La autodeterminación informativa en el mundo laboral: Un nuevo equilibrio entre el control empresarial, derechos laborales y tecnologías de monitoreo.

Por Paola Hermosilla Estay ¹ Licenciada en Ciencias Jurídicas y Sociales de la Universidad de Chile; Diplomado en Derecho, Regulación en Nuevas Tecnologías y Protección de Datos (Universidad de Los Andes); Diplomado en Ciberseguridad (Universidad del Desarrollo) Abogada senior especializada en derecho tecnológico, protección de datos y ciberseguridad, con más de 10 años de experiencia liderando funciones legales in-house en empresas TI de gran escala y proyectos complejos en Latinoamérica. Mi trabajo se centra en transformar la regulación en una ventaja estratégica para el negocio, acompañando a equipos TI, compliance y alta dirección en la toma de decisiones críticas. He participado en proyectos regionales, mesas multidisciplinarias y espacios de discusión regulatoria, con foco en privacidad, ciberseguridad, contratación tecnológica y cumplimiento normativo en entornos altamente regulados *

La relación laboral tradicional, en la cual el empleador organiza, dirige y controla, se ha sostenido históricamente sobre la base de la subordinación y dependencia ejercida por el empleador, y la cual ha justificado la aplicación de diversas medidas de control por este último a efectos de verificar el cumplimiento de las obligaciones y deberes laborales de los colaboradores en el entorno laboral.

Hoy este modelo enfrenta una presión inédita: la gestión intensiva de datos personales en entornos laborales más digitalizados.

La entrada en vigor de la ley 21.719 obliga a repensar profundamente cómo las organizaciones en Chile tratan los datos personales de sus trabajadores, no solo desde la óptica del cumplimiento normativo, sino también desde la gobernanza de datos, la cultura organizacional y el uso responsable de las nuevas tecnologías aplicadas al control empresarial.

1. El entorno laboral como espacio de tratamiento permanente de datos personales

Pocas áreas involucran el tratamiento de datos personales como la relación laboral: desde el proceso de reclutamiento hasta la terminación del contrato de trabajo (incluso con posterioridad, a efectos de resguardar antecedentes para un futuro ejercicio de derechos y/o defensa en tribunales de justicia), las empresas recogen, almacenan y analizan información que incluye datos asociados a la identidad de los colaboradores, financieros, biométricos, de salud, de desempeño, entre otros.

Si bien es cierto que la legislación laboral chilena ya contenía reglas relevantes en estas materias, reconociendo límites claros al poder de dirección del empleador, fue recién en el año 2018 cuando el derecho a la autodeterminación informativa adquirió el carácter de un derecho fundamental, consagrado en el artículo 19 N°4 de nuestra Constitución Política de la República; realidad que viene a ser el antecedente directo de la reformulación incorporada por la ley 21.719 en materia de datos personales, elevando esta última normativa el estándar de responsabilidad para los empleadores en materia de tratamiento de datos personales en el ámbito laboral.

La entrada en vigencia de la ley 21.719 reformula la relación que el empleador tiene con el tratamiento de datos personales de sus colaboradores en el ámbito laboral.

2. Consentimiento: el gran mito en la relación laboral

Existe un mito, aún muy extendido por estos días, sobre que el consentimiento del trabajador resuelve cualquier problema en materia de protección de datos.

Pero, ¿qué requisitos debe tener el consentimiento en materia de protección de datos personales para ser válido? En artículo 12° de la ley 21.719 señala que el consentimiento, para ser considerado una fuente de licitud válida, debe ser libre, informado y específico en cuanto a su finalidad o finalidades.

¿Podemos, entonces, considerar que, en la relación laboral, que por definición implica una relación de poder, subordinación y dependencia, podría existir un consentimiento libre por parte del trabajador en el tratamiento de sus datos personales? La verdad es que es muy difícil contemplar esta posibilidad, salvo se pudiese demostrar libertad en el otorgamiento del consentimiento por parte del empleador, reuniéndose al efecto ciertos requisitos aceptados internacionalmente en estas materias, y abordados con claridad por Pablo Contreras y Pablo Violler ² Pablo Viollier y Pablo Contreras, Videovigilancia, Control biométrico y seguimiento geolocalizado de trabajadores: Tratamiento de datos Personales a la luz de la ley 21.719, Revista Jurídica Digital UANDES 9/2 (2025), p. 13 , tales como la existencia de opciones realmente equivalentes y disponibles para todos los trabajadores, o a no ser que los trabajadores puedan negarse sin consecuencias adversas ³ Dictamen 2/2017 sobre el Tratamiento de Datos en el Trabajo del Grupo de Trabajo del Artículo 29 Por ejemplo, y para el caso del control de asistencia y acceso por parte del empleador por medios biométricos, será necesario otorgar un mecanismo alternativo de autenticación a los trabajadores que no involucre el tratamiento de sus datos biométricos ⁴ Ibíd., p. 13 , como la verificación de tarjetas físicas de acceso, registros por el personal que controla el acceso, entre otros.

