LegalDatos

Categoría: Datos personales

  • Ley de Datos Personales 21.719 consolidada con ley 19.628

    Ley de Datos Personales 21.719 consolidada con ley 19.628

    Texto Consolidado de la Ley de Protección de Datos Personales en Chile

    Este nuevo régimen legal entrará en plena vigencia el 1 de diciembre de 2026. A partir de dicha fecha, las organizaciones públicas y privadas deberán dar estricto cumplimiento a sus disposiciones, quedando sujetas a la fiscalización de la nueva Agencia de Protección de Datos Personales.

    Con el objetivo de facilitar el análisis jurídico y apoyar el proceso de adecuación institucional de las empresas, en LegalDatos ponemos a disposición un documento íntegro con el texto legal consolidado.

    Acceso al texto Consolidado

    Puede visualizar y descargar el documento consolidado en formato PDF a continuación para su consulta y archivo:

    Ley de Datos Personales Consolidada (19.628 con la ley 21.719).docx

  • Fuentes de Licitud (Bases de Licitud)

    Fuentes de Licitud (Bases de Licitud)

    Para cualquier empresa en Chile, entender la nueva Ley de Protección de Datos Personales (Ley 21.719) comienza por comprender un concepto jurídico fundamental: las bases de licitud o fuentes de legitimación. En términos sencillos, las bases de licitud son la razón legal por la cuál una empresa pueda o no tener datos personales de otros: trabajadores, clientes o marketing.

    Ninguna empresa puede recolectar, procesar, almacenar o ceder información de personas naturales si no cuenta con una justificación o habilitación legal previa que se lo permita.

    ¿Por qué las bases de licitud son tan importantes para su negocio?

    Bajo el nuevo principio de «licitud y lealtad», su empresa (como responsable de los datos) tiene la carga legal de demostrar y acreditar en todo momento que cuenta con una base de licitud válida para tratar esa información.

    Si la nueva Agencia de Protección de Datos Personales fiscaliza su organización y descubre que está procesando información de clientes o trabajadores sin un fundamento legal idóneo, estará cometiendo una infracción grave. Esto expone a su negocio a multas que pueden alcanzar hasta las 10.000 UTM.

    En LegalDatos, le explicamos de manera didáctica cuáles son estas bases de licitud y cómo operan en la práctica diaria de su empresa:

    1. El Consentimiento: La Regla General (y sus nuevas exigencias)

    La legislación establece que el consentimiento del titular de los datos es la base de licitud por excelencia y la regla general para que cualquier tratamiento sea lícito. Sin embargo, la nueva ley eleva drásticamente el estándar de cómo debe obtenerlo.

    Ya no basta con el silencio del usuario o con cláusulas abusivas ocultas en contratos interminables. El consentimiento ahora debe ser una manifestación de voluntad que cumpla con ser libre, específica, inequívoca e informada:

    • Debe ser un acto afirmativo claro: La persona debe realizar una acción evidente para aceptar, como marcar activamente una casilla que por defecto viene en blanco, o entregar una declaración escrita, verbal o por medios electrónicos equivalentes.
    • Debe ser específico: Su empresa debe informar con exactitud la finalidad o finalidades para las que usará los datos (por ejemplo, una autorización para despachar un producto y otra totalmente distinta para enviarle marketing).
    • No se puede forzar: Un cambio clave para las empresas es que la ley presume expresamente que el consentimiento no ha sido libre si obliga al usuario a entregar datos que no son estrictamente necesarios para la prestación del servicio o la ejecución de un contrato. Además, el cliente tiene el derecho legal irrenunciable a revocar o retirar su consentimiento en cualquier momento, de forma tan fácil, expedita y gratuita como cuando lo otorgó.

    2. Tratamiento sin Consentimiento: Las otras fuentes de licitud

    El legislador entiende que, en el ecosistema comercial, obligar a las empresas a pedir el consentimiento para cada mínima operación podría paralizar los negocios. Por ello, el Artículo 13 de la Ley 21.719 establece excepciones sumamente útiles para el sector privado, permitiendo el tratamiento lícito de datos sin requerir el consentimiento del titular. Estas son las principales:

    A. Para la celebración o ejecución de un contrato

    Si un cliente compra un producto en su tienda online, no necesita pedirle un consentimiento adicional y explícito regulado por esta ley para procesar su dirección y despacharle el producto. El tratamiento es lícito porque es estrictamente necesario para ejecutar el contrato de compraventa que ambas partes acaban de celebrar, o para implementar medidas precontractuales solicitadas por el mismo cliente. Sin embargo, esa dirección no se puede usar para enviar información comercial o publicidad (la finalidad del dato es la importante).

    B. Para el cumplimiento de una obligación legal

    Si una empresa trata continuamente datos personales porque el Estado se lo exige. Por ejemplo, procesar los datos de salud de las licencias médicas de sus trabajadores, o retener los datos para pagar sus cotizaciones previsionales. En estos casos, la base de licitud que le autoriza a tratar esa información sin preguntarle al trabajador es el mero cumplimiento de una obligación impuesta por otra ley.

