LegalDatos

Blog

  • La Política de Privacidad no es una mera formalidad: Las Sanciones

    La Política de Privacidad no es una mera formalidad: Las Sanciones

    Política de Privacidad y Términos y Condiciones: El fin de la «Letra Chica»

    Por qué tu sitio web necesita mucho más que un «Copiar y Pegar». Con la Ley 21.719, estos documentos son la cara visible de tu cumplimiento legal.

     

    Durante años, muchas empresas chilenas han tratado a la Política de Privacidad y los Términos y Condiciones como un simple trámite: textos largos, incomprensibles y copiados de otras páginas, escondidos en el pie de página.

    Con la nueva Ley 21.719, esa práctica se acabó. Hoy, estos documentos son la cara visible de tu cumplimiento legal. Si no son claros, transparentes y completos, tu empresa está cometiendo una infracción sancionable desde el primer clic.

     

    1. El Nuevo Estándar: Transparencia

    La nueva ley introduce el Principio de Transparencia e Información. Esto significa que ya no basta con «tener» una política; debes asegurarte de que tus clientes la entiendan.

    El cambio clave: Se acabaron los textos legales oscuros diseñados para confundir. La ley obliga a que las políticas estén accesibles de manera precisa, clara, inequívoca y gratuita.

    2. El Checklist Obligatorio (Art. 14 ter)

    Tu política ya no puede ser genérica; debe ser un traje a la medida de tu negocio que informe al menos:

    • Identidad: ¿Quién eres? Individualizar al Responsable y representante legal.
    • Contacto: Un canal real donde el titular pueda ejercer sus derechos.
    • El «Qué» y el «Para Qué»: Categorías de datos y fines específicos.
    • Base Legal: ¿Por qué es lícito? (Ej: consentimiento, contrato).
    • Destinatarios: ¿A quién se los envías? (Terceros o transferencias internacionales).
    • Tiempos: ¿Por cuánto tiempo guardarás la información?
    • Seguridad: Descripción general de las políticas de protección.
    • Derechos: Explicar claramente los derechos ARCOP.

    3. Visibilidad: No la escondas

    La ley exige disponibilidad permanente. El acceso debe ser directo, visible desde el inicio e, idealmente, presentado en el momento justo en que se capturan los datos (ej: formulario de contacto).

    El Error Común Poner el enlace en un color que no se lee o exigir registro para leerla.
    La Solución Enlaces claros, lenguaje sencillo y accesibilidad «a un clic».

    4. El Riesgo de las Sanciones

    Aquí es donde la transparencia se conecta con tu bolsillo. El incumplimiento del deber de información es una infracción.

    💸 Multas de hasta 10.000 UTM

    La falta de transparencia puede ser una Infracción Leve (hasta 5.000 UTM). Pero cuidado: si tu política es deficiente y el consentimiento no fue «informado», tu tratamiento pasa a ser ilícito, escalando a Infracción Grave (hasta 10.000 UTM).

    Conclusión: La Transparencia Vende

    Más allá de evitar multas, una Política de Privacidad clara genera confianza. En la economía digital, decirle a tu cliente «así cuido tus datos» es una ventaja competitiva.

  • Qué son realmente los Datos Personales bajo la nueva Ley 21.719

    Qué son realmente los Datos Personales bajo la nueva Ley 21.719

    Qué son realmente los Datos Personales bajo la nueva Ley 21.719

    Muchos empresarios creen que «dato personal» es solo el Nombre y el RUT. Error. La nueva ley transforma el dato de un recurso comercial a un Derecho Humano.

    Cuando preguntas a un gerente qué datos personales maneja su empresa, la respuesta suele ser rápida: «Solo tenemos nombres, correos y RUTs de clientes». Bajo la antigua normativa, esa respuesta podría haber sido aceptable.

    Pero con la Ley 21.719, el universo de lo que se considera un dato personal se ha expandido radicalmente, y con ello, tus obligaciones legales. Para cumplir, primero debes entender que el «chip» mental debe cambiar. Antes, los datos se veían como un recurso libre, como el aire o el agua en tiempos antiguos. Hoy, la ley viene a proteger eso con dientes afilados.

