El impacto de la Ley de Protección de Datos en las relaciones laborales: una pincelada de lo que se viene

Por Diego Lizama Castro ¹ Diego Lizama es abogado de la Universidad de Chile y Magíster en Derecho del Trabajo y Seguridad Social en la misma casa de estudios. Es profesor invitado del diplomado de Derecho del Trabajo en la Pontificia Universidad Católica de Chile y en el magíster de la Universidad Católica de la Santísima Concepción. Socio del Estudio Jurídico Lizama Abogados.

La ley N°21.719 estableció modificaciones sustanciales a la regulación de protección de datos en Chile (ley N°19.628). La más importante, probablemente, sea la implementación de toda una institucionalidad con el objetivo de velar por el cumplimiento de la ley, por intermedio de la aplicación de cuantiosas multas por la Agencia de Protección de Datos. Algunas podrían superar los 1.300 millones de pesos.

En efecto, la dogmática jurídica sostuvo que el principal déficit de la regulación anterior en materia de datos era que no existía un órgano público que fiscalizara el cumplimiento de la ley ² CONTRERAS, Pablo, et al. Compliance y protección de datos personales. Explicación de la nueva ley N°21.719. Der Ediciones. Santiago. 2024. p. 9. . Por lo anterior, era bastante común que muchos responsables de tratamiento de datos no cumpliesen con el estatuto legal, al no existir incentivos suficientes para su cumplimiento.

Una de las principales distinciones que hace la nueva ley es entre “dato personal” y “dato sensible”. Los primeros se refieren a “cualquier información vinculada o referida a una persona natural identificada o identificable” (art. 2° letra f de la ley N°19.628). Por ejemplo, el nombre, el RUN, el domicilio, el correo electrónico, entre otros.

Por otra parte, los segundos son aquellos: “que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural”³ El Reglamento de Protección de Datos de la Unión Europea define el dato sensible de una manera ligeramente distinta. En lo concreto, el artículo 9° del Reglamento sostiene como “dato especial” o “dato sensible” aquel que revele el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida o las orientaciones sexuales de una persona física. .  (art. 2° letra g de la ley N°19.628). Por ejemplo, la afiliación sindical, o bien, la creencia religiosa.

La digresión es relevante porque la fuente de licitud para el tratamiento de ambos conglomerados de datos es distinta. En el caso de los datos personales las fuentes habilitantes están en los artículos 13 y 14 de la nueva ley N°19.628. Por ejemplo, consentimiento inequívoco; cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley; cuando el tratamiento sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable; cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero; o bien, cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.

Mientras que en el caso del tratamiento de datos sensibles la fuente habilitante es más restrictiva. En este sentido, se exige, desde ya, que el consentimiento sea expreso (artículo 16 de la ley N°19.628) como otras fuentes habilitantes⁴La nueva norma sostiene que también se podrán tratar datos sensibles en las siguientes circunstancias: cuando el tratamiento se refiere a datos personales sensibles que el titular ha hecho manifiestamente públicos y su tratamiento esté relacionado con los fines para los cuales fueron publicados; cuando el tratamiento se basa en un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan determinadas condiciones; cuando el tratamiento de los datos personales del titular resulte indispensable para salvaguardar la vida, salud o integridad física o psíquica del titular o de otra persona o, cuando el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento; cuando el tratamiento de los datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia o un órgano administrativo; cuando el tratamiento de datos sea necesario para el ejercicio de derechos y el cumplimiento de obligaciones del responsable o del titular de datos, en el ámbito laboral o de seguridad social, y se realice en el marco de la ley; o cuando el tratamiento de datos personales sensibles lo autorice o mandate expresamente la ley. .

En materia de Derecho del Trabajo, esta ley –qué duda cabe– tendrá un impacto directo en el marco de las relaciones laborales debiendo las gerencias de recursos humanos tomar medidas al respecto. Especialmente en lo que dice relación a análisis de la fuente que habilita al tratamiento del dato en el trabajo. Veamos algunos ejemplos.

Es muy común que las empresas traten datos biométricos (datos sensibles) para el ingreso y salida de las compañías. Pues bien, con las nuevas modificaciones de la ley N°19.628, dicho dato solamente podría ser tratado por un consentimiento del titular (a través de un anexo en el contrato de trabajo). Cabe destacar que, en dicha circunstancia, será perfectamente válido que el trabajador se niegue a la suscripción de dicho documento. En cuyo caso, el empleador no podría despedirlo, salvo que esté dispuesto a enfrentar una denuncia por vulneración de derechos con ocasión del despido por infracción del derecho a la protección de datos personales, de conformidad al procedimiento estipulado en los artículos 485 y siguientes del Código del Trabajo.

Otro ejemplo. En la gran minería del cobre es muy común la implementación de sistemas de seguridad que tratan datos biométricos para detectar somnolencia. Esto, para prevenir cualquier tipo de accidente en faenas. En cuanto a esto último, se deberá analizar cuál es la fuente que permite tratar el dato sensible. Eventualmente, la fuente habilitante podría ser la satisfacción de un interés legítimo del responsable⁵En Chile se ha escrito escasamente sobre el “interés legítimo”. Con todo, se ha dicho que este debe ser claro, determinado, específico y su satisfacción es consecuencia directa del tratamiento (en términos de necesariedad) (CONTRERAS, Pablo y TRIGO, Pablo. “Interés legítimo y tratamiento de datos personales: antecedentes comparados y regulación en Chile” en Revista Chilena de Derecho y Tecnología. Vol N°8 N°1. 2019. p. 102)., o en su defecto, el consentimiento. La elección de uno u otro no es baladí, pues en el segundo se requerirá una autorización expresa del trabajador. Así las cosas, se deberá estar especialmente alerta a lo que interprete, finalmente, la Agencia de Protección de Datos, pues la forma en que se aborde la situación determinará la manera en que se debería operar con el tratamiento e, inclusive, la viabilidad del mecanismo.

La ley también tendrá impacto en los registros de asistencia que traten datos biométricos. Es muy común que las compañías utilicen la huella dactilar para el marcaje de asistencia. En cuanto a ello, como bien sostuvo Carlos Reusser, será necesario el consentimiento del trabajador para tratar dicho dato⁶ REUSSER, Carlos. ¿Se puede seguir usando la huella dactilar y datos biométricos para registrar la asistencia de los trabajadores? En EstadoDiario. Santiago. 2024. .

Los empleadores (como responsables de datos) tratan datos constantemente de sus trabajadores. Algunas veces por una obligación legal, otras por consentimiento, y otras por intereses legítimos. En este contexto, y teniendo en consideración la nueva ley de protección de datos, las empresas deberán hacer un análisis exhaustivo de lo que han hecho a la fecha para cumplir con la nueva legislación, detectando cuál será la fuente habilitante del tratamiento. La nueva ley comenzará a regir a partir de diciembre de 2026. El reloj ya está en curso y, teniendo a la vista las multas, lo razonable sería anticiparse.