Ley de Protección de Datos Personales y su impacto en RRHH

En la actualidad, las empresas no solo gestionan procesos, también gestionan información de personas, desde contratos y evaluaciones hasta datos bancarios y antecedentes de salud que forman parte de su operación diaria.

En ese escenario, la ley de protección de datos personales redefine la protección de datos en Chile y eleva el estándar de cumplimiento normativo empresarial, obligando a revisar cómo se recopilan, utilizan y resguardan los datos dentro de la organización, especialmente en ámbitos sensibles como Recursos Humanos.

¿Qué la normativa de protección de datos en Chile?

Durante más de dos décadas, Chile operó bajo la Ley N°19.628 sobre protección de la vida privada, promulgada en 1999. Sin embargo, el crecimiento del almacenamiento digital, la automatización y el uso intensivo de plataformas tecnológicas hizo evidente la necesidad de actualizar el marco regulatorio.

La nueva ley de datos en Chile fue aprobada en 2024. Moderniza la protección de la información. Alinea al país con estándares internacionales, como el Reglamento General de Protección de Datos europeo. El foco ya no está solo en reaccionar ante problemas, sino en prevenirlos.

El eje central es la responsabilidad proactiva en datos. Este principio obliga a las empresas a demostrar que cumplen la normativa. Deben hacerlo con controles, documentación y medidas concretas de seguridad. Entre los principales avances destacan:

• Mayor precisión sobre los distintos tipos de datos personales y el tratamiento de datos sensibles.
• Fortalecimiento de los derechos de los titulares.
• Nuevas exigencias frente al tratamiento de los datos personales.
• Creación de una autoridad especializada encargada de fiscalizar.

La protección de datos en Chile ya no es solo promesa, es una obligación que debe cumplirse.

¿Qué nuevos derechos tienen los titulares de los datos?

Uno de los cambios más relevantes es el fortalecimiento de los derechos de las personas naturales sobre su información. Además de los derechos ARCO (acceso, rectificación, cancelación o eliminación, oposición y bloqueo de los datos personales), se incorporan nuevas facultades vinculadas al control sobre el uso de datos y limitaciones frente a decisiones automatizadas.

Los titulares de los datos pueden solicitar:

1. Acceder a su información personal, con claridad sobre qué datos se almacenan y con qué finalidad.
2. Rectificar antecedentes incorrectos o desactualizados, evitando impactos en procesos administrativos o laborales.
3. Solicitar la eliminación cuando corresponda, especialmente si ya no existe una base legal que justifique su conservación.
4. Oponerse a ciertos tratamientos, cuando consideren que el uso de su información no se ajusta a la normativa.

Esto implica que cualquier organización debe poder demostrar trazabilidad y justificar el uso de información bajo una base válida. Desde RR.HH., esta actualización impacta directamente la privacidad laboral, ya que gran parte del ciclo laboral implica manejar antecedentes personales, financieros o incluso de salud. Garantizar el acceso controlado y evitar el acceso no autorizado pasa a ser parte de la gestión diaria.

Nuevas obligaciones para las empresas

La normativa introduce exigencias claras respecto al manejo responsable de la información, por lo que las organizaciones deberán:

1. Justificar la base legal del tratamiento, acreditando por qué recopilan y utilizan determinados datos y bajo qué fundamento normativo lo hacen.
2. Implementar medidas técnicas y organizativas para la seguridad de los datos, incluyendo controles de acceso, protocolos internos y sistemas que reduzcan el riesgo de vulneraciones.
3. Informar con transparencia el uso de la información, detallando finalidades, plazos de conservación y derechos de los titulares.
4. Reportar cualquier incidente de seguridad relevante, especialmente cuando pueda afectar derechos de las personas.

No cumplir con estos requisitos puede derivar en sanciones por incumplimiento de datos, especialmente cuando exista negligencia o exposición indebida de información.

Según el estudio Cost of a Data Breach Report de IBM, el costo promedio global de una filtración supera los cuatro millones de dólares. Más allá del impacto económico, la pérdida de confianza suele tener consecuencias prolongadas.

Por eso, la seguridad de la información empresarial deja de ser una tarea exclusiva del área tecnológica para transformarse en una decisión estratégica vinculada a la gestión de riesgos y la toma de decisiones de la alta dirección.

Impacto en Recursos Humanos y gestión de trabajadores

Si hay un área donde el tratamiento de información ocurre a diario es Recursos Humanos, ya que la gestión de datos en RR.HH. involucra múltiples procesos como:

1. Fichas personales, que concentran antecedentes de identificación y trayectoria laboral.
2. Información contractual, necesaria para formalizar condiciones de trabajo y respaldar obligaciones legales.
3. Datos bancarios, utilizados para el pago de remuneraciones y beneficios asociados.
4. Evaluaciones laborales, vinculadas al desempeño, desarrollo profesional y toma de decisiones internas.
5. Licencias médicas, que implican tratamiento de información protegida por su carácter sensible.
6. Antecedentes de salud, especialmente relevantes en contextos de seguridad laboral o beneficios corporativos.

Los datos personales de trabajadores forman parte del funcionamiento administrativo y operativo de cualquier empresa. Muchos de ellos corresponden a categorías consideradas como tratamiento de datos sensibles, lo que eleva la exigencia de protección.

La adopción de firma electrónica, control biométrico o plataformas digitales mejora la eficiencia, pero también incrementa la exposición si no existen protocolos adecuados.

Agencia fiscalizadora y sanciones

Otro cambio estructural es la creación de la Agencia de Protección de Datos en Chile, organismo encargado de supervisar el cumplimiento. La existencia de esta autoridad introduce una fiscalización activa y especializada. Las empresas deberán demostrar cumplimiento frente a auditorías o requerimientos.

Las multas pueden escalar según la gravedad del incumplimiento, el volumen de datos afectados y el impacto generado. Además del riesgo financiero, existe un componente reputacional relevante. El Edelman Trust Barometer señala que la confianza es uno de los principales activos empresariales.

Un manejo incorrecto de información puede afectar la percepción pública y la relación con trabajadores y clientes.

¿Cómo prepararse para cumplir la ley?

Adaptarse a la normativa requiere planificación, diagnóstico y seguimiento constante. Más que una tarea puntual, implica revisar cómo circula la información dentro de la organización y entender que su protección no es solo un requisito legal, sino una expresión concreta de un derecho fundamental vinculado a la vida privada. Algunas acciones clave incluyen:

• Mapear los datos, identificando qué información se recopila, dónde se almacena, quién accede y con qué finalidad se utiliza.
• Revisar las bases legales del tratamiento, asegurando que exista un fundamento válido para el uso de los datos personales.
• Actualizar contratos, consentimientos informados y políticas internas, alineándolos con las nuevas exigencias regulatorias.
• Evaluar proveedores tecnológicos, especialmente plataformas que gestionan información laboral o almacenamiento en la nube.
• Capacitar equipos y liderazgos, para cumplir con los requisitos regulatorios y tomar medidas preventivas frente a posibles vulneraciones.

Una gestión estructurada permite reducir riesgos asociados a filtraciones, incidentes de seguridad o uso indebido de información, fortaleciendo al mismo tiempo el cumplimiento normativo empresarial.

Además, comunicar de forma transparente cómo se protege la información se transforma en una ventaja competitiva. En un entorno donde la confianza influye en la experiencia del trabajador y la reputación corporativa, hay que proteger los datos. Esto deja de ser reactivo. Pasa a formar parte del diseño organizacional y de la cultura interna.