    1. El Cambio Cultural: De «Activo» a Derecho Constitucional

    Lo primero que debes saber es que un dato personal ya no es «cualquier cosa» que puedas guardar en un Excel. Ahora está anclado en el núcleo de la Constitución (Art. 19 N° 4). ¿Qué significa esto para tu negocio?
    Autodeterminación Informativa

    El dato pertenece al titular (la persona), no a la empresa. El titular tiene el poder de controlar quién tiene su información, para qué la usa y cuándo debe dejar de usarla.
    Dignidad Humana

    Cuando manipulas un RUT o una huella, tocas un derecho fundamental. Si no respetas esto, no cometes una falta administrativa, estás vulnerando un derecho constitucional.

    2. No es solo quién eres, es quién «podrías ser»

    La ley define Dato Personal como cualquier información vinculada a una persona natural identificada o identificable. Aquí está la trampa para muchas empresas.

    Ya no se trata solo de tener el nombre. Si tienes un dato que por sí solo no dice nada (ej: una dirección IP, datos de geolocalización o un perfil de compra), pero que al cruzarlo con otra información te permite saber quién es esa persona, eso ES un dato personal.

    💡 Para tu negocio digital: Si usas cookies para rastrear comportamiento o identificadores de dispositivos móviles (IDFA/AAID), estás tratando datos personales, aunque técnicamente no tengas el «nombre» del usuario en tu base de datos.

    3. Los «Datos Sensibles»: Un Campo Minado

    La ley ha ampliado la categoría de Datos Sensibles. Estos requieren un cuidado extremo (ciberseguridad reforzada y consentimiento expreso). Tratarlos sin las bases legales correctas es una infracción gravísima. La nueva lista incluye:

    Datos Biométricos: Huella digital, reconocimiento facial, iris o voz. Ojo: Si usas huelleros para asistencia o cámaras inteligentes, estás tratando datos sensibles.
    Situación Socioeconómica: Datos que revelen el estado económico real. Crítico para empresas de riesgo comercial o marketing segmentado.
    Salud y Perfil Biológico: Información médica, genética o psíquica (incluyendo licencias médicas en RRHH).

    Zonas Grises reguladas: La ley también pone lupa sobre la Geolocalización (debes informar para qué rastreas) y los datos de Niños, Niñas y Adolescentes, cuyo estándar de protección es superior.

    4. El Fin de las Fuentes de «Acceso Público»

    Esta es quizás la modificación más disruptiva para los modelos de negocios basados en marketing y ventas B2B. Bajo la antigua ley, se creía que si un dato estaba en internet (Google, LinkedIn, Diario Oficial), era de «libre uso». Eso se acabó.
    🚫Prohibición de facto al «Scraping»

    Que el dato sea público no te da derecho a tomarlo y guardarlo. Las empresas que «raspan» webs para armar bases de datos quedan en ilegalidad si no tienen un interés legítimo probado.
    📢Nueva Regla de Transparencia

    Aunque el dato sea público, ahora debes informar al titular: «Señor usuario, obtuve sus datos de tal fuente pública y los estoy usando para X fin». Ya no se puede recopilar a escondidas.

    5. ¿Por qué importa para tu bolsillo?

    La ley se basa en el Principio de Responsabilidad. Las consecuencias financieras son reales y severas:

    Uso de fuentes públicas sin base legal: Infracción grave (hasta 10.000 UTM).
    Tratamiento indebido de datos sensibles (huellas/salud): Infracción gravísima (hasta 20.000 UTM).

    La Regla de Oro

    «Antes de recolectar un dato, pregúntate: ¿Realmente necesito saber esto? Si la respuesta es no, aplica el principio de minimización y no lo pidas. Menos datos, menos riesgo.»

  • Agencia de Protección de Datos Personales

    Agencia de Protección de Datos Personales

    Conoce al nuevo «Árbitro» de tus datos: La Agencia de Protección de Datos

    Se acabó la letra muerta: Chile estrena un organismo fiscalizador con dientes. Descubre las facultades que impactarán tu negocio.