    C. Para la satisfacción de «Intereses Legítimos»

    Esta es una de las bases de licitud más innovadoras y estratégicas para las empresas bajo la nueva ley. Permite a las organizaciones tratar datos sin consentimiento cuando el procesamiento sea necesario para satisfacer un interés legítimo propio o de un tercero. Ejemplos prácticos incluyen monitorear las redes informáticas de la empresa para garantizar la ciberseguridad, o analizar el comportamiento financiero para prevenir fraudes corporativos.

    La gran precaución: El interés legítimo no es un cheque en blanco. La ley es tajante al señalar que sólo procede «siempre que con ello no se afecten los derechos y libertades del titular». Para usar esta base, la empresa debe hacer un ejercicio interno previo (una prueba de ponderación o sopesamiento) para demostrar que su interés corporativo no atropella la privacidad del individuo.

    D. Para la formulación, ejercicio o defensa de derechos ante tribunales

    Si su empresa enfrenta un juicio laboral, una demanda civil o un procedimiento administrativo ante un organismo público, está plenamente legitimada para recopilar, procesar y presentar la información personal necesaria para ejercer su legítima defensa o hacer valer sus derechos.

    E. Para datos relativos a obligaciones económicas, bancarias o comerciales

    La ley contiene un apartado especial (el Título III) que permite el tratamiento de datos financieros, comerciales y bancarios sin consentimiento. Históricamente, esto ampara el reporte al sistema financiero (como el Boletín Comercial) de las deudas impagas, protestos o morosidades de las personas.

    En conclusión, mapear las bases de licitud de su empresa no es una mera formalidad legal; es el cimiento de su continuidad operacional.

    Frente a la nueva legislación, cada gerente y directivo debe saber responder claramente: ¿Por qué tenemos estos datos, y qué norma exacta nos autoriza a tratarlos?

    En LegalDatos somos expertos en estructurar esta arquitectura legal para que su negocio crezca de forma segura y rentable.

     

    Te puede Interesar:
    Derechos ARCOP

    El ABC de los Datos Personales

  • Evaluación de Impacto de Protección de Datos en Chile

    Evaluación de Impacto de Protección de Datos en Chile

    ¿Qué es exactamente la Evaluación de Impacto en Protección de Datos en Chile (EIPD)?

    Es un proceso fundamental ligado a los principios de protección de datos desde el diseño y por defecto. Está concebido para describir de manera anticipada y preventiva un tratamiento de datos personales, evaluar su necesidad y proporcionalidad, y gestionar los riesgos para los derechos y libertades de los titulares.

    En términos sencillos, es un análisis de riesgo previo que le permite a su empresa identificar y evaluar posibles amenazas, para luego establecer las medidas de mitigación tecnológicas y organizativas necesarias que reduzcan esos riesgos a un nivel aceptable.

    Obligatoriedad y Plazos de la EIPD bajo la Ley 21.719

    ¿Es obligatorio realizar esta evaluación?

    No para todas las empresa, sin embargo, el artículo 15 ter de la Ley 21.719 establece que el responsable del tratamiento deberá realizarla cuando sea probable que un tipo de tratamiento —por su naturaleza, alcance, contexto, tecnología utilizada o fines— pueda producir un alto riesgo para los derechos de los titulares de los datos.

    ¿Cuándo debe ejecutarse?

    La regla de oro de la EIPD es la prevención. La ley exige expresamente que esta evaluación debe realizarse de manera previa al inicio de las operaciones del tratamiento de datos. No tiene validez legal implementar un nuevo software o lanzar una nueva aplicación y evaluar los riesgos a posteriori; el análisis debe estar completamente integrado antes de que los datos comiencen a procesarse.

    ¿Qué actividades o empresas exigen siempre una EIPD?

    Más que depender del tamaño o facturación de su empresa, la obligación recae sobre el tipo de actividad y el nivel de riesgo en el manejo de la información. La legislación chilena establece que la evaluación de impacto se requerirá obligatoriamente en los siguientes escenarios:

    1. Elaboración de perfiles (Profiling): Cuando realice una evaluación sistemática y exhaustiva de aspectos personales basada en tratamientos automatizados que produzcan efectos jurídicos o significativos en las personas.

    2. Tratamiento a gran escala (Big Data): Cuando su empresa realice un procesamiento masivo de datos personales.

    3. Videovigilancia (CCTV): Cuando el tratamiento implique la observación o el monitoreo sistemático y a gran escala de una zona de acceso público.

    4. Datos médicos o biométricos: Cuando trate datos sensibles y especialmente protegidos amparándose en alguna de las hipótesis de excepción del consentimiento explícito.

    Nota: Para facilitar esta labor, la nueva Agencia de Protección de Datos Personales publicará una lista orientativa oficial con los tipos de operaciones que requerirán o no esta evaluación, además de entregar directrices mínimas para su correcta ejecución.

    Multas y Consecuencias: ¿Qué ocurre si no se realiza la EIPD?

    Omitir este análisis puede acarrear sanciones. La ley  cataloga el incumplimiento de la obligación de realizar la Evaluación de Impacto (artículo 15 ter) como una infracción gravísima.

    Para dimensionar el riesgo financiero corporativo, las infracciones gravísimas bajo la Ley 21.719 pueden ser sancionadas por la Agencia con multas altísimas que alcanzan hasta las 20.000 Unidades Tributarias Mensuales (UTM), lo que podría comprometer severamente la viabilidad de su negocio.