Es por ese motivo, que quizá las organizaciones se vean impulsadas a utilizar otras fuentes de licitud diferentes del consentimiento, tales como la ejecución o cumplimiento de una obligación legal, el interés legítimo-con ciertas aprensiones-, la celebración o ejecución de un contrato (cuando, por ejemplo, el tratamiento de datos sea para la ejecución de ciertas medidas organizativas y productivas en virtud del poder de dirección del empleador)

3. Tecnologías de monitoreo: una línea cada vez más delgada

El uso de herramientas tecnológicas para el control de asistencia, productividad, desempeño o seguridad se ha intensificado, especialmente con el teletrabajo y modelos híbridos: ya forman parte de la vida laboral los sistemas biométricos de control, de geolocalización, análisis de desempeño automatizado o incluso herramientas basadas en IA.

El gran desafío no está en negar estas tecnologías, sino delimitar su uso, por medio del reforzamiento de principios contenidos en la ley 21.719, tales como el de minimización en el uso de datos, finalidad, licitud y transparencia, y de este modo lograr su adecuada implementación desde la arquitectura inicial de la gobernanza en privacidad, esto es, desde el diseño y por defecto.

Esto último, una vez entrada en vigencia la ley 21.719, no solo corresponderá a una declaración de principios deseables de acuerdo a la nueva normativa; sino que a un “principio/deber”, cuyo incumplimiento podría ser clasificado como un incumplimiento grave de acuerdo al artículo 34 ter de la misma, sancionable con una multa de hasta 10.000 UTM.

4. Datos sensibles: el gran desafío del área de Gestión de Personas

La gestión de licencias médicas, exámenes ocupacionales, seguridad y salud laboral, postnatal, accidentes laborales, programas de inclusión, evaluaciones psicológicas, entre otros, implica, en muchos casos, el tratamiento de datos sensibles y, por ende, de alto riesgo. En este caso, el estándar de protección contenido en la ley 21.719 es especialmente alto puesto que la regulación exige obligaciones especiales,  cuando el tratamiento involucra este tipo de datos, tales como deberes de reporte ante vulneraciones de medidas de seguridad a los titulares de éstos, además del reporte a la Agencia de Protección de Datos Personales; restricción de las bases de licitud que legitiman su tratamiento (artículo 16 y 16 bis- este último cuando se trata de datos de salud, perfil biológico humano y/o biométricos); o el deber de realizar Evaluación de Impacto ante hipótesis donde no se haya requerido el consentimiento del titular, entre otras.

Lo anterior implica que, delegar estas funciones, tanto a terceros externos a la compañía o a otras áreas internas de la misma, sin una gobernanza adecuada, incrementa exponencialmente el riesgo legal y reputacional del responsable de datos, por lo que el área de Gestión de Personas, deja de ser sólo un área administrativa y pasa a ser un actor clave en la estrategia de cumplimiento y protección de datos personales.

5. Protección de datos como parte de la cultura laboral

El mayor desafío no es jurídico ni tecnológico, sino cultural. La protección de datos en el ámbito laboral no puede abordarse solo desde políticas formales o cláusulas contractuales bien elaboradas: requiere formación, coherencia y liderazgo.

Las organizaciones que integren la protección de datos en su cultura laboral, como un elemento de respeto, confianza y buen gobierno corporativo- estarán mejor preparadas para enfrentar conflictos, fiscalizaciones y transformaciones tecnológicas futuras.

6. Un nuevo equilibrio necesario

La nueva ley 21.719 exige un ejercicio más responsable, transparente y proporcional del poder de dirección del empleador, lo cual es acorde a que a la autodeterminación informativa no solo se ha convertido en un activo crítico, sino que también es un derecho fundamental protegido por nuestra Carta Fundamental, por lo que en el mundo laboral actual, proteger un adecuado tratamiento de datos personales no es solo implica un desafío legal, sino que conlleva a redefinir el equilibrio entre control empresarial, derechos laborales y tecnologías de manera sostenible en el tiempo.