     

    Durante años, la protección de datos en Chile fue una normativa sin un «padre» que la hiciera cumplir. Si una empresa usaba mal los datos, el proceso judicial era lento y costoso. Eso se acabó.

    La Ley 21.719 crea la Agencia de Protección de Datos Personales, una institución poderosa diseñada para vigilar, investigar y sancionar. Ya no solo respondes ante tus clientes, sino ante un organismo técnico del Estado.

    ¿Qué es la Agencia?

    • No es un ministerio: Es una corporación autónoma con personalidad jurídica y patrimonio propio.
    • Es un órgano colegiado: Dirigida por un Consejo Directivo de expertos, elegidos con acuerdo del Senado para garantizar independencia técnica.

    Las 5 Super-Facultades que impactarán a tu empresa

    Según el Artículo 30 bis, la Agencia no es un mero observador. Estas son sus atribuciones:

    1 Facultad Normativa

    La Agencia dicta las reglas del juego mediante Instrucciones Generales obligatorias.

    Lo que significa para ti: Deberás estar atento a las circulares técnicas (ej: uso de biometría) porque son ley.

    2 Facultad Fiscalizadora

    Puede auditar tu negocio y requerir la entrega de cualquier documento o base de datos.

    Lo que significa para ti: Pueden tocar a tu puerta. Si no tienes la documentación en regla, estás en problemas.

    3 Facultad Sancionadora

    Esta es la facultad más temida.

    Puede aplicar multas de hasta 20.000 UTM o suspender tus actividades de tratamiento de datos.

    4 Facultad Resolutiva

    Actúa como tribunal ante reclamos de clientes por derechos ARCOP.

    Lo que significa para ti: Si no respondes a un cliente, este escalará el reclamo a la Agencia y te exigirán explicaciones.

    5 Facultad de Certificación

    Administra el Registro Nacional de Sanciones y Cumplimiento.

    Lo que significa para ti: La Agencia validará si tu modelo de compliance es serio. Estar certificado es tu mejor «seguro».

    El Cambio de Panorama

    Antes, el riesgo era bajo. Ahora, con una Agencia dedicada exclusivamente a esto, el riesgo es inminente. La Agencia tiene el mandato de interpretar qué se entiende por «seguridad adecuada».

  • Derechos ARCO o ARCOP

    Derechos ARCO o ARCOP

    Entendiendo los Derechos ARCOP: El nuevo poder de tus clientes y trabajadores

    Esto no es un simple juego de siglas. Representa el control real que tiene cualquier persona sobre la información que tu empresa maneja. Bajo la Ley 21.719, estos derechos son irrenunciables.

     

    Como empresario, seguramente has escuchado hablar de los «Derechos ARCO». Sin embargo, con la nueva Ley 21.719, este concepto ha evolucionado y se ha ampliado. Ahora hablamos de ARCOP.

    Estos derechos son irrenunciables, intransferibles y gratuitos. A continuación, te explicamos didácticamente qué significa cada letra y qué obligación genera para tu empresa.
    A  Acceso (El derecho a saber)

    Es la puerta de entrada. Cualquier persona tiene derecho a preguntarle a tu empresa: «¿Tienen datos míos? ¿Cuáles son? ¿Para qué los usan? ¿De dónde los sacaron?».
    Tu obligación: Si un titular te lo pide, debes confirmar si procesas sus datos y entregarle una copia de ellos, explicando la finalidad, el tiempo de retención y a quién se los has enviado. Ojo: No basta con decir «sí»; debes dar detalles.
    R Rectificación (El derecho a corregir)

    Si los datos que tienes están mal, la persona puede exigir que los arregles. Esto aplica cuando la información es inexacta, desactualizada o incompleta.
    Tu obligación: Si tienes un cliente con una deuda ya pagada que sigue apareciendo como moroso, o un trabajador con una dirección antigua, debes corregir ese dato en tus sistemas de inmediato al recibir la solicitud.
    C Supresión (El derecho al olvido)

