Ley de Datos Personales 2026: Lo que ningún dueño de pyme debería ignorar antes de diciembre

Tienes trabajadores. Guardas su información en planillas, correos, en software de remuneraciones. Tal vez en un grupo de WhatsApp. Desde el 1 de diciembre de 2026, eso puede costarte una multa millonaria — o una demanda por vulneración de derechos fundamentales — si no está bien regulado.

La Ley N° 21.719 no es solo para grandes empresas. Las pymes están igual de expuestas, y la mayoría no lo sabe todavía.

¿Qué cambia el 1 de diciembre de 2026?

Chile tenía una ley de protección de datos desde 1999 (Ley N° 19.628), pero sin autoridad que la hiciera cumplir. Eso termina en diciembre: entra en funciones la Agencia de Protección de Datos Personales, con facultades para fiscalizar, investigar de oficio y aplicar multas de hasta 20.000 UTM.

Pero hay un segundo riesgo que pocas pymes consideran: el Código del Trabajo reconoce la protección de datos como un derecho fundamental del trabajador. Eso significa que su vulneración puede ser perseguida mediante el procedimiento de tutela laboral, con una indemnización especial de 6 a 11 remuneraciones mensuales por cada caso denunciado. Este riesgo es más inmediato — los Juzgados de Letras del Trabajo ya están operativos.

¿Por qué las pymes están más expuestas?

Las grandes empresas llevan meses trabajando en cumplimiento con equipos legales dedicados. Las pymes, en general, aun no han tomado en consideración esta potente ley. Sin embargo, a nueva normativa no distingue tamaño para exigir cumplimiento.

El problema real es que las pymes tienen prácticas informales que bajo esta ley son infracciones concretas:

• CVs guardados indefinidamente sin consentimiento

• Datos de salud de trabajadores en correos sin cifrar

• Contratos con proveedores de RRHH que no regulan el manejo de datos

• Remuneraciones compartidas por WhatsApp

• Sistemas biométricos instalados sin informar al trabajador

¿Qué datos de mis trabajadores están regulados?

Todo lo que permite identificarlos: RUT, nombre, dirección, cuenta bancaria, correo, teléfono. Pero hay datos con protección reforzada que en una pyme aparecen con más frecuencia de lo que parece:

• Licencias médicas y estado de salud — si gestionas ausentismo o seguros complementarios.

• Huella dactilar o reconocimiento facial — si usas reloj biométrico para control de asistencia.

• Afiliación sindical — dato sensible aunque tu empresa sea pequeña y no haya sindicato activo.

• Datos de geolocalización — si los vehículos de la empresa tienen GPS y el trabajador los usa fuera del horario laboral.

Para estos datos, las bases legales que justifican su tratamiento son más restrictivas. No basta el interés legítimo del empleador.

Además, la ley exige que los datos sean exactos, completos y actualizados para el fin con que se tratan. Mantener información desactualizada de trabajadores o extrabajadores también puede ser una infracción.

¿Qué pasa específicamente con el reloj biométrico?

Es el caso más común en pymes y uno de los más mal regulados. La huella dactilar es dato sensible. Para tratarla legalmente necesitas, como mínimo, informar al trabajador sobre: qué sistema biométrico usas, para qué se usan los datos, por cuánto tiempo y cómo puede ejercer sus derechos.

Además, la normativa de registro electrónico de asistencia establece plazos máximos de conservación. Si los superas, es una infracción independiente de la Ley 21.719.

¿Puedo usar software o IA para evaluar o seleccionar trabajadores?

Sí, pero con obligaciones específicas. La ley permite usar sistemas automatizados en procesos laborales, pero el trabajador o candidato afectado tiene derecho a:

• Ser informado de que se usó un sistema automatizado.

• Obtener una explicación de cómo funcionó esa decisión.

• Solicitar que un ser humano revise el resultado.

• Expresar su punto de vista antes de que la decisión sea definitiva.

Si usas alguna plataforma de reclutamiento con filtros automáticos o software de evaluación de rendimiento, revisa si cumple con estos estándares.

¿Cuándo puedo usar los datos de mis trabajadores sin pedirles permiso?

La ley reconoce bases de licitud que permiten tratar datos sin consentimiento. Las más relevantes para una pyme:

• Ejecución del contrato de trabajo: pago de remuneraciones, cotizaciones, finiquito.

• Obligación legal: reportar información a organismos públicos, registro de asistencia.

• Interés legítimo del empleador: cámaras de seguridad en instalaciones cuando la naturaleza del negocio lo justifica y no afecta la privacidad del trabajador.

• Defensa jurídica: si los datos son necesarios para un juicio o procedimiento legal en curso, por ejemplo en una demanda laboral donde necesitas acreditar asistencia o remuneraciones.

El consentimiento se usa cuando ninguna de estas bases aplica.

¿Qué derechos tiene el trabajador sobre sus datos?