    ¿Qué hacer si el nivel de riesgo de la EIPD se mantiene alto?

    Si tras realizar el análisis exhaustivo y aplicar todas las medidas de mitigación posibles el resultado demuestra que el tratamiento sigue presentando un riesgo residual alto, la ley le otorga una vía de seguridad institucional: los responsables podrán (y deberán) consultar formalmente a la Agencia de Protección de Datos Personales. Esto tiene el propósito de obtener recomendaciones directas y vinculantes por parte de la autoridad fiscalizadora antes de iniciar el proyecto.

    Ejemplos Prácticos: ¿Cuándo es obligatorio realizar una EIPD?

    Para aterrizar estos conceptos legales a la realidad operativa de su negocio, a continuación detallamos cuatro escenarios comunes donde la ejecución de una Evaluación de Impacto en Protección de Datos (EIPD) es ineludible bajo la Ley 21.719:

    1. Instalación de cámaras de seguridad (Monitoreo de Espacios Públicos)

    Si administra un centro comercial, una cadena de supermercados o cualquier negocio abierto al público y decide instalar un circuito cerrado de televisión (CCTV) avanzado —ya sea por motivos de seguridad o para analizar el flujo y comportamiento de sus compradores en tiempo real—, debe detenerse y evaluar el riesgo primero.

    La nueva normativa establece expresamente que la EIPD se requerirá siempre que el tratamiento implique la observación o el monitoreo sistemático a gran escala de una zona de acceso público.

    2. Control de acceso mediante biometría (Huella Dactilar o Reconocimiento Facial)

    Supongamos que administra una cadena de gimnasios, una clínica o incluso las oficinas de su propia empresa, y decide modernizar la entrada reemplazando las tarjetas físicas por torniquetes con lectura de huella dactilar o cámaras de reconocimiento facial para sus clientes o trabajadores.

    Los datos biométricos son considerados «datos sensibles» por la ley, debido a que identifican de manera unívoca a una persona y no pueden cambiarse (como una contraseña) si son robados. La aplicación de esta nueva tecnología exige imperativamente medir su proporcionalidad y sus altos riesgos de ciberseguridad mediante una EIPD, antes de recolectar la primera huella.

    3. Interconexión masiva de datos médicos (Big Data en Salud)

    Si su empresa tecnológica desarrolla una plataforma o aplicación móvil para una red de clínicas u hospitales que busca centralizar, almacenar en la nube y analizar miles de fichas clínicas electrónicas de pacientes, se encuentra ante un escenario crítico.

    Dado que estaría ejecutando un «tratamiento masivo de datos o a gran escala» (Big Data) y, además, involucra categorías especiales de datos de salud sumamente confidenciales, es mandatorio realizar una evaluación de impacto. Esto le permitirá identificar vulnerabilidades técnicas, encriptar la información y mitigar el riesgo catastrófico que tendría una filtración o un hackeo de estos antecedentes médicos.

    4. Desarrollo de plataformas o aplicaciones dirigidas a menores de edad

    Si lanza al mercado un software educativo o una aplicación recreativa que recopila datos de niños, niñas y adolescentes —como su ubicación, su rendimiento escolar o sus preferencias—, debe aplicar un estándar superior.

    La ley clasifica a los menores como personas vulnerables que requieren una protección especial y reforzada. Cualquier tratamiento innovador que implique perfilar, rastrear o almacenar grandes volúmenes de información de menores de edad requiere una EIPD obligatoria para garantizar que el sistema fue diseñado respetando su autonomía progresiva y su interés superior.

    El Riesgo Corporativo: En todos estos escenarios, si su empresa no documenta y ejecuta esta evaluación preventiva, se expone directamente a que la nueva Agencia de Protección de Datos Personales califique el hecho como una infracción gravísima, exponiendo a su negocio a multas que pueden alcanzar las 20.000 UTM.

    Adoptar la EIPD como una práctica estándar en su empresa no solo evitará multas millonarias, sino que le permitirá identificar ineficiencias operativas, prevenir brechas de ciberseguridad y generar un activo invaluable en la economía digital: la confianza absoluta de sus clientes.

     

    También te puede interesar:
    ¿Qué es la Base de Licitud?

    ¿Qué es el RAT?

  • ¿Qué es el RAT? (Registro de Actividades de Tratamiento): Una guía Práctica

    ¿Qué es el RAT? (Registro de Actividades de Tratamiento): Una guía Práctica

    ¿Qué es el RAT?

    El Registro de Actividades de Tratamiento es, sin lugar a duda, la brújula que guiará el cumplimiento normativo de su empresa frente a la nueva Ley de Protección de Datos Personales (Ley 21.719). Frecuentemente, se comete el error de asumir que este registro es un mero trámite burocrático o un documento legal más que debe firmarse y archivarse. Para despejar cualquier duda, a continuación explicamos su impacto real y estratégico en el negocio y Ejemplos de RAT.

    1. El RAT en la Teoría: Las exigencias legales

    En términos estrictamente jurídicos y según el reglamento de la nueva ley, el RAT es un instrumento fundamental que constituye el corazón de los Modelos de Prevención de Infracciones o programas de compliance. En teoría, es un registro formal que debe caracterizar detalladamente todas las operaciones que su empresa realiza con la información nominativa.