    Tradicionalmente llamado «Cancelación». Es la facultad de pedir que elimines sus datos cuando ya no son necesarios, cuando se retira el consentimiento o cuando están caducos.
    Importante para la empresa: No es un derecho absoluto. Si tienes un contrato vigente o una obligación legal (ej: guardar facturas para el SII), no estás obligado a borrarlos, pero debes bloquearlos para otros usos.
    O Oposición (El derecho a decir «No»)

    Es el derecho a exigir que no se realice un tratamiento específico, aunque tengas los datos legítimamente. El caso clásico es el Marketing.
    Tu obligación: Debes tener sistemas capaces de segregar los datos. Si un cliente dice: «Úsalos para facturarme, pero no para publicidad», debes sacarlo de la lista de envíos inmediatamente.
    P Portabilidad (La gran novedad)

    Esta es la «P» que moderniza nuestra normativa al estándar europeo. Es el derecho del titular a pedirte una copia de sus datos en un formato electrónico estructurado y de uso común (como Excel o CSV).
    Tu obligación: El objetivo es que el cliente pueda llevarse su «historia» a la competencia. Si el tratamiento es automatizado, no puedes retener la data como un rehén.

    ¿Qué pasa si no respondo?

    La ley establece plazos estrictos. Tienes 30 días corridos (prorrogables por otros 30) para responder a estas solicitudes.

    Si no respondes, o deniegas sin razón legal, el titular puede denunciarte ante la Agencia. Esto inicia un procedimiento de Tutela de Derechos que puede derivar en multas millonarias.

  • Tratamiento de Datos Personales

    Tratamiento de Datos Personales

    ¿Qué es el «Tratamiento de Datos»? (Y por qué lo haces todo el tiempo)

    Existe una confusión habitual: creer que esto es solo para empresas tecnológicas. Si guardas un CV o pagas un sueldo, ya estás bajo la lupa de la Ley 21.719.

    Existe una confusión habitual en el mundo empresarial: creer que el tratamiento de datos es algo complejo, reservado para empresas de tecnología o big data. La realidad es mucho más simple y abarcadora.

    Si tu empresa guarda el currículum de un postulante en un cajón, envía un correo a un cliente o paga la nómina de sueldos, estás realizando tratamiento de datos personales.

    1. La Definición Legal: Todo cuenta

    • Bajo la Ley 21.719, el concepto de tratamiento es sumamente amplio. Se define como cualquier operación, automatizada o no, que permita:
      Recolectar
      Procesar
      Almacenar (guardar)
      Comunicar o transmitir
      Utilizar
      Suprimir (borrar)

    La implicancia práctica: No importa si usas un software avanzado o una planilla Excel. Desde el momento en que un dato entra a tu organización hasta que lo eliminas, estás «tratando» datos y la ley te aplica por completo.

    2. Tu Nuevo Rol: «Responsable de Datos»

    Al realizar estas acciones, la ley te asigna automáticamente el rol de Responsable de Datos. Esto significa que eres quien decide los fines (para qué) y los medios (cómo) del tratamiento.
    La responsabilidad no se delega

    Aunque contrates a una empresa externa para procesar los sueldos o gestionar el marketing (quienes serían «Encargados»), tú sigues siendo el responsable legal ante la Agencia de Protección de Datos y ante los titulares.

    3. Tus Responsabilidades Críticas (Accountability)

    La nueva normativa se basa en el Principio de Responsabilidad Proactiva. Ya no basta con ser cuidadoso; debes demostrar que cumples la ley.

    • Acreditar la Licitud: No puedes tratar datos «por si acaso». Debes probar una base legal (consentimiento, contrato o ley).
    • Deber de Seguridad: Debes adoptar medidas técnicas (ciberseguridad) para evitar fugas o accesos no autorizados.
    • Deber de Confidencialidad: Obligación de secreto que subsiste incluso después de terminada la relación laboral.
    • Responder a Derechos ARCOP: Debes tener canales para Acceso, Rectificación, Supresión, Oposición y Portabilidad.

