El área de Recursos Humanos gestiona algunos de los datos más sensibles de una organización: información personal, laboral, médica, familiar e incluso financiera de trabajadores y postulantes. Cualquier filtración o mal uso no solo afecta la confianza, sino que implica riesgos legales y reputacionales cada vez mayores.

En Chile convivimos con la Ley Nº 19.628 sobre protección de la vida privada y la reciente Ley Nº 21.719, que moderniza el marco regulatorio y crea la Agencia de Protección de Datos Personales. Para jefaturas y áreas de RRHH, este es el momento de ordenar la casa y profesionalizar la forma en que se tratan los datos.

1. Marco legal: qué exige hoy la ley y qué viene

Ley Nº 19.628

La Ley 19.628 regula el tratamiento de datos personales, define qué es un dato personal y un dato sensible, y establece principios básicos: tratar los datos solo para fines legítimos, respetar la vida privada y los derechos del titular.

En términos simples:

• Dato personal: información que identifica o puede identificar a una persona (RUT, nombre, correo, dirección, historial laboral, etc.).
• Dato sensible: información sobre salud, vida sexual, creencias religiosas, opiniones políticas, entre otros. Tiene una protección reforzada.

Nueva Ley Nº 21.719

La nueva ley moderniza el sistema, crea la Agencia de Protección de Datos Personales y eleva los estándares a niveles similares al GDPR. Su entrada en vigencia será el 1 de diciembre de 2026 y contempla:

• Mayores obligaciones para las empresas (responsabilidad proactiva).
• Sanciones más altas por incumplimiento.
• Reglas más estrictas sobre consentimiento, transparencia y seguridad.
• Figuras como el Delegado de Protección de Datos en ciertos casos.

Lo que hoy es buena práctica, muy pronto será obligación legal. RRHH debe adelantarse.

2. Qué datos maneja RRHH y por qué son críticos

RRHH trata datos de:

• Postulantes: CV, historial profesional, referencias, pruebas psicométricas, resultados de entrevistas.
• Trabajadores: contratos, liquidaciones, evaluaciones, sanciones, licencias médicas, cargas familiares, cuentas bancarias.
• Ex trabajadores: historiales laborales, finiquitos, acuerdos de confidencialidad, reclamos.

Muchos de estos datos son sensibles o críticos para el fraude. Por eso, RRHH debe operar con altos estándares de seguridad, confidencialidad y trazabilidad.

3. Buenas prácticas internas en RRHH

3.1. Política y gobernanza de datos

• Diseña una política interna de protección de datos para RRHH: qué se recopila, con qué finalidad, quién puede acceder, cómo se almacenan y cuándo se eliminan los datos.
• Define una persona responsable (en coordinación con Legal/Compliance) para liderar y monitorear el cumplimiento en RRHH.

3.2. Principios clave en el tratamiento

Finalidad

• Usa los datos solo para el propósito para el que fueron recopilados (reclutamiento, administración del contrato, pagos, etc.).
• Si se desea un nuevo uso (por ejemplo, campañas internas), evalúa si necesitas nuevo consentimiento.

Minimización

• Solicita solo los datos estrictamente necesarios para el proceso.
• Evita formularios extensos “por si acaso”: cada dato debe tener sentido.

Exactitud y actualización

• Mantén datos actualizados (dirección, contacto, estado civil, etc.).
• Facilita el ejercicio de derechos de acceso, rectificación, cancelación u oposición.

Limitación de conservación

• Define plazos de conservación para CV, antecedentes disciplinarios, documentación de ex colaboradores, etc.
• Una vez cumplida la finalidad y los plazos legales, elimina o anonimiza la información.

3.3. Consentimiento informado y cláusulas

• Revisa las cláusulas de protección de datos en formularios de postulación, contratos de trabajo y documentos de evaluaciones o beneficios.
• Asegúrate de que expliquen qué datos se tratarán, para qué, por cuánto tiempo y cómo ejercer derechos.
• Evita consentimientos genéricos o forzados; la nueva ley será exigente en este punto.