    Para cumplir con el estándar normativo, este registro debe responder a preguntas clave y contener, al menos, la siguiente información por cada proceso:

    Qué datos se tratan: Indicar el tipo de datos personales, especificando expresamente si se incluyen datos sensibles o categorías especiales (como la huella dactilar o datos de salud).

    Para qué se utilizan: Los fines concretos y específicos de las operaciones de tratamiento.

    Por qué es lícito tenerlos (base de licitud): Cuál es la fuente de procedencia de los datos y su «base de licitud» legal (si se procesan porque se cuenta con el consentimiento del cliente, por la ejecución de un contrato o por un interés legítimo).

    Con quién se comparten: Las categorías de terceros a quienes se prevé comunicar o ceder los datos, incluyendo si se realizan transferencias internacionales a servidores en el extranjero.

    Cuánto tiempo se resguardan: Los plazos o condiciones previstos para la eliminación o supresión definitiva de la información.

    Decisiones automatizadas: Se debe declarar si se utilizan los datos para tomar decisiones automáticas o para la elaboración de perfiles comerciales, detallando la lógica aplicada.

    En la teoría legal, si la Agencia de Protección de Datos Personales fiscaliza su entidad, el RAT será exigido para comprobar que actúa con responsabilidad proactiva.

    2. El RAT en la Práctica: El inventario de su «bodega»

    La teoría puede sonar compleja, pero en la práctica el RAT es un mapa operacional transversal que une a todas las áreas de su negocio. Para entenderlo de forma didáctica, imagine que su empresa es una gran bodega: durante años, los departamentos de Recursos Humanos, Ventas, Marketing y TI han estado almacenando cajas (datos) sin etiquetarlas correctamente. Nadie sabe con certeza qué hay al fondo, a quién pertenecen esas cajas ni cuál es su utilidad. Elaborar el RAT en la práctica significa entrar a esa bodega, abrir caja por caja, limpiar e inventariar su activo más valioso.

    Para desarrollar este levantamiento en el mundo real, es necesario seguir estos pasos estratégicos:

    Crear un glosario común: El primer obstáculo es el idioma corporativo. El primer paso práctico es lograr que toda la empresa comparta los mismos conceptos y entienda qué significa exactamente un dato personal.

    Asignar Responsables: El RAT no puede ser tarea exclusiva del departamento legal; de ser así, el proyecto podría fracasar. Se debe dividir la empresa por áreas (Recursos Humanos, Producto, Marketing, etc.) y nombrar a un líder en cada una. Esa persona será la responsable de mapear qué datos entran, cómo se usan y por dónde salen en su respectivo departamento.

    De lo macro a lo micro: Lo ideal es que en este Registro exista rigurosidad y detalle. Sin embargo, el proceso de gestión es sumamente complejo, por lo tanto, no se recomienda intentar identificar algo tan específico como la cédula de identidad de cada personal cuando se está recién comenzado. En la práctica, se debe iniciar identificando los procesos generales (por ejemplo, «campaña de correos de marketing» o «control biométrico de asistencia») para luego descender al detalle paulatinamente.

    3. El Gran Riesgo Operativo: El «RAT de papel»

    Un error gravísimo en la práctica empresarial es creer que el RAT es un archivo Excel gigante que se llena una vez, genera decenas de versiones desactualizadas donde nadie sabe quién modificó qué columna, y luego se abandona en una carpeta compartida.

    Para que el modelo funcione verdaderamente, el RAT debe ser una herramienta en movimiento. Esto significa que, en el día a día, si su empresa decide lanzar un nuevo producto, contrata un nuevo software en la nube o planea una campaña de ventas, el RAT debe revisarse y actualizarse antes de ejecutar la acción. Un RAT  integrado en sus comités de trabajo deja de ser una carga burocrática y se transforma en una ventaja competitiva, permitiéndole identificar riesgos y tomar decisiones comerciales más rápidas, eficientes y bajo un control absoluto.

    4. Ejemplos prácticos de procesos que debe inscribir y gestionar en su RAT

    Para entender la transversalidad de esta obligación, a continuación presentamos casos concretos de distintas áreas de una empresa que deben estar documentados en el registro:

    1. Envío de campañas de correos de marketing o newsletters: Si su área de marketing envía correos masivos con promociones, el RAT debe identificar esta actividad, señalando qué datos utiliza (como nombre y correo electrónico), el departamento responsable (owner) de la campaña y la base de licitud legal que le permite hacerlo, como por ejemplo, el consentimiento previo y explícito del titular.

    2. Control de asistencia laboral con biometría: Si utiliza huellas dactilares o reconocimiento facial para marcar la entrada y salida de sus trabajadores, esto constituye un tratamiento de datos altamente sensibles. En su RAT debe registrar esta actividad, evaluando los riesgos, justificando la proporcionalidad de la medida y asegurando que cuenta con el consentimiento expreso de los empleados frente a alternativas menos intrusivas.

    3. Gestión de compras y despachos en E-commerce: Para procesar una compra online, su empresa recopila datos como la dirección, el nombre y el medio de pago. El RAT documentará que la finalidad es netamente comercial (ejecutar el contrato de compraventa) y señalará a qué terceros les comunica o cede esos datos, como a la empresa de logística encargada exclusivamente de despachar el producto al domicilio del cliente.

