En la República Dominicana hiperconectada, una reputación no empieza a destruirse en los tribunales. Empieza antes: en un grupo de WhatsApp, en una filtración interna, en una captura reenviada sin autorización o en una base de datos que alguien descargó sin controles.

Durante años, muchas organizaciones trataron la privacidad como un asunto legal secundario; en el mejor de los casos, como una política más en una carpeta o un texto estándar en formularios.

En la era del algoritmo, ese enfoque ya no alcanza. El artículo 186 del nuevo Código Penal obliga a mirar la privacidad como lo que realmente es: un riesgo penal, reputacional y de confianza.

La noticia de fondo no es la pena. Es el cambio de cultura: recibir no autoriza a reenviar, grabar no autoriza a publicar y tener acceso no autoriza a usar.

La pregunta para las grandes empresas y organizaciones ya no es si manejan datos personales. Todas lo hacen. Las preguntas son otras: quién accede a ellos, para qué los usa, cómo los comparte, dónde queda registrado ese uso, qué pasaría si mañana se filtran y si las personas afectadas recibirían respuestas claras.

El artículo 186 pone esa advertencia por escrito: divulgar, compartir, publicar o enviar conversaciones, imágenes, audios o videos personales captados en espacios privados sin consentimiento puede tener consecuencias penales, más graves aún si se afecta el honor, el buen nombre o la imagen de la persona, y especialmente si hay niños, niñas o adolescentes involucrados.

Aquí empieza el verdadero reto. Esta no es solo una norma para quien reenvía una captura desde su teléfono. Es una llamada de atención para empresas, colegios, clínicas, bancos, medios, plataformas digitales e instituciones públicas. Todas manejan información de personas reales. Todas pueden causar daños reales.

Una crisis de privacidad no siempre empieza con un hacker. Puede empezar con una clave compartida en la oficina, un expediente enviado por WhatsApp “para resolver rápido”, una foto tomada en un colegio sin autorización, una cámara de seguridad revisada por curiosidad, una conversación laboral reenviada a terceros o una base de datos descargada en una computadora personal.

Por eso, mirar el artículo 186 solo como una disposición penal es quedarse corto. Debe leerse como un llamado a la prevención: revisar de manera constante los accesos, las cámaras, los archivos, los grupos de mensajería, los proveedores y la cultura interna antes de que la filtración ocurra.

La intimidad no es un favor que concede una organización. Es un derecho. Antes, invadirla podía significar entrar a una casa o abrir una carta. Hoy puede bastar con descargar un archivo, capturar una pantalla o publicar una imagen.

La privacidad no se protege con comunicados después del escándalo. Se protege antes: limitando accesos, documentando decisiones, entrenando equipos, trazando consultas y demostrando controles reales. Más aún, la reputación empresarial se protege cuando existe trazabilidad de esas acciones preventivas.

A eso se le llama privacidad por diseño —o privacy by design—: no esperar a que ocurra el daño para pensar en controles, sino incorporar la protección de datos personales desde el inicio de cada proceso, producto, sistema o decisión. Y privacidad por defecto significa que la opción inicial sea siempre la más protectora del individuo: pedir solo los datos necesarios, limitar quién puede verlos, reducir el tiempo de conservación y evitar que la información quede abierta a más personas de las necesarias.

Ejemplos sobran: un formulario que no pide la cédula si no es necesaria; una plataforma escolar que oculta por defecto fotos de menores; una clínica que impide descargar historiales completos sin autorización; un banco que registra quién consultó una cuenta y para qué; una empresa que bloquea el reenvío de expedientes laborales fuera del sistema; o una cámara de seguridad configurada para fines de seguridad, no para vigilancia informal.

Para una empresa, una violación de privacidad no es un simple “incidente”. Es una pérdida de confianza. Y cuando la confianza se pierde, llegan después los expertos en manejo de crisis, los abogados, las sanciones, las demandas, los titulares y la crisis reputacional.

Piense en una clínica donde circula un diagnóstico, un banco donde se filtran datos de clientes, un colegio donde se viraliza la imagen de un menor o una empresa donde un expediente laboral termina fuera de control. El daño no está solo en el archivo. Está en la persona expuesta y en la institución que no supo protegerla.