    4. Las Implicancias del Incumplimiento

    El tratamiento de datos indebido ha dejado de ser una falta menor para convertirse en un riesgo financiero y operacional crítico.

    Multas Millonarias

    Una infracción gravísima puede ser sancionada con hasta 20.000 UTM.

    Reincidencia (Grandes Empresas)

    La multa puede calcularse como un porcentaje de tus ingresos anuales (hasta el 4%), elevando el castigo a cifras estratosféricas.

    Suspensión de Actividades
    La Agencia tiene la facultad de suspender tus operaciones de tratamiento de datos, lo que podría paralizar tu negocio.

  • Delegado de Protección de Datos

    Delegado de Protección de Datos

    El Delegado de Protección de Datos (DPD): El «Guardián» de la Información en tu Empresa

    Con la Ley 21.719 surge una figura clave. Muchos empresarios se preguntan: ¿Necesito contratar a alguien nuevo? ¿Es obligatorio? Aquí te explicamos todo.

     

    Con la nueva Ley de Datos Personales, surge una figura clave para el cumplimiento normativo dentro de las organizaciones: el Delegado de Protección de Datos (o DPO, por sus siglas en inglés).

    1. ¿Qué es un DPD?

    El DPD no es un simple administrativo. Es una persona (natural o jurídica) que actúa como el referente interno y externo en materia de privacidad. Es quien informa, asesora y supervisa que la empresa cumpla con la ley, actuando como enlace entre tu organización, los titulares de los datos y la Agencia.

    2. ¿Es obligatorio tener uno?

    Esta es la gran pregunta. La respuesta tiene matices importantes:

    Voluntario Para la mayoría de las empresas del sector privado, la designación es voluntaria.
    Obligatorio Si decides adoptar un Modelo de Prevención de Infracciones (compliance certificado), el DPD es un requisito esencial y obligatorio.
    Obligatorio Para todos los organismos del Sector Público.
    💡 El incentivo clave: Contar con un DPD y un modelo de prevención certificado constituye una circunstancia atenuante ante posibles sanciones. Es decir, puede bajar significativamente una multa en caso de error.

    3. ¿Quién puede ser DPD?

    • Interno o Externo: Un trabajador o una consultora externa.
    • Persona Natural o Jurídica: Puedes contratar a una empresa especialista.
    • El Dueño (PyMEs): En empresas pequeñas, la ley permite que el dueño asuma el rol.
    • Grupos Empresariales: Un solo DPD puede servir para todo el holding.

    4. Requisitos del Cargo

    No cualquiera puede asumir este rol. Debe cumplir con:

    • Idoneidad: Conocimientos especializados en derecho de datos.
    • Autonomía: No puede recibir instrucciones ni ser sancionado por cumplir su función.
    • Acceso a Directorio: Debe rendir cuentas a la máxima autoridad.
    • Sin Conflictos de Interés: Un Gerente de Marketing o TI no puede ser DPD (no puede auditarse a sí mismo).

    5. Sus 8 Funciones Críticas

    1. Informar y asesorar sobre la ley.
    2. Supervisar el cumplimiento normativo.
    3. Capacitación permanente del personal.
    4. Gestión de Riesgos y EIPD.
    5. Atención de derechos ARCOP.
    6. Punto de contacto con la Agencia.
    7. Desarrollar Plan Anual de trabajo.
    8. Mantener estricta confidencialidad.

    6. ¿Por qué le conviene a tu empresa?

    Más allá de lo legal, tener un DPD (interno o externo) reduce riesgos de brechas de seguridad, genera confianza en tus clientes y actúa como un «seguro» atenuante ante la autoridad.

  • Modelo de Prevención de Infracciones

    Modelo de Prevención de Infracciones

    El Modelo de Prevención de Infracciones (MPI): Qué es y de qué se compone.

    Con multas que pueden llegar a las 20.000 UTM, el MPI no es un gasto, es una inversión indispensable en seguridad y continuidad del negocio.

