* Columna publicada originalmente en El Mercurio Legal 

Toda organización funciona con personas. Y esas personas tienen datos personales. Uno de los desafíos de la nueva legislación sobre protección de datos personales es entender el impacto de las reglas sobre procesamiento de la información personal de sus colaboradores. Y es probable que en ciertas empresas –B2B, por ejemplo–, sea el área laboral la que constituya el principal riesgo en materia de protección de datos personales.

Esta no es una materia nueva. Existen ya diversas disposiciones en el Código del Trabajo que remiten a los deberes de los empleadores en materia de la información de los trabajadores. Se prohíbe, por ejemplo, usar la información sobre obligaciones de carácter económico, financiero, bancario o comercial para condicionar la contratación de trabajadores (artículo 2, inciso 7º). El artículo 154 ter dispone que el “empleador deberá mantener reserva de toda la información y datos privados del trabajador a que tenga acceso con ocasión de la relación laboral”. Además de ello, existen menciones expresas en materia de suministro de personal (artículo 183-Y, inciso 2º) y en el régimen de los trabajadores vía plataformas digitales, en donde incluso existe un derecho a la portabilidad de datos de carácter especial (Ley Nº 21.431). Otras materias resueltas por la Dirección del Trabajo incluye la prohibición de utilizar los datos de carácter personal otorgados con ocasión de la relación laboral, para construir registros o listas negras de trabajadores que prohíban su contratación en otras empresas (DT ORD. N°1782/30).

El problema está en el cambio de estándar. Con la Ley Nº 21.719, los empleadores deberán someterse a toda una nueva serie de obligaciones de responsabilidad proactiva en el procesamiento de los datos de los trabajadores. 

Bajo la realidad productiva actual, los tratamientos de datos incluyen datos sensibles. Aquí, la reforma a la Ley Nº 19.628 trae novedades: la afiliación sindical, la situación socioeconómica y los datos biométricos comparten el estatus de datos sensibles y conllevan una serie de reglas especiales, tanto en las obligaciones de las organizaciones como en el régimen de infracciones y sanciones. Cuestiones que antes se hacían sin consideración de las reglas básicas de protección de datos personales, ahora tendrán que ser examinadas críticamente. La información de trabajadores afiliados a sindicatos, de las ayudas a trabajadores y sus familias por ciertas circunstancias económicas o el mecanismo de control de asistencia y de acceso a las instalaciones de la empresa requerirán un examen y evaluación de los posibles riesgos en materia de protección de datos personales. 

Una de las primeras obligaciones de las organizaciones es justificar el procesamiento de esta información bajo una base de licitud. Las bases de licitud son los supuestos jurídicos que habilitan a tratar datos personales. En la reforma a la Ley Nº 19.628, está el consentimiento y otras bases de licitud. En el caso de los trabajadores, es dudoso que el consentimiento prestado bajo un vínculo de subordinación o dependencia pueda ser calificado como “libre”, bajo los estrictos requisitos del nuevo artículo 12 de la ley. Por ello, las empresas deberán justificar el tratamiento de datos de los trabajadores apelando a alguna de las bases de licitud establecidas en el artículo 13 de la ley. La invocación errónea de una base de licitud puede costar caro, ya que podría ser una conducta constitutiva de infracción grave bajo la nueva ley (artículo 34 ter, letra a).

Para cumplir adecuadamente con la reforma a la ley, se deberá modificar contratos de trabajo y los reglamentos internos de las empresas. Para cumplir con los deberes de información y transparencia, se deberá contar además con avisos de privacidad. Y en el evento de avanzar a un modelo de prevención de infracciones, se deberá contar con protocolos de prevención, mecanismos de reporte interno y la tipificación de infracciones y sanciones al mismo modelo. Todo ello es exigido legalmente en el modelo de compliance que establece la ley (artículo 49).

Por último, no hay que perder de vista la interrelación de la nueva ley con el resto del ordenamiento jurídico. Pese a que ha tenido poca aplicación judicial, el derecho a la protección de datos personales constituye un derecho fundamental y tiene rango constitucional bajo el artículo 19 Nº 4. Además, bajo el ordenamiento laboral, es uno de los derechos susceptibles de ser garantizado mediante la acción de tutela de derechos fundamentales (artículo 485 del Código del Trabajo). Por lo tanto, es altamente probable que los trabajadores empleen estratégicamente la tutela de la autodeterminación informativa ante la Agencia de Protección de Datos Personales y recurran a ésta para que fiscalice y sancione los incumplimientos a la ley Nº 19.628, para luego accionar judicialmente por vía de tutela de derechos fundamentales, con un conjunto de pruebas obtenidas a partir del proceso administrativo contra la empresa. 

Prepararse es imperativo. 23 meses y contando puede sonar a tiempo suficiente, pero la experiencia europea en la implementación del GDPR demuestra lo contrario.Esperar sólo eleva los niveles de riesgo de incumplimiento regulatorio más allá de lo razonable para cualquier compañía.

• Pablo Contreras es director del Doctorado en Derecho de la Universidad Central de Chile y socio de DataCompliance.
• Marcelo Drago es Director del Diplomado Nueva Protección de Datos Personales en Chile (U.Central), Presidente de la Asociación Gremial de Profesionales en Protección de Datos Personales (AGDP Chile) y socio de DataCompliance.