La ley reconoce los siguientes derechos, que el empleador debe facilitar mediante mecanismos sencillos y, por regla general, gratuitos:

• Acceso: saber qué datos se están tratando y obtener copia de ellos.

• Rectificación: corregir datos inexactos o incompletos.

• Supresión: solicitar la eliminación cuando ya no sean necesarios o hayan sido tratados ilegalmente.

• Oposición: oponerse a determinadas actividades de tratamiento.

• Portabilidad: recibir sus datos en formato electrónico estructurado y solicitar su transferencia a otro responsable.

• Bloqueo: suspender el tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición.

No responder, hacerlo fuera de plazo o de forma insuficiente expone a la empresa a reclamos ante la Agencia.

¿Qué pasa si sufro una filtración o vulneración de datos?

La ley establece una obligación de notificación obligatoria. Si se produce una vulneración de seguridad que afecte datos de trabajadores, el empleador debe notificar el incidente a la Agencia de Protección de Datos Personales dentro de las 72 horas desde que toma conocimiento del hecho.

Cuando la vulneración involucre datos sensibles — como salud, biométricos o afiliación sindical — el empleador debe además notificar directamente a los trabajadores afectados. El incumplimiento de este plazo es una infracción independiente de la vulneración original.

¿Mi empresa con subcontratación tiene obligaciones adicionales?

Sí. En el esquema de subcontratación, la empresa principal tiene derecho legal a solicitar información sobre los trabajadores del contratista para ejercer su responsabilidad solidaria o subsidiaria. Pero ese flujo de datos entre empresas califica como cesión, no como mandato.

Eso significa que la empresa principal que recibe esos datos se convierte en responsable de datos para todos los efectos legales. Si no tiene política de protección, si guarda esa información sin base legal clara o la comparte internamente sin control, está infringiendo la ley — aunque los trabajadores no sean suyos.

¿Qué pasa con los postulantes que no contraté?

Sus datos deben eliminarse al cerrar el proceso de selección. Si quieres conservar el CV para un cargo futuro, necesitas el consentimiento expreso del candidato. Sin eso, guardarlo es una infracción. Con alta rotación o procesos de selección frecuentes, esto genera un volumen importante de datos que hoy probablemente estás acumulando sin base legal.

¿Qué obligaciones concretas tengo con mi Reglamento Interno y contratos?

La ley exige que los empleadores actualicen sus políticas internas para reflejar cómo tratan los datos personales. En la práctica, eso implica revisar y modificar el Reglamento Interno de Orden, Higiene y Seguridad para incluir: qué datos se recopilan, con qué finalidad, cómo se protegen y cómo el trabajador puede ejercer sus derechos.

La misma obligación aplica a los contratos de trabajo vigentes al 1 de diciembre de 2026 y a los contratos con proveedores externos que accedan a datos de trabajadores. Si esos contratos no regulan el manejo de datos personales, deben incorporar una cláusula o adendum antes de que entre en vigor la ley.

¿Cuánto me pueden multar?

Infracción Leve: 5.000 UTM (~USD 382.000). Política de privacidad incompleta; no responder solicitudes de datos en plazo.

Infracción grave: 10.000 UTM (~USD 764.000). Tratar datos sin base legal; proveedor de payroll sin cláusula de confidencialidad; seguridad inadecuada.

Infracción gravísima: 20.000 UTM (~USD 1.528.000). Filtrar datos de salud de trabajadores; vulnerar deliberadamente datos sensibles.

A esto se suma el riesgo de tutela laboral: si un trabajador considera que se vulneró su derecho fundamental a la protección de datos, puede demandar ante el Juzgado de Letras del Trabajo y obtener una indemnización de 6 a 11 remuneraciones mensuales. Este es el riesgo más concreto e inmediato para una pyme con trabajadores activos.

¿Por dónde comenzar? Tres acciones que reducen tu exposición real sin grandes inversiones:

•       Mapear qué datos tienes — trabajadores activos, extrabajadores, candidatos, qué proveedores externos acceden a esa información y dónde está guardada.

•       Revisar contratos con proveedores de RRHH — payroll, plataformas de gestión de personas, servicios de exámenes. Si no regulan el manejo de datos, necesitan una cláusula o un adendum antes de diciembre.

•       Actualizar el Reglamento Interno — incorporar el tratamiento de datos personales, los derechos de los trabajadores y los canales para ejercerlos.

Con eso cubres lo más urgente. El resto — política de retención, evaluaciones de impacto, modelo de prevención certificado — puede construirse en fases posteriores.

¿Tu empresa está preparada para diciembre?

Cumplir con la Ley 21.719 en el contexto laboral requiere revisar contratos, reglamentos internos, prácticas de RRHH y relaciones con proveedores externos. Es un trabajo jurídico concreto, no solo de políticas internas, y el plazo se acorta.