La prevención empieza por preguntas simples: ¿realmente necesitamos este dato?, ¿quién debe verlo?, ¿por cuánto tiempo debe conservarse?, ¿puede compartirse fuera del sistema?, ¿queda registro de cada acceso?, ¿qué pasa en la primera hora de una filtración?

En las organizaciones, esta es una tarea de todos: dirección, cumplimiento, tecnología, recursos humanos, comunicaciones y gestión de crisis. La privacidad debe sentarse en la mesa donde se toman decisiones, debe estar presente antes de aprobar procesos, contratar proveedores, abrir accesos o lanzar nuevas herramientas.

Conviene recordar algo elemental: una organización no actúa en abstracto. Actúa a través de personas físicas. Y esas mismas personas —directivos, empleados, técnicos, proveedores, docentes, médicos, cajeros, comunicadores o servidores públicos— también tienen intimidad, imagen, datos, conversaciones y expedientes que pueden quedar expuestos. Nadie queda protegido por su cargo frente al riesgo de ser víctima.

El peor error es esperar al escándalo. Una sentencia puede tardar años; una publicación viral tarda segundos. Una disculpa puede sonar correcta, pero no borra capturas, rumores ni sospechas.

Dicho esto, la privacidad no puede ser excusa para tapar corrupción, abuso, violencia o negligencia. Pero hay una línea que debemos aprender a respetar: una cosa es el interés público y otra muy distinta es la curiosidad pública. Denunciar no es lo mismo que humillar. Informar no es lo mismo que exponer. Fiscalizar no es lo mismo que convertir la vida ajena en espectáculo público.

Por eso, las organizaciones necesitan reglas claras antes del problema: cómo manejar denuncias internas, solicitudes de prensa, publicaciones en redes, conflictos laborales, filtraciones y datos sensibles; pero también cómo diseñar sistemas que no permitan, por defecto, que cualquiera vea, copie, descargue o reenvíe información que no necesita.

El cumplimiento en privacidad no se mide por tener un manual guardado. Se mide por decisiones concretas: campos que se eliminan o se anonimizan si no son realmente obligatorios para los fines acordados, accesos que se restringen, cámaras que se regulan, grupos de WhatsApp que dejan de usarse para “resolver rápido” sin reglas claras, proveedores que se auditan, empleados que se entrenan y sistemas que registran quién hizo qué.

La prevención es menos vistosa que la crisis, no suele generar titulares, aplausos ni atención en redes sociales. La mayoria de las veces es discreta, tecnica  y si tediosa. No obstante, es más barata, más responsable y, sobre todo, mucho más humana.

El llamado a las organizaciones es concreto: hacer el mapa de la información personal que manejan; eliminar los datos que no necesitan; limitar accesos; activar configuraciones protectoras por defecto; regular imágenes, audios y grabaciones; revisar proveedores; entrenar a su gente; y preparar un protocolo de respuesta antes de necesitarlo.

El artículo 186 no debería llenar tribunales. Debería vaciar excusas. Debería obligarnos a dejar de improvisar con la privacidad ajena. La acción correcta no es esperar a que algo se filtre para contratar expertos en manejo de crisis, abogados, apagar incendios y redactar disculpas. La acción correcta es prevenir: saber, controlar, entrenar y responder.

Para las empresas, el mensaje es simple: proteger datos, imágenes, conversaciones y expedientes ya no es un asunto secundario. Es parte de la confianza que sostiene el negocio. Esa confianza la otorga el cliente, el empleado, el paciente, el estudiante o el ciudadano cuando entrega información personal bajo la expectativa de que será cuidada.

En la era del “todo se sabe”, la responsabilidad no consiste en reaccionar bien cuando todo explota. Consiste en evitar que explote y, si ocurre, estar listos para responder con rapidez, evidencia y responsabilidad. La privacidad se defiende antes del daño. Después, muchas veces, solo queda administrar las consecuencias.

Daniela Collado Chávez

Abogada

La autora es abogada admitida al ejercicio profesional en la República Dominicana. Su trayectoria combina experiencia en el sector público, el sector privado, gremios empresariales y la academia, con especial enfoque en LegalTech, transformación digital, derecho regulatorio y cumplimiento. Su práctica integra asuntos corporativos, regulación económica, derecho internacional,telecomunicaciones, privacidad, protección de datos y prevención de lavado de activos, acompañando a organizaciones en la gestión legal de sus riesgos, procesos de innovación y obligaciones de cumplimiento.

Ver más