La ley N°21.719 introdujo modificaciones sustanciales a la ley N°19.628 que regula la protección de datos personales en Chile. Especialmente en materia de fuentes de licitud (se incorporan distintas hipótesis para tratar datos como el interés legítimo), gestión institucional (creación de la Agencia de Protección de Datos como entidad fiscalizadora y sancionadora), y obligaciones preventivas (posibilidad de adoptar un Modelo de Prevención de Infracciones), entre otros.

En este nuevo contexto, probablemente uno de los cambios más relevantes son los riesgos y contingencias a los que se expone la empresa por una vulneración de la regulación sectorial. En efecto, la Agencia podrá aplicar multas de hasta 20.000 unidades tributarias mensuales, equivalente, a junio de 2026, a la suma de $1.430.120.000, por infracciones gravísimas a la nueva ley.

El nuevo estándar de protección de datos personales también aplicará en el marco del contrato de trabajo. Como consecuencia de ello, el empleador estará obligado a tratar correctamente los datos personales de sus trabajadores y deberá adoptar, asimismo, todas las medidas de seguridad que los resguarden al interior de la empresa.

Desde esta óptica existen algunas obligaciones cuyo cumplimiento se hará difícil y complejo para los empleadores con la vigencia de la nueva ley.Primero, especial atención merecen los datos biométricos de los trabajadores. Las empresas deberán tratar dichos datos cumpliendo no solo la reglamentación laboral vigente, sino también las normas de la ley N°21.719.

A modo de ejemplo, el empleador, para tratar la huella dactilar en el control de asistencia, deberá contar con el consentimiento del trabajador manifestado por escrito en el contrato de trabajo o en un anexo, dejándose constancia de la prohibición de transferir la información a terceros ajenos a la relación laboral, con la excepción del prestador del servicio. Del mismo modo, se deberá entregar una información específica al trabajador.

A saber: identificación del sistema biométrico utilizado, el periodo de tiempo durante el cual los datos serán utilizados y la forma en que el trabajador podrá ejercer los derechos que contiene la normativa (derechos ARCO).Segundo, ajustes a la documentación interna. Las empresas deberán hacer adecuaciones en el Registro de Actividades de Tratamiento (RAT) y en su política de privacidad, dejando constancia de cuáles datos de sus trabajadores están siendo tratados, con qué finalidad y cuál es la fuente de licitud que habilita a tratar los datos en cuestión.

Tercero, se deberán agregar nuevas obligaciones y prohibiciones en el Reglamento Interno de Orden, Higiene y Seguridad que habilite al empleador a adoptar sanciones, incluido el despido, ante infracciones a la ley de protección de datos. Por ejemplo, los empleadores tendrán que establecer que los trabajadores tienen proscrito tratar datos alejándose de las fuentes de licitud contenidas en la nueva ley y que se verán obligados a cumplir con el Modelo de Prevención de Infracciones en la circunstancia en que la empresa así lo haya adoptado.Cuarto, será necesario efectuar cambios en la cultura organizacional de la empresa porque se pasa de una ley laxa en materia de protección de datos a una regulación especialmente rigurosa que se ajusta al estándar europeo del Reglamento General de Protección de Datos publicado en abril de 2016 y que entró en vigencia el año 2018.

Producto de lo anterior, resulta recomendable que las empresas comiencen con una ronda de capacitaciones para que los trabajadores conozcan qué conductas se encuentran prohibidas dentro del ámbito organizacional. Las modificaciones de la ley N°21.719 comenzarán a regir el 1 de diciembre de 2026.

En ese escenario, correrán con ventaja las empresas que adopten cuanto antes las medidas señaladas precedentemente.*Luis Lizama es abogado y profesor de Derecho del Trabajo y Seguridad Social de la Universidad de Chile y Diego Lizama Castro es abogado