena Rojas, VP Legal de Khipu, fintech chilena especializada en pagos digitales, el cumplimiento legal no se trata solo de seguir reglas: es una oportunidad para fortalecer la confianza, transformar la cultura interna y asumir una responsabilidad activa con los datos y las personas.
«En Khipu, entendemos que detrás de cada dato que se procesa, cada clic que se realiza y cada autorización que se otorga, hay personas reales que confían. Y esa confianza, sabemos, no se gana con certificados en la pared ni con frases de cumplimiento: se construye desde dentro, con decisiones diarias, con coherencia cultural y con un compromiso profundo por hacer las cosas bien», explica Rojas.
Seis Claves para Construir una Cultura de Protección
1. Diagnóstico del Contexto y la Industria
Khipu parte por identificar en qué industria opera y cuáles son los datos que se tratan. Esto permite aplicar principios como la privacidad por diseño y por defecto con un enfoque realista y adaptado. En el sector financiero, por ejemplo, el consentimiento es base legal esencial, mientras que en otros sectores pueden aplicarse otras fuentes de licitud.
2. Definición de Políticas según los Flujos de Datos
Con el diagnóstico claro, se establecen políticas específicas para cada tratamiento de datos, asegurando que cada flujo tenga respaldo normativo y propósito justificado.
3. Gestión de Derechos de las Personas
La empresa diseña procesos simples, accesibles y comprensibles para que las personas puedan ejercer sus derechos de forma efectiva. El foco está en la usabilidad, no solo en el cumplimiento.
4. Seguridad de la Información Basada en Riesgos Reales
Se implementa una política de seguridad coherente con los riesgos específicos del negocio, integrando controles técnicos y organizacionales que protegen tanto los sistemas como los datos.
5. Resiliencia Tecnológica Real y Efectiva
No basta con tener respaldos. En Khipu se evalúa la independencia tecnológica de los sistemas alternativos, evitando redundancias que compartan vulnerabilidades. La resiliencia se diseña con diversidad tecnológica y planificación anticipada.
6. Enfoque de Seguridad: «Nunca Confíes, Siempre Verifica»
Se aplica el principio de zero trust con herramientas como autenticación multifactor, microsegmentación de accesos y revisiones periódicas. El objetivo es reducir riesgos, reforzar la trazabilidad y proteger a los usuarios.
«Muchas veces se deja la ciberseguridad y el cumplimiento en manos del CISO o del área legal. Pero la verdad es que esto tiene que ser un esfuerzo colectivo. Nosotros tenemos un comité multiárea dónde Legal tiene voz y voto, y donde cada integrante sabe que su rol importa. Reportar a tiempo no es sólo una exigencia legal, es una forma de cuidar a nuestros usuarios. Y más allá de lo técnico, también estamos impulsando una transformación cultural: capacitaciones cortas, mensuales, con mensajes claros y prácticos. Porque de esto se trata: de que toda la organización entienda que proteger los datos no es un asunto de otros. Es de todos», agrega Ximena Rojas.
Finalmente, Khipu también impulsa el respeto al principio de neutralidad tecnológica, clave para una innovación real y abierta. La tecnología, como Inteligencia Artificial, Internet o el web scraping, no son buenas ni malas en sí mismas: su valor —o su riesgo— depende del uso que se les dé. Por eso, en lugar de bloquear tecnologías por miedo, creen que es importante usarlas con ética, cumplimiento normativo, con regulación inteligente y con un fuerte enfoque en el bienestar de las personas.