    4. Almacenamiento de bases de datos en la nube (Cloud Computing): Si aloja la información de sus clientes en servidores externos o en la nube (como Amazon Web Services o Google Cloud), su RAT debe reflejar que ese proveedor tecnológico actúa jurídicamente como su «encargado de tratamiento» o mandatario. Si esos servidores están ubicados fuera de Chile, debe registrarlo expresamente como una operación de «transferencia internacional de datos», indicando el país de destino y confirmando que existen garantías de seguridad adecuadas.

    5. Administración de fichas clínicas en un centro de salud: Si dirige una clínica o centro médico, trata datos de salud que la ley califica como sensibles y de alto riesgo. El RAT de esta actividad es fundamental y debe detallar las medidas de seguridad reforzadas adoptadas (como la seudonimización o encriptación), los estrictos controles de acceso al personal y los plazos de conservación para resguardar la confidencialidad absoluta del paciente.

    6. Evaluación de riesgo comercial o financiero (Scoring): Si su empresa evalúa el comportamiento de pago de un cliente para decidir si le otorga un crédito comercial, el RAT debe caracterizar detalladamente este tratamiento. Si utiliza procesos de inteligencia artificial o toma decisiones individuales automatizadas para elaborar estos perfiles financieros, debe registrar y explicar de manera significativa la lógica matemática aplicada y las consecuencias de dicho perfilamiento para el titular.

    7. Captación de imágenes mediante videovigilancia (CCTV): La instalación de cámaras de seguridad en sus sucursales o lugares de trabajo captura la imagen física de las personas, lo cual es considerado un dato personal y eventualmente biométrico. Su RAT debe documentar esta actividad justificando que su finalidad estricta es la seguridad de las instalaciones y previniendo, mediante un análisis, que la medida no sea desproporcionada o una intromisión ilegítima en la esfera íntima de los trabajadores o clientes.

    8. Procesamiento de datos de menores de edad en la educación: Si administras un colegio o una universidad, tratas continuamente datos de niños, niñas y adolescentes, los cuales poseen un estándar de protección reforzada bajo la nueva ley. El RAT debe reflejar la forma en que se obtiene el consentimiento otorgado por los padres o representantes legales, así como detallar la prohibición absoluta de ceder esta información a terceros sin justificación legal.

    9. Desarrollo tecnológico de una nueva aplicación móvil: Antes de lanzar un nuevo producto al mercado, como una «app» deportiva o de vida sana, el RAT le sirve para aplicar el deber de «protección desde el diseño». Aquí inventariará previamente qué datos solicitará su aplicación (ej. hábitos de sueño, geolocalización o peso corporal), con qué fines específicos los recopilará y establecerá las medidas de configuración predeterminada para que nazca con la máxima privacidad posible.

    Recomendamos leer El estándar mínimo de un modelo de prevención de infracciones

  • Publicación Diario Financiero

    Publicación Diario Financiero

    Publicado el 13 de mayo de 2026 en Diario Financiero

    “Cuando se habla de datos personales, muchos imaginan que es un asunto estrictamente informático y de ciberseguridad. Hoy en día debemos desmitificar esta visión. Con la nueva Ley 21.719, los datos dejaron de ser un tema puramente tecnológico para convertirse en un desafío legal crítico para todas las empresas. Hablamos de contratos de trabajos, de contratos comerciales, huellas digitales, bases de datos de clientes y hasta correos electrónicos. La ley consagra un cambio cultural”, afirma Daniel Manríquez Sansigolo, Director Legal del estudio jurídico especializado LegalDatos.

    En dicho contexto, las empresas no son dueñas de esos datos, sino solo un poseedor temporal, para cuyos efectos la Ley 21.719 crea la Agencia de Protección de Datos Personales, órgano autónomo que podrá fiscalizar y aplicar multas de hasta 20.000 UTM. Ya no basta con tener seguridad informática, pues este nuevo cuerpo legal exige demostrar una “responsabilidad proactiva” al respecto, por lo que resulta

     

    Ver Publicación: https://www.df.cl/noticias/site/docs/20260511/20260511180052/suplemento_20260512.pdf

  • ¿Puede un trabajador negarse a usar su huella digital para la asistencia?

    ¿Puede un trabajador negarse a usar su huella digital para la asistencia?

    ¿Puede un trabajador negarse a usar su huella digital para la asistencia?

    El uso del reloj control biométrico es un estándar, pero bajo la nueva Ley 21.719, obligar a su uso puede transformarse en una infracción gravísima.

    Es una escena común en miles de empresas en Chile: el trabajador llega a las 08:30 AM y pone su dedo o su rostro frente a un dispositivo para marcar su entrada. Hasta hoy, esto parecía un simple trámite administrativo.

    Sin embargo, con la publicación de la Ley 21.719, las reglas del juego han cambiado radicalmente y la respuesta corta a la pregunta del título es: Sí, un trabajador puede negarse.

    Como empleador, debes entender por qué ocurre esto y cómo adaptar tus procesos para evitar multas que pueden llegar a las 20.000 UTM.