     

    Con la entrada en vigencia de la Ley 21.719, las multas por mal manejo de datos pueden llegar a cifras astronómicas. Ante este escenario, la ley ofrece una herramienta vital para proteger a tu empresa: el Modelo de Prevención de Infracciones (MPI).

    Aunque la ley dice que su adopción es «voluntaria», en la práctica empresarial moderna se convierte en un mecanismo indispensable de supervivencia y reputación. Aquí te explicamos por qué.

    1. ¿Qué es exactamente el MPI?

    No es solo un manual guardado en un cajón. Es un sistema vivo y organizado de gestión y supervisión. Consiste en un programa de cumplimiento que implementa tu empresa para asegurar que todos los procesos (ventas, RR.HH., marketing) respeten la privacidad.

    Su objetivo es pasar de la teoría a la práctica: demostrar que tu empresa ha tomado medidas concretas y verificables para evitar infracciones.

    2. El Gran Beneficio: Reducción de Multas

    Circunstancia Atenuante

    La ley establece explícitamente que contar con un Modelo de Prevención certificado constituye una circunstancia atenuante. Si cometes un error, tener este modelo le dice a la Agencia: «Esta empresa fue diligente», lo que puede rebajar significativamente la multa.

    3. ¿Qué debe tener tu Modelo para ser válido?

    Para que este «escudo» funcione, debe ser real. Según el artículo 49 de la ley, tu modelo debe incluir obligatoriamente:

    Un Delegado de Protección de Datos (DPD): Al adoptar el modelo, la designación de un DPD pasa a ser obligatoria.

    Mapa de Riesgos: Identificar qué actividades generan peligro (ej: huella digital, mailing masivo).

    Protocolos Claros: Reglas específicas para que tus empleados sepan cómo actuar.

    Canal de Denuncias: Un sistema interno, anónimo y seguro para reportar incumplimientos.

    Sanciones Internas: Un reglamento que castigue a quienes no respeten las normas.

    4. La Certificación: El Sello de Calidad

    Para que el modelo tenga pleno valor ante la autoridad, debe ser certificado por la Agencia.

    • Vigencia: La certificación dura 3 años.
    • Reputación: Entras en el Registro Nacional de Sanciones y Cumplimiento, pero en la lista positiva de «cumplidores».

  • Base de datos de clientes

    Base de datos de clientes

    Tu Base de Datos de Clientes: ¿Activo de Oro o Bomba de Tiempo?

    Para cualquier empresario, la base de datos es el corazón del negocio. Pero con la Ley 21.719, ese Excel puede convertirse en tu mayor riesgo legal si no lo gestionas correctamente.

    Para cualquier empresario, la base de datos de clientes es la historia de sus ventas y la proyección de su futuro. Sin embargo, con la entrada en vigencia de la nueva Ley de Protección de Datos Personales, esa lista de Excel o ese CRM que has alimentado por años puede convertirse en tu mayor riesgo legal.

    Ya no basta con tener los datos; ahora debes cuidarlos, justificarlos y limpiarlos. Aquí te explicamos las claves para evitar multas y generar confianza.

    1. ¿Qué es «Tratar» los datos?

    Derribemos un mito: el tratamiento de datos no es solo lo que hacen los ingenieros. Según la ley, «tratamiento» es cualquier operación:

    • Recolectar RUT
    • Guardar correo
    • Enviar Newsletter
    • Cruzar info
    • Borrar registros

    Si realizas cualquiera de estas acciones, tu empresa es legalmente la «Responsable de Datos» y debe responder ante la ley.

    2. Limpieza: El fin del «Dato Basura»

    Muchas empresas acumulan datos antiguos «por si acaso». La nueva ley impone el Principio de Calidad: los datos deben ser exactos, completos y actuales.

    Tu tarea: Si tienes la dirección de un cliente de hace 10 años y no la has verificado, ese dato no solo es inútil comercialmente, sino que mantenerlo es una infracción. Debes depurar tu base periódicamente.

    3. Finalidad: Úsalos solo para lo que dijiste

    Este es el error más común en marketing. Si le pediste el correo al cliente para enviarle la boleta electrónica, no puedes usarlo para publicidad sin permiso específico (Principio de Finalidad).

