Columnas

El nuevo estándar de protección de datos personales en las investigaciones internas.

Por Rebeca Zamora y Camilo Sanhueza*

Cada vez que una empresa investiga una denuncia por acoso, un posible fraude, un conflicto de interés o una infracción al modelo de prevención de delitos o cualquier programa de cumplimiento, no solo está desarrollando una investigación: también trata datos personales.

Rebeca Zamora

La entrada en vigencia de la Ley N°21.719 (la “Nueva Ley”), que moderniza el régimen chileno de protección de datos personales, ha concentrado el debate en el consentimiento, los nuevos derechos de los titulares o la creación de la Agencia de Protección de Datos Personales. Sin embargo, existe un aspecto que ha pasado relativamente desapercibido pero que tendrá un impacto inmediato en las organizaciones desde la perspectiva laboral: la forma en que se desarrollan las investigaciones internas.

Declaraciones de testigos, correos electrónicos, grabaciones, informes internos, antecedentes disciplinarios y otros documentos pasan a formar parte de un expediente cuyo tratamiento deberá ajustarse a exigencias más estrictas. La investigación ya no solo deberá ser eficaz, objetiva y ajustarse a una serie de principios y estándares; también deberá ser jurídicamente compatible con la nueva regulación de protección de datos.

Camilo Sanhueza

La Nueva Ley no regula expresamente las investigaciones internas. Sin embargo, sus principios y obligaciones inciden directamente en la forma en que éstas deberán diseñarse y ejecutarse. En adelante, una investigación ya no solo deberá ser eficaz. También deberá demostrar que respetó los estándares de protección de datos personales durante todo su desarrollo.

I. Principios que no se negocian.

El artículo 3° de la Nueva Ley establece los pilares de cualquier tratamiento de datos. En una investigación interna, donde habitualmente se tratan datos personales de especial relevancia, cuatro de estos principios actúan como límites infranqueables:

  1. Confidencialidad. No es solo una buena práctica ética; es un mandato legal. Toda persona que acceda a los datos de la investigación (investigadores, expertos, testigos) está obligada a guardar secreto. Este deber no termina con la investigación ni con la relación laboral (art. 14 bis). En la práctica, esto exige pasar de las clásicas cláusulas genéricas a protocolos de reserva reforzados y trazables.
  2. Proporcionalidad. Investigar no es sinónimo de acceso total. El tratamiento debe limitarse a lo estrictamente necesario para esclarecer los hechos denunciados. El “por si acaso” queda fuera: la organización debe abstenerse de revisar información que, aunque esté disponible en sus sistemas, no guarde una relación directa y pertinente con el objeto de la investigación.
  3. Seguridad. La ley exige medidas técnicas (como el cifrado de archivos y controles de acceso) y organizativas (roles definidos y custodia segura) proporcionales al riesgo. La pérdida o filtración de estos antecedentes no solo contamina el proceso, sino que constituye una infracción grave que la nueva autoridad (la “Agencia”) podrá sancionar severamente.
  4. Transparencia e información. Este es, quizás, el punto de mayor fricción. Si bien la reserva y confidencialidad es consustancial al éxito de una investigación, el titular de los datos mantiene su derecho a saber que su información está siendo tratada. El desafío para el compliance es informar sobre la existencia del tratamiento, su finalidad y los derechos del titular, sin comprometer por ello la integridad ni el secreto de la estrategia investigativa. En la práctica, esto se traduce en que toda diligencia debiera incluir una cláusula de consentimiento.

II. Hay que contar con una base de licitud.

Una de las primeras preguntas que debería hacerse una organización antes de iniciar una investigación interna no es cómo investigar, sino con qué fundamento jurídico tratará los datos personales que inevitablemente recopilará. Las bases de licitud más relevantes para estos procesos son las siguientes:

  1. Cumplimiento de una obligación legal (art. 13 letra b). Cuando una norma impone el deber de investigar determinadas conductas, el tratamiento encuentra una base de licitud. Es el caso, por ejemplo, de obligaciones derivadas de la Ley Karin o de los modelos de prevención previstos en la Ley N°20.393. Sin embargo, creemos que la obligación debe surgir de una disposición legal específica y no de una interpretación amplia de deberes generales de diligencia.
  2. Interés legítimo del responsable (art. 13 letra d). En muchos casos, esta será la base de licitud más relevante para una investigación interna. La ley permite tratar datos personales cuando ello sea necesario para satisfacer un interés legítimo del responsable o de un tercero, siempre que no se afecten los derechos y libertades del titular. En otras palabras, no basta afirmar que la empresa tiene interés en investigar: ese interés debe ser real, justificar el tratamiento de los datos y ejercerse respetando los derechos de las personas involucradas. Pareciera que el compromiso de un programa de cumplimiento sería base de legitimidad de interés, porque ¿Qué programa es realmente valioso si no se investigan y sancionan sus infracciones?
  3. Defensa de derechos (art. 13 letra e). También es lícito tratar datos cuando ello sea necesario para la formulación, ejercicio o defensa de un derecho ante tribunales de justicia u órganos públicos. Esta base cobra especial importancia cuando la investigación busca preparar la defensa de la organización frente a una demanda laboral, una denuncia administrativa o un procedimiento penal o sancionatorio.

