La cuenta regresiva ha comenzado para el sector empresarial. Con la llegada de diciembre, la nueva Ley de Protección de Datos Personales (Ley 21.719) entrará plenamente en vigencia, obligando a las organizaciones a acelerar sus procesos de adecuación. Esta normativa no representa un simple ajuste administrativo, sino que promete transformar profundamente la operatividad cotidiana, impactando desde los procesos de reclutamiento de trabajadores hasta la gestión de licencias médicas, el control de asistencia y el monitoreo de comunicaciones corporativas.
La urgencia es palpable en el mercado legal. Abogados laborales han reportado que las consultas empresariales se han multiplicado drásticamente en el último tiempo. Lo más relevante es que este interés ha dejado de estar restringido a las áreas de tecnología. Actualmente, son las gerencias de personas, los equipos de compliance y los propios directorios quienes lideran la búsqueda de respuestas para adaptar procesos que, durante años, fueron parte de la rutina operativa sin mayores cuestionamientos.
Carlos Gutiérrez, socio de GNP Canales, describe este cambio de mentalidad señalando que las empresas han dejado de percibir la normativa como algo abstracto; lo que anteriormente se consideraba un tema para "revisar" en el futuro, hoy se ha convertido en una necesidad de implementación inmediata. En sintonía con esto, Luis y Diego Lizama, socios de Lizama Abogados, enfatizan que la proximidad del 1 de diciembre de 2026 ha transformado un asunto que parecía lejano en una urgencia prioritaria para los directorios. Por su parte, Jaime Salinas, socio de Salinas Toledo, resume el fenómeno afirmando que la Ley 21.719 ha dejado de ser un tema exclusivo de TI para convertirse en una prioridad de directorio, recursos humanos y fiscalía.
El impacto de este cambio normativo es significativo. La ley contempla la creación de la Agencia de Protección de Datos Personales e introduce un régimen sancionatorio severo. Las multas pueden alcanzar hasta las 20 mil UTM y, en casos de reincidencia en grandes empresas, podrían llegar hasta el 4% de sus ingresos. Además, la normativa establece que todo tratamiento de datos personales debe contar con una finalidad específica, poseer una base jurídica y estar debidamente documentado.
Una de las áreas más afectadas será el tratamiento de la información de trabajadores y postulantes. Según los socios de Lizama Abogados, diversas prácticas comunes quedarán en entredicho, tales como la recolección de datos "por si acaso" sin una finalidad determinada, el uso de consentimientos genéricos firmados en el contrato de trabajo, la conservación indefinida de antecedentes de postulantes o el intercambio de información con terceros sin contratos que regulen dicho tratamiento.
Carlos Gutiérrez advierte que muchas compañías mantienen procedimientos que difícilmente resistirán la nueva regulación. Entre los ejemplos críticos menciona la obtención de datos mediante cláusulas genéricas, la falta de criterios de eliminación para información de exempleados y la entrega de antecedentes a proveedores de seguros, beneficios o remuneraciones sin los contratos adecuados, una situación que, según el experto, es la norma en la mayoría de las empresas actuales.
Otro punto neurálgico de preocupación son las herramientas de control laboral. Si bien la ley no prohíbe el monitoreo de correos corporativos, la revisión de navegación por internet, el uso de software de productividad o la geolocalización de trabajadores en terreno, sí cambia radicalmente las reglas de implementación. Jaime Salinas plantea que el debate ya no es si el empleador puede monitorear, sino bajo qué garantías, para qué y cómo lo hace. Esto obligará a las empresas a revisar sus reglamentos internos, contratos y plataformas tecnológicas para acreditar que los controles son proporcionales y responden a una finalidad legítima.
En este sentido, Lizama Abogados es enfático en que el "control clandestino" no será admitido. El empleador podrá fiscalizar el correo corporativo, pero deberá informar previamente al trabajador, establecer reglas claras y contar con una justificación jurídica. Respecto a la geolocalización, Salinas advierte que el monitoreo permanente o fuera de la jornada laboral será difícil de justificar, pues la empresa deberá probar que dicho seguimiento es estrictamente necesario para la prestación del servicio y la protección de la organización.
El uso de sistemas biométricos para el registro de asistencia es otro foco de inquietud. Bajo la nueva ley, la huella dactilar y el reconocimiento facial se clasifican como datos sensibles, lo que eleva las exigencias de su uso. Salinas señala que si un trabajador se niega a entregar sus datos biométricos, la empresa debe ofrecer alternativas razonables de control. Gutiérrez añade que, aunque esta obligación ya existía en resoluciones de la Dirección del Trabajo, ahora cuenta con un respaldo legislativo mucho más sólido. Asimismo, Lizama Abogados advierte que la negativa del trabajador no puede derivar en sanciones, ya que obligar al uso de biometría podría provocar multas administrativas y acciones por tutela laboral.
Finalmente, la protección reforzada se extenderá a datos de salud, afiliación sindical, antecedentes penales y situación socioeconómica. Sobre las licencias médicas, Luis y Diego Lizama explican que las empresas podrán gestionarlas, pero no podrán acceder al diagnóstico ni conservarlo, poniendo fin a la práctica de registrar diagnósticos en sistemas internos o compartirlos con jefaturas.
A pesar del aumento en las consultas, el diagnóstico de los expertos es unánime: la mayoría de las compañías aún no está preparada. Para enfrentar este desafío, recomiendan nombrar un responsable interno, levantar un inventario detallado de datos, revisar contratos con proveedores y trabajadores, actualizar reglamentos internos, auditar sistemas tecnológicos y capacitar al personal de recursos humanos. Como concluye Carlos Gutiérrez, resulta imposible cumplir la ley sin saber primero qué datos se tienen, dónde están y con qué propósito se utilizan.