    El Riesgo

    Usar datos de facturación para crear perfiles de consumo sin autorización es una infracción grave que puede costarte hasta 10.000 UTM.

    4. Minimización: Menos es Más

    ¿Realmente necesitas saber el estado civil para vender un par de zapatos? Probablemente no. El Principio de Proporcionalidad exige que solo pidas los datos estrictamente necesarios. Pedir datos extra «para futuras campañas» aumenta tu riesgo innecesariamente.

    5. Seguridad: Cierra la puerta

    Si guardas los datos en un Excel sin clave o en una carpeta compartida, estás incumpliendo la ley. Debes tomar medidas técnicas (cifrado, contraseñas) para evitar filtraciones.

    Recuerda: si se filtran los datos, ahora tienes la obligación legal de autodenunciarte a la Agencia.

    6. El Consentimiento

    Olvídate de las casillas pre-marcadas. El consentimiento ahora debe ser una acción afirmativa, libre y específica. El cliente debe hacer «clic» voluntariamente aceptando el uso de sus datos y debe poder revocarlos fácilmente.

    Conclusión: La Higiene es Rentable

    Adecuar tu base de datos no es solo burocracia; es una oportunidad para quedarte con datos de calidad, de clientes que realmente quieren escucharte, y blindar a tu empresa de sanciones millonarias.

  • ¿Puede un trabajador negarse a usar su huella digital para la asistencia?

    ¿Puede un trabajador negarse a usar su huella digital para la asistencia?

    ¿Puede un trabajador negarse a usar su huella digital para la asistencia?

    El uso del reloj control biométrico es un estándar, pero bajo la nueva Ley 21.719, obligar a su uso puede transformarse en una infracción gravísima.

    Es una escena común en miles de empresas en Chile: el trabajador llega a las 08:30 AM y pone su dedo o su rostro frente a un dispositivo para marcar su entrada. Hasta hoy, esto parecía un simple trámite administrativo.

    Sin embargo, con la publicación de la Ley 21.719, las reglas del juego han cambiado radicalmente y la respuesta corta a la pregunta del título es: Sí, un trabajador puede negarse.

    Como empleador, debes entender por qué ocurre esto y cómo adaptar tus procesos para evitar multas que pueden llegar a las 20.000 UTM.

    1. La Biometría ahora es «Dato Sensible»

    Lo primero que debes saber es que la nueva ley clasifica expresamente a los datos biométricos (huella dactilar, reconocimiento facial, iris, geometría de la mano) como datos personales sensibles.

    Esto significa que ya no son un dato administrativo más; son datos que requieren un estándar de protección reforzado porque identifican de manera única a una persona basándose en sus características físicas o fisiológicas.

    2. El Consentimiento es la llave (y debe ser libre)

    La Ley 21.719 establece que para tratar datos biométricos, se requiere el consentimiento expreso del titular. Aquí es donde entra el conflicto laboral:

    «La ley presume que el consentimiento no es libre cuando se recaba en el marco de la ejecución de un contrato si existe subordinación y dependencia. Si el jefe manda y el empleado obedece por miedo, ese consentimiento es nulo.»

    Por tanto, si un trabajador se niega a entregar su biometría, usted no puede sancionarlo ni obligarlo.

    3. La Solución: Ofrecer una Alternativa

    Para que el uso del reloj control biométrico sea legal en tu empresa, debes demostrar que el trabajador que aceptó usarlo lo hizo de forma verdaderamente voluntaria.

    ¿Cómo se logra esto?

    Debes ofrecer un sistema alternativo de marcaje que no sea biométrico (por ejemplo, una tarjeta magnética, una clave numérica o el libro de asistencia). Al existir una opción, el trabajador que «elige» la huella lo hace por comodidad y no por imposición, validando así su consentimiento.