En ese sentido, una investigación interna no otorga una autorización permanente para utilizar los datos personales que se recopilan durante ella. Los antecedentes obtenidos durante el proceso tienen un propósito específico: esclarecer los hechos investigados y permitir que la organización adopte las decisiones que correspondan. Esa finalidad determina – y también limita – el tratamiento que puede realizarse.

El problema surge cuando, una vez concluida la investigación, esa información comienza a utilizarse para otros objetivos: alimentar evaluaciones de desempeño, respaldar decisiones de promoción o desvinculación, elaborar perfiles o servir como antecedente para futuras investigaciones sin una base que lo justifique conforme a la ley. La información obtenida para investigar un hecho no pasa a convertirse en un insumo de libre utilización para la organización.

III. ¿Cómo prepararse antes de diciembre?

A nuestro juicio, entre las medidas que toda organización debería revisar es crítico las siguientes:

  1. Confidencialidad y acceso limitado. Quienes intervengan en una investigación deben guardar reserva sobre los datos personales a los que accedan. Este deber subsiste incluso después de terminada la relación con el titular y obliga al responsable a adoptar las medidas necesarias para asegurar su cumplimiento (art. 14 bis). El acceso debe restringirse a quienes participan en la investigación o requieren esos antecedentes para cumplir sus funciones. Los datos personales solo pueden mantenerse mientras sean necesarios para cumplir la finalidad de la investigación o una obligación legal. Cumplido ese período, deberán ser suprimidos o anonimizados, salvo que la propia ley autorice su conservación (art. 3 letra c).
  2. Medidas de seguridad. El responsable debe implementar medidas técnicas y organizativas apropiadas al riesgo del tratamiento, considerando el estado de la técnica, la naturaleza de los datos y la probabilidad de afectación a los derechos de los titulares. Entre ellas pueden encontrarse mecanismos de cifrado, controles de acceso y registros de auditoría, entre otras medidas proporcionales al riesgo (art. 14 quinquies).
  3. ¿Qué ocurre si el investigado exige eliminar sus datos? Imaginemos un escenario crítico: una persona denunciada en medio de una investigación interna ejerce su derecho de supresión y solicita que todos sus antecedentes sean eliminados de inmediato. ¿Debe la organización detenerse y borrar los datos? ¿Puede negarse? Si bien el artículo 7° consagra el derecho a la supresión, también establece excepciones clave. La organización podrá – y en muchos casos, deberá – rechazar la solicitud cuando el tratamiento sea necesario para cumplir una obligación legal, ejecutar un contrato o, muy especialmente, para la formulación, ejercicio o defensa de derechos ante tribunales u órganos públicos. Es precisamente en estos supuestos donde se anclan las investigaciones internas, entregando fundamentos sólidos para mantener la información mientras el proceso esté vigente o sea necesario para una defensa posterior. La negativa no puede ser una respuesta genérica invocando un “interés corporativo”. El responsable deberá responder fundadamente, identificando la causal legal específica y los hechos que la sustentan. Además, deberá informar al titular su derecho a reclamar ante la Agencia si no está conforme.

A menos de seis meses del hito de entrada en vigencia, el camino exige cinco acciones críticas:

  1. Validar que los protocolos de investigación y canales de denuncia aseguren que los principios de finalidad y proporcionalidad operen desde la primera alerta.
  2. Los equipos de compliance, legal y recursos humanos deben operar bajo la premisa de que un error en el tratamiento de datos puede invalidar meses de trabajo investigativo y generar sanciones o ineficacia de las mismas.
  3. Resguardar el expediente investigativo con medidas de cifrado y trazabilidad técnica.
  4. Implementar los procedimientos para responder a solicitudes de acceso o supresión (y derechos ARSOP+ en general).
  5. La figura del Delegado de Protección de Datos (por sus siglas en inglés, “DPO”) debe estar operativa y empoderada como garante del cumplimiento en estos procesos, liderando la transición hacia el nuevo marco de responsabilidad.

Las investigaciones internas son una pieza fundamental del compliance moderno, pero el modelo de “datos ilimitados” ha muerto. La ley nos exige un equilibrio que ya no es opcional: investigar con rigor técnico y respeto irrenunciable a la privacidad.

Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close
Close