La Ley N.º 21.719, promulgada el 25 de noviembre de 2024, establece un marco normativo detallado sobre la recolección, almacenamiento y uso de datos personales en el ámbito laboral en Chile. Aunque entrará en vigor el 1 de diciembre de 2026, es crucial que las empresas comiencen desde ya a adaptar sus políticas y procedimientos para cumplir con sus disposiciones.
Aunque la Ley 21.719 no introduce modificaciones directas en la legislación laboral, sus disposiciones afectan significativamente la gestión de datos en las relaciones de trabajo. Este artículo analiza los principales aspectos de la ley en relación con los derechos de los trabajadores y las obligaciones de los empleadores.
Principios Rectores del Tratamiento de Datos Personales
La Ley 21.719 establece principios fundamentales que las empresas deben respetar en el manejo de los datos de sus trabajadores:
1. Principio de Licitud: El tratamiento de datos debe basarse en una causa legítima, como la ejecución de un contrato o el consentimiento del trabajador.
2. Principio de Finalidad Específica: La recolección y uso de datos deben responder a fines específicos, legítimos y previamente informados al trabajador.
3. Principio de Proporcionalidad: Solo pueden recopilarse datos estrictamente necesarios para el cumplimiento de la finalidad declarada, evitando la recopilación excesiva de información.
4. Principio de Transparencia: Los empleadores deben informar claramente a los trabajadores sobre el tratamiento de sus datos, incluyendo la finalidad, el responsable del tratamiento y los posibles destinatarios de la información.
5. Principio de Seguridad: Se deben implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y evitar su acceso no autorizado, pérdida o destrucción.
6. Principio de Confidencialidad: Los datos personales deben ser tratados de manera confidencial, asegurando que solo el personal autorizado tenga acceso a ellos.
Consentimiento y Datos Sensibles
Si bien los empleadores pueden manejar datos personales para la gestión contractual, cualquier uso adicional requiere el consentimiento expreso del trabajador. Esto incluye:
● Uso de datos para campañas de marketing corporativo.
● Encuestas o estudios no relacionados con la actividad laboral.
● Monitoreo de salud fuera del contexto del trabajo.
Los datos sensibles, como aquellos relacionados con la salud, orientación sexual, origen étnico, opiniones políticas o creencias religiosas, gozan de una protección reforzada, exigiendo medidas adicionales de seguridad y confidencialidad. El tratamiento de estos datos está prohibido, salvo en circunstancias específicas, como cuando es necesario para el cumplimiento de obligaciones legales o con el consentimiento explícito del trabajador.
Derechos de los Trabajadores sobre sus Datos Personales
La normativa garantiza a los trabajadores diversos derechos para el control y protección de su información:
1. Derecho de Acceso: Los trabajadores pueden solicitar acceso a sus datos personales y obtener información sobre el tratamiento que se les da.
2. Derecho de Rectificación: Pueden corregir información inexacta o incompleta.
3. Derecho de Supresión: Pueden requerir la eliminación de datos que ya no sean necesarios para la relación laboral o cuando hayan retirado su consentimiento.
4. Derecho de Oposición: Pueden rechazar el uso de sus datos para fines distintos de los establecidos inicialmente o cuando consideren que el tratamiento afecta sus derechos fundamentales.
5. Derecho a la Portabilidad: Tienen el derecho de recibir sus datos en un formato estructurado y de uso común, y a transmitirlos a otro responsable del tratamiento sin impedimentos.
6. Derecho a no ser objeto de decisiones automatizadas: Pueden oponerse a decisiones que les afecten significativamente y que se basen únicamente en el tratamiento automatizado de sus datos, incluyendo la elaboración de perfiles.
Tratamiento de Datos en Procesos de Selección y Contratación
Durante la selección y contratación de personal, las empresas deben garantizar la transparencia en el uso de datos personales. Esto implica:
● Informar a los postulantes sobre qué datos se recopilan, con qué propósito y durante cuánto tiempo se conservarán.
● Obtener el consentimiento explícito de los candidatos para el tratamiento de sus datos, especialmente si se van a utilizar para fines distintos a la selección.
● Eliminar la información de los candidatos no seleccionados, salvo consentimiento expreso para su conservación en una base de datos de futuros postulantes.
● Implementar medidas de seguridad para proteger la información de los candidatos durante el proceso de selección.
Rol del Delegado de Protección de Datos Personales (DPD)
La Ley 21.719 introduce la figura del Delegado de Protección de Datos (DPD), cuya función es supervisar el cumplimiento normativo dentro de las organizaciones. Aunque no es obligatorio para todas las empresas, se recomienda en casos de:
● Tratamiento masivo de datos personales.
● Manejo de datos sensibles (salud, antecedentes penales, etc.).
● Empresas de tecnología que realicen análisis masivo de datos.
● Empresas que procesen datos en nombre de terceros.
Rol del Delegado de Protección de Datos Personales (DPD)
La Ley 21.719 introduce la figura del Delegado de Protección de Datos (DPD), cuya función es supervisar el cumplimiento normativo dentro de las organizaciones. Aunque no es obligatorio para todas las empresas, se recomienda en casos de:
● Tratamiento masivo de datos personales.
● Manejo de datos sensibles (salud, antecedentes penales, etc.).
● Empresas de tecnología que realicen análisis masivo de datos.
● Empresas que procesen datos en nombre de terceros.
El DPD tiene la responsabilidad de informar y asesorar al responsable de datos, así como a los terceros encargados y al personal involucrado, sobre el cumplimiento de la normativa de protección de datos personales. Además, debe promover la política de protección y tratamiento de datos establecida por la organización, supervisar su cumplimiento y asegurar la formación continua de las personas que participan en las operaciones de tratamiento de datos.
El DPD deberá ser autónomo y no estar sujeto a instrucciones relacionadas con sus tareas de protección de datos. La organización debe proporcionarle los recursos materiales y técnicos necesarios, adecuados al tamaño y capacidad económica de la entidad, para que pueda cumplir con sus responsabilidades de manera efectiva.
Si bien la designación de un DPD no es obligatoria, contar con uno puede ser beneficioso. La presencia de un DPD puede servir como atenuante en caso de infracciones, demostrando el compromiso de la empresa con la protección de datos personales y la implementación de buenas prácticas en esta materia.