    4. Nuevos Deberes de Información

    Si tus trabajadores aceptan usar la biometría, no basta con que pongan el dedo. Antes de capturar el dato, la ley te exige informarles por escrito (Art. 16 ter):

    • La identificación del sistema biométrico usado.
    • La finalidad específica (ej: solo control de asistencia).
    • El tiempo que se guardarán los datos.
    • La forma en que pueden ejercer sus derechos.

    5. Ojo: Es una actividad de Alto Riesgo

    El tratamiento de datos sensibles y biométricos se considera una actividad de alto riesgo. Esto significa que es probable que tu empresa deba realizar una Evaluación de Impacto en Protección de Datos (EIPD). No tener este informe técnico-legal ante una fiscalización de la Agencia es una infracción sancionable.

  • El abc de los datos personales

    El abc de los datos personales

    Datos Personales para Principiantes: El ABC de la nueva Ley

    Todo lo que necesitas saber para entender la Ley 21.719 sin ser abogado. Una guía para dueños de empresa y emprendedores.

    Si eres dueño de una empresa o gerente, es probable que hayas escuchado que «las reglas del juego cambiaron» con la nueva Ley de Datos Personales. Y es cierto. Pero entre tecnicismos legales y amenazas de multas, es fácil perderse.

    Como expertos en LegalDatos, hemos preparado esta guía esencial —el verdadero ABC— para que entiendas los conceptos básicos que definirán el futuro de tu negocio a partir de diciembre de 2026.

    A ¿Qué es (y qué no es) un Dato Personal?

    Lo primero es entender la materia prima:

    • Dato Personal Cualquier información referida a una persona natural identificada o identificable. No es solo el RUT. Es el correo, la huella, la geolocalización o hábitos de compra.
    • Dato Sensible Una categoría especial que requiere cuidado extremo (y consentimiento explícito). Incluye salud, vida sexual, opiniones políticas, y huellas biométricas.
    💡 Ojo: Los datos de personas jurídicas (empresas) NO son datos personales bajo esta ley.

    B Los Protagonistas: ¿Quién es quién?

    En esta «película» legal, es vital que sepas tu rol:

    • El Titular: La persona dueña de los datos (tu cliente, empleado, proveedor). La ley lo protege a él.
    • El Responsable (Probablemente TÚ): Quien decide qué se hace con los datos. Si recolectas datos para vender o facturar, eres el Responsable ante la ley.
    • El Encargado: Un tercero que procesa datos por ti (ej: la empresa de software de RRHH). Ellos siguen instrucciones, pero tú eres el responsable final.

    C Las Reglas de Oro: Los Principios

    La ley te da «Principios» que debes respetar siempre:

    Finalidad

    Úsalo solo para lo que dijiste. Si pediste el mail para la boleta, no envíes publicidad sin permiso.

    Proporcionalidad

    Pide lo justo. ¿Necesitas la religión para vender zapatos? No. Entonces no la pidas.

    Seguridad

    Obligación de tomar medidas técnicas (ciberseguridad) para que los datos no se filtren.

    Licitud

    Necesitas una «base legal». Usualmente Consentimiento o Contrato.

    D El Poder del Cliente: Derechos ARCOP

    Tu cliente tiene un kit de herramientas poderoso. Debes poder responder a:

    • Acceso: «¿Qué datos tienes de mí?»
    • Rectificación: «Corrige mi dirección».
    • Cancelación (Supresión): «Borra mis datos».
    • Oposición: «No me envíes más publicidad».
    • Portabilidad (¡Nuevo!): «Dame una copia de mis datos para llevarme a tu competencia».

    E El Árbitro: La Agencia

    Se acabó la letra muerta. La nueva Agencia de Protección de Datos Personales es un organismo autónomo con «dientes».

    Las Multas

    Pueden llegar hasta 20.000 UTM (aprox. $1.300 millones) o el 4% de tus ingresos anuales si eres una gran empresa reincidente.

    Conclusión: No es miedo, es orden

    Entender este ABC es el primer paso para dejar de ver los datos como un archivo de Excel y empezar a tratarlos como un activo de riesgo y valor. La ley entra en plena vigencia en 2026, pero cambiar la cultura toma tiempo.