    1. La Biometría ahora es «Dato Sensible»

    Lo primero que debes saber es que la nueva ley clasifica expresamente a los datos biométricos (huella dactilar, reconocimiento facial, iris, geometría de la mano) como datos personales sensibles.

    Esto significa que ya no son un dato administrativo más; son datos que requieren un estándar de protección reforzado porque identifican de manera única a una persona basándose en sus características físicas o fisiológicas.

    2. El Consentimiento es la llave (y debe ser libre)

    La Ley 21.719 establece que para tratar datos biométricos, se requiere el consentimiento expreso del titular. Aquí es donde entra el conflicto laboral:

    «La ley presume que el consentimiento no es libre cuando se recaba en el marco de la ejecución de un contrato si existe subordinación y dependencia. Si el jefe manda y el empleado obedece por miedo, ese consentimiento es nulo.»

    Por tanto, si un trabajador se niega a entregar su biometría, usted no puede sancionarlo ni obligarlo.

    3. La Solución: Ofrecer una Alternativa

    Para que el uso del reloj control biométrico sea legal en tu empresa, debes demostrar que el trabajador que aceptó usarlo lo hizo de forma verdaderamente voluntaria.

    ¿Cómo se logra esto?

    Debes ofrecer un sistema alternativo de marcaje que no sea biométrico (por ejemplo, una tarjeta magnética, una clave numérica o el libro de asistencia). Al existir una opción, el trabajador que «elige» la huella lo hace por comodidad y no por imposición, validando así su consentimiento.

    4. Nuevos Deberes de Información

    Si tus trabajadores aceptan usar la biometría, no basta con que pongan el dedo. Antes de capturar el dato, la ley te exige informarles por escrito (Art. 16 ter):

    • La identificación del sistema biométrico usado.
    • La finalidad específica (ej: solo control de asistencia).
    • El tiempo que se guardarán los datos.
    • La forma en que pueden ejercer sus derechos.

    5. Ojo: Es una actividad de Alto Riesgo

    El tratamiento de datos sensibles y biométricos se considera una actividad de alto riesgo. Esto significa que es probable que tu empresa deba realizar una Evaluación de Impacto en Protección de Datos (EIPD). No tener este informe técnico-legal ante una fiscalización de la Agencia es una infracción sancionable.

  • Olvido Laboral: La base de datos de ex trabajadores

    Olvido Laboral: La base de datos de ex trabajadores

    El despido de un trabajador conflictivo ya es difícil. Muchos empresarios entran en pánico ante la exigencia de borrado de datos. Calma: la ley te protege si sabes cómo aplicarla.

    Es un escenario cada vez más común: un ex-colaborador se va en malos términos y, buscando ejercer presión o simplemente «cortar lazos», invoca la Ley 21.719 para exigir el «borrado total» de su historial en la empresa.

    Tu primera reacción podría ser borrarlo todo para evitar multas. Ese sería un error grave. Si bien el trabajador tiene derechos, tú tienes obligaciones legales que prevalecen. Aquí te explicamos el equilibrio exacto.

    1. El Derecho de Supresión (Art. 7)

    Efectivamente, el ex-trabajador se basa en el Artículo 7, que consagra el Derecho de Supresión. Este permite exigir la eliminación de datos cuando:

    Ya no son necesarios para los fines recolectados.
    Se ha revocado el consentimiento.
    Han sido tratados ilícitamente.

    Si solo miramos esto, parecería que él tiene la razón. Pero la ley no se lee por partes, se lee completa.

    2. La Excepción Clave: Tu escudo legal

    El mismo Artículo 7 establece excepciones vitales donde no procede la supresión. La ley dice textualmente que no puedes borrar los datos cuando sean necesarios para cumplir una obligación legal o para la defensa jurídica.
    ¿Cómo se traduce esto a tu realidad?

    Obligaciones Laborales: El Código del Trabajo te obliga a mantener libros de remuneraciones y contratos (generalmente por 5 años) para fiscalizaciones de la Dirección del Trabajo.
    Defensa Judicial: Si borras los correos o el registro de asistencia, estás destruyendo tu propia prueba ante un posible juicio laboral. La ley te permite conservar los datos para defenderte.

    3. El «Bloqueo de Datos» (Art. 8 ter)

    Entonces, ¿le sigues enviando correos de cumpleaños? Absolutamente no. Aquí entra el concepto de Bloqueo. Significa que los datos se conservan, pero no se tocan.

    Segregar la información: Sacar los datos del ex-trabajador de los sistemas operativos diarios (nómina activa, CRM).
    Inactivar el uso: Nadie debe tener acceso para gestión diaria. No se usan para llamar ni enviar correos.
    Conservación exclusiva: Los datos quedan «congelados», accesibles solo para la Inspección del Trabajo, SII o un juez.

    Conclusión para el Empresario

    Si recibes esta solicitud, tu respuesta no debe ser el silencio. Debes responder formalmente dentro de 30 días. Copia y adapta este modelo:

    «Estimado [Nombre], hemos procedido a bloquear sus datos de nuestros sistemas operativos y de comunicaciones.

    Sin embargo, no podemos acceder a su solicitud de supresión total debido a que existe una obligación legal de conservación de documentos laborales y previsionales, y para la defensa de posibles acciones judiciales, conforme lo autoriza expresamente el Artículo 7 de la Ley 21.719.»