3.4. Control de accesos (“need to know”)

• Configura perfiles de acceso en sistemas de RRHH según rol y necesidad.
• Restringe el acceso a datos sensibles solo a quienes realmente los necesitan.
• Registra accesos (logs) y desactiva permisos cuando alguien deja la empresa o cambia de función.

4. Tecnología segura para RRHH

4.1. Cifrado y resguardo

• Utiliza cifrado en bases de datos, discos de notebooks y respaldos con información de RRHH.
• Evita enviar planillas de remuneraciones o listados sensibles por canales inseguros.

4.2. Nube y plataformas de RRHH

• Verifica que proveedores de software de RRHH cumplan estándares de seguridad (ej.: certificaciones, cifrado, data centers seguros).
• Confirma dónde se alojan los datos y qué reglas aplican para transferencias internacionales.

4.3. Autenticación y contraseñas

• Implementa autenticación de múltiples factores en sistemas sensibles.
• Exige contraseñas robustas y cambios periódicos.
• Evita usuarios genéricos; cada persona debe tener su propia cuenta.

4.4. Copias de seguridad y continuidad

• Realiza respaldos cifrados de información crítica (contratos, nóminas, historiales).
• Define un plan de continuidad ante incidentes como caídas de sistema o ataques de ransomware.

5. Trabajo con proveedores externos

RRHH comparte datos con empresas de reclutamiento, plataformas de empleo, OTEC, servicios médicos, mutualidades, payroll outsourcing y otros proveedores. Todos ellos deben tratar los datos con el mismo estándar que la empresa.

5.1. Contratos con cláusulas de protección de datos

• Establece por contrato que el proveedor solo usará los datos para los fines encargados y no para beneficios propios.
• Exige confidencialidad y medidas de seguridad equivalentes o superiores a las de la empresa.
• Incluye obligación de notificar incidentes de seguridad de forma oportuna.

5.2. Due diligence y control

• Evalúa sus políticas de privacidad, seguridad y ubicación de datos antes de contratarlos.
• Limita el volumen de datos que compartes al mínimo necesario.
• Realiza revisiones periódicas del cumplimiento de sus obligaciones contractuales.

6. Gestión de incidentes y cultura de protección de datos

6.1. Protocolos ante incidentes

• Define un procedimiento interno para reportar y gestionar incidentes (pérdida de dispositivos, envíos erróneos de información, phishing).
• Documenta los incidentes y las acciones correctivas; con la nueva ley, la trazabilidad será clave.

6.2. Capacitación al equipo y mandos medios

• Capacita regularmente al equipo de RRHH y jefaturas con acceso a información sensible.
• Refuerza conceptos básicos: qué es un dato personal, cómo manejar documentos, correos y herramientas colaborativas.
• Entrena en ciberseguridad básica: detección de correos sospechosos y buenas prácticas digitales.

6.3. Modelo de prevención y sanciones internas

• Integra la protección de datos en tu modelo de compliance y prevención de delitos.
• Define faltas y sanciones internas por mal uso de información (descargas no autorizadas, impresión de nóminas, uso de cuentas personales, etc.).

7. Check-list rápido para RRHH en Chile

• ¿Tenemos una política de protección de datos específica para RRHH?
• ¿Sabemos qué datos recopilamos, para qué y por cuánto tiempo los conservamos?
• ¿Nuestras cláusulas de privacidad y consentimientos son claras y actualizadas?
• ¿El acceso a datos de RRHH está limitado por rol y se registran los accesos?
• ¿Usamos herramientas y plataformas con estándares de seguridad adecuados?
• ¿Nuestros proveedores externos tienen contratos con cláusulas de protección de datos?
• ¿Contamos con un protocolo de incidentes y el equipo sabe cómo actuar?
• ¿Capacitamos periódicamente a RRHH y jefaturas en protección de datos?

Si la respuesta a varias de estas preguntas es “no”, es el momento de fortalecer la gestión. Las buenas prácticas en protección de datos no solo preparan a la empresa para la nueva ley, también refuerzan la confianza de las personas y la reputación de la organización como empleador.