Columnas
La nueva ley de protección de datos: un cambio en el tratamiento de la información contenida en los currículums vitae para futuros procesos de selección
Por Diego Lizama Castro y Makarena Alarcón González*
La nueva ley de protección de datos personales tendrá un impacto relevante a nivel de recursos humanos. Desde ya, respecto a la recepción y tratamiento de los datos personales recolectados por el envío de currículum vitae ante ofertas de trabajo. En efecto, en cada proceso de postulación, los profesionales aportan su nombre, número de contacto, domicilio, RUN, entre otros.
Según la nueva ley N°21.719, que modifica la ley N°19.628, los datos personales solamente podrán ser tratados con una determinada fuente de licitud (artículos 12 y 13 de la nueva ley). Por ejemplo, consentimiento inequívoco; cuando el tratamiento sea necesario para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley; cuando el tratamiento sea necesario para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular; cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero; o bien, cuando el tratamiento de datos sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia u órganos públicos.
La primera entrega de datos, vinculada directamente con el proceso de selección, tiene una base clara de licitud, esto es, la ejecución de medidas precontractuales solicitadas por el propio postulante. Es decir, no se requiere consentimiento para analizar el curriculum vitae en el proceso de contratación para el que fue enviado. El problema surge con todos los datos que las empresas “reciclan” para futuros procesos, sin que la persona lo haya autorizado. Es una práctica usual que las compañías contacten a aquellas personas que han enviado su CV por si están interesados ante la apertura de una nueva vacante. Este segundo uso excede la finalidad original y, por lo tanto, sí requiere consentimiento expreso del titular, que además debe ser libre, informado, específico en cuanto a su finalidad, previo, e inequívoco. De esta forma, por ejemplo, si un postulante envía su currículum vitae para un cargo de analista legal, pero la empresa decide guardarlo para una futura vacante de abogado, este almacenamiento ya no se justifica en la medida precontractual original, sino que requiere de una autorización explícita.
En estos casos, el gran desafío que tendrán las gerencias de recursos humanos para tratar legítimamente los datos de los postulantes será: ¿cómo conseguir el consentimiento del titular de los datos para contactarlo ante futuros procesos de selección?
Una alternativa es que en las páginas web, que recaban currículums vitae, el postulante tenga la opción de marcar una casilla que autorice el tratamiento de sus datos personales para postulaciones futuras. Otra opción, en el caso que los currículums sean recabados a través de una casilla electrónica, es que la empresa comunique a los postulantes que pueden autorizar el tratamiento de sus datos personales para procesos futuros, solicitando su confirmación expresamente, por el mismo medio, para dicha conservación. Sin esta última, la empresa se verá en la obligación de eliminar los datos recolectados una vez finalizado el proceso.
¿A qué me arriesgó si no cumplo con lo anterior? ¿Es tan grave tratar datos sin la autorización del titular? La verdad es que sí. La empresa se puede exponer a una multa de hasta 10.000 UTM, en la circunstancia que se traten datos personales sin contar con el consentimiento de la persona (artículo 34 ter de la nueva ley de protección de datos).
Se debe destacar, además, que un error frecuente es no informar adecuadamente al titular. Aun cuando el tratamiento inicial del curriculum vitae no requiere consentimiento, siempre se debe cumplir con el deber de información, idealmente, mediante un aviso de privacidad. Si la oferta laboral es publicada a través de LinkedIn, portales de empleo o incluso casillas corporativas, la empresa debe informar de manera clara la finalidad del tratamiento, el tiempo de conservación y los derechos que tiene el postulante.
Sin perjuicio de todo lo expuesto, cabe prevenir que los tratamientos que realicen las empresas, en ningún caso, podrán tratar datos sensibles que signifiquen una discriminación. En efecto, malamente, se podría tratar, por ejemplo, la orientación sexual de un postulante, o bien, la cantidad de licencias médicas que ha presentado. Esto, no solamente importará una vulneración de la normativa de protección de datos, sino que, además, significará una infracción del artículo 2° del Código del Trabajo. En cuyo caso, la Inspección podría cursar multas de hasta 60 UTM 1 Esto sucedió con el certificado cualiffy, donde la Dirección del Trabajo sostuvo que la exigencia de requisitos, información o certificados que den cuenta de antecedentes que no digan estricta relación con la capacidad e idoneidad de una persona en relación con las funciones a cumplir, constituye una vulneración al derecho a la no discriminación, tanto en el contexto de las ofertas de empleo, las relaciones laborales y su término (Ord. N°541, de fecha 11 de agosto de 2025).
Como es posible observar, las multas por no cumplir con lo anterior son altas, por lo que las áreas de recursos humanos deberán estar especialmente alertas. Más allá de la sanción, estos cambios implican un giro cultural importante que obliga a rediseñar procesos de reclutamiento, capacitar a los equipos y asumir que la gestión de la privacidad debe incorporarse como un eje central en la gestión de talentos. De lo contrario, tendremos más de un dolor de cabeza.
*Diego Lizama Castro es abogado de la Universidad de Chile y Magíster en Derecho del Trabajo y Seguridad Social en la misma casa de estudios. Es profesor invitado del diplomado de Derecho del Trabajo en la Pontificia Universidad Católica de Chile y en el magíster de la Universidad Católica de la Santísima Concepción. Socio del Estudio Jurídico Lizama Abogados.
*Makarena Alarcón González es abogada de la Universidad de Chile, Magíster en Derecho en Ciberseguridad y Nuevas Tecnologías en la Universidad de León España y Delegada de Protección de Datos certificada por la Agencia Española de Protección de Datos. Data Protection Officer en Lemontech.