  • Licencias Médicas y Exámenes: Lo que tu empresa nunca debería ver

    Licencias Médicas y Exámenes: Lo que tu empresa nunca debería ver

    Licencias Médicas y Exámenes: Lo que tu empresa nunca debería ver

    En muchas PyMEs es común que la foto de una licencia circule por WhatsApp. Cuidado: bajo la Ley 21.719, saber o difundir el diagnóstico puede costarte una multa de hasta 20.000 UTM.

    La gestión de recursos humanos implica manejar información delicada, pero ninguna es tan crítica como la salud de tus trabajadores. Existe una mala práctica arraigada en la cultura empresarial chilena: creer que, porque pagamos el sueldo o tramitamos la licencia, tenemos derecho a saber qué tiene el trabajador.

    La nueva Ley de Datos Personales pone un freno en seco a esta costumbre. Aquí te explicamos por qué el diagnóstico médico es «zona prohibida» para tu empresa.

    1. Datos de Salud: La categoría más protegida

    La Ley 21.719 clasifica los datos relativos a la salud y al perfil biológico humano como Datos Sensibles. El nuevo artículo 16 bis es lapidario: estos datos solo pueden ser tratados para fines previstos por leyes sanitarias especiales.

    Para tu empresa, esto significa que la información clínica (diagnósticos, exámenes, recetas, terapias psicológicas) tiene un estándar de protección reforzado. No son datos administrativos; son datos que tocan la intimidad más profunda de la persona.

    2. El Principio de Proporcionalidad

    Para tramitar una ausencia legal o pagar un subsidio, tu empresa necesita saber cuánto tiempo no estará el trabajador y si la licencia fue autorizada.

    ¿Necesitas saber si tiene depresión, cálculos renales o VIH para procesar su sueldo? No.
    La Infracción Habitual

    Cuando un gerente pide «ver el diagnóstico» para evaluar si el trabajador «realmente está enfermo» o para comentar su situación, está violando el principio de finalidad. Está usando el dato para control moral o discriminación, no para gestión administrativa.

    3. El peligro del WhatsApp

     

    El Deber de Secreto y Confidencialidad obliga al responsable (tu empresa) a guardar secreto. Esta obligación subsiste incluso después de que el trabajador se vaya.

    Si la foto de la licencia médica con el diagnóstico visible circula por un grupo de WhatsApp de gerencia, o se envía por un correo no encriptado a contabilidad externa, estás cometiendo una vulneración grave a la seguridad. Estás exponiendo datos sensibles a ojos no autorizados.

    4. Las Consecuencias: Multas «Gravísimas»

    Aquí es donde el cambio legal golpea el bolsillo. La Ley 21.719 clasifica el tratamiento indebido de datos sensibles como una Infracción Gravísima.
    La Multa

    La Agencia puede sancionar a tu empresa con hasta 20.000 UTM (más de $1.300 millones de pesos).
    El Riesgo Laboral

    Es la prueba reina para una demanda por Tutela Laboral, alegando discriminación o vulneración a la vida privada.
    ¿Cómo proteger a tu empresa?

    ✓Protocolo de «Ceguera»: Instruye a tu equipo de RR.HH. para que tachen o censuren el diagnóstico médico antes de procesar cualquier documento internamente.
    ✓Canales Seguros: Prohíbe el envío de licencias por WhatsApp. Utiliza carpetas digitales con acceso restringido y logs de auditoría.
    ✓Capacitación: Tus gerentes deben entender que preguntar «¿qué le pasó?» puede ser humano, pero registrar esa respuesta es un riesgo legal.

  • Cámaras de Seguridad y Ley 21.719: ¿Vigilancia o Espionaje?

    Cámaras de Seguridad y Ley 21.719: ¿Vigilancia o Espionaje?

    Cámaras de Seguridad en el Trabajo: ¿Vigilancia Legítima o Espionaje Sancionable?

    Instalar cámaras parece una medida de seguridad básica, pero bajo la nueva Ley de Datos Personales, captar la imagen de tus trabajadores sin los protocolos adecuados puede costarte multas millonarias y demandas laborales.

    La seguridad es una prioridad para cualquier empresario. Proteger el inventario, las instalaciones y a las personas justifica el uso de videovigilancia. Sin embargo, la Ley 21.719 cambia las reglas del juego.

    Tu sistema de cámaras ya no es solo un tema de seguridad física, es un tratamiento de datos personales que debe cumplir estándares legales estrictos. Si tus cámaras graban a tus trabajadores, estás tratando sus datos. ¿Sabes si lo estás haciendo legalmente?

    1. La Imagen es un Dato Personal

    Lo primero que debes entender es que la imagen de una persona, captada por una cámara, es un dato personal porque permite identificarla.

    ⚠️ Cuidado con la Biometría: Si tus cámaras utilizan tecnología de reconocimiento facial para identificar automáticamente quién entra o sale, o para controlar asistencia, esos datos pasan a ser biométricos (sensibles), lo que eleva drásticamente las exigencias de seguridad.

    2. El Mito del «Consentimiento» en el Contrato

    Muchos empleadores creen que basta con una cláusula en el contrato que diga: «El trabajador autoriza a ser grabado». Esto es un error grave.

    La Ley 21.719 establece que el consentimiento debe ser libre. En una relación laboral, donde existe subordinación, la ley presume que el consentimiento no es libre. Por tanto, basar la videovigilancia solo en el consentimiento es una estrategia legal débil que será impugnada ante la Agencia.

    3. ¿Cuándo es legal grabar?

    Para que tus cámaras sean legales, debes justificar su uso bajo el Principio de Proporcionalidad. Esto significa cumplir tres requisitos:

    Idoneidad: Las cámaras deben servir realmente para seguridad (no para «espiar» si el trabajador conversa o va al baño).
    Necesidad: ¿Existe otra forma menos intrusiva de lograr seguridad? Si la respuesta es sí, no debes usar cámaras.
    Ubicación: Está prohibido instalar cámaras en lugares donde se afecta la intimidad, como baños, vestuarios, comedores o salas de descanso.

    4. La Nueva Obligación: EIPD

    Si tus cámaras realizan una «observación o monitoreo sistemático de una zona de acceso público» (como la recepción, entrada de la tienda o pasillos), la ley considera que esto genera un alto riesgo. En estos casos, la ley te obliga a realizar una Evaluación de Impacto en Protección de Datos (EIPD). No tener este informe técnico-legal es una infracción sancionable.

     

    5. Transparencia: No más «Cámaras Ocultas»

    No basta con que las cámaras sean visibles. El Principio de Transparencia exige instalar carteles informativos claros («Zona Videovigilada») que indiquen quién es el responsable de los datos y dónde se pueden ejercer los derechos de acceso o supresión de imágenes.

    El Riesgo Doble: Multas y Tutela Laboral

    El mal uso de cámaras no solo expone a multas de hasta 20.000 UTM. Además, un trabajador grabado indebidamente puede utilizar la sanción de la Agencia como prueba para demandar por Vulneración de Derechos Fundamentales en los juzgados del trabajo.

  • El «Efecto Dominó»: Cuando una Multa de Datos crea una Demanda Laboral Indefendible

    El «Efecto Dominó»: Cuando una Multa de Datos crea una Demanda Laboral Indefendible

    El «Efecto Dominó»: Cuando una Multa de Datos crea una Demanda Laboral Indefendible

    Muchos ven la Ley 21.719 solo como un riesgo financiero de multas. Sin embargo, existe un peligro mucho más estratégico y costoso escondido en la gestión de Recursos Humanos.

    Si tratas mal los datos de tus trabajadores, no solo te arriesgas a una sanción administrativa de la Agencia de Protección de Datos. Lo que pocos empresarios ven es que, al hacerlo, están fabricando la prueba perfecta para perder un juicio de Tutela Laboral.

    A continuación, desglosamos la conexión letal entre la nueva institucionalidad de datos y los tribunales laborales.

    ⚡ La «Tormenta Perfecta»

    Imagina este caso: Tu empresa utiliza huella digital (dato sensible biométrico) sin el consentimiento adecuado, o se filtra un correo con diagnósticos médicos de un empleado.

    El trabajador denuncia ante la Agencia. Esta investiga y determina que vulneraste la Ley 21.719. Aquí comienza el verdadero problema:

    La Prueba Reina: Con esa resolución sancionatoria en la mano, el trabajador ya no necesita convencer a un juez laboral de que vulneraste sus derechos. La autoridad especializada ya lo certificó por ti.

    ⚖️ La Vía Rápida a la Tutela Laboral

    El procedimiento de Tutela Laboral (Art. 485 del Código del Trabajo) protege derechos fundamentales, incluyendo la vida privada y los datos personales. Si un trabajador te demanda usando la sanción de la Agencia como base:

    La defensa es casi imposible: El juez laboral valorará la resolución técnica de la Agencia. Desmentir una vulneración ya acreditada administrativamente es extremadamente difícil.
    Indemnizaciones Adicionales: Además de la multa de la Agencia (hasta 20.000 UTM), el tribunal puede condenarte al daño moral y, si hubo despido, al pago de 6 a 11 sueldos adicionales.
    Daño Reputacional (ChileCompra): Una condena por Tutela Laboral mancha los antecedentes de la empresa, pudiendo inhabilitarla para contratar con el Estado durante dos años.

    💣 Datos Sensibles: Campo Minado en RR.HH.

    El riesgo se multiplica con datos sensibles (salud, biometría, afiliación sindical). La ley exige un estándar superior. Un error simple, como compartir licencias médicas con jefaturas no autorizadas, es una infracción gravísima ante la Agencia y una vulneración grave a la intimidad ante el Juzgado del Trabajo.

    🛡️ ¿Cómo Blindar tu Empresa?

    La única defensa es la prevención documentada. En LegalDatos cortamos el problema de raíz con tres pilares:

    Adecuación de Contratos y RIOHS Integramos las cláusulas de consentimiento, finalidad y deber de secreto exigidas por la nueva ley.
    Protocolos de Datos Sensibles Definimos estrictamente quién puede ver qué (ej: solo RR.HH. ve diagnósticos, no el jefe directo).
    Modelo de Prevención Implementamos el modelo que la ley reconoce como atenuante, demostrando tu diligencia ante la Agencia y ante un eventual juez laboral.