Sectorial12 min de lectura

Ley 21.719 en la industria: datos de IoT, supply chain y manufactura

Equipo Confidata·
Compartir

La industria ha separado históricamente el mundo de Tecnología de la Información (TI) del mundo de Tecnología Operacional (TO) — los sistemas que controlan máquinas, líneas de producción e infraestructura física. Esa separación está terminando. IoT industrial, sistemas SCADA conectados a internet, monitoreo de trabajadores en tiempo real y cadenas de suministro digitalizadas traen datos personales al interior de las plantas industriales — y con ellos, las obligaciones de la Ley 21.719.

Este artículo mapea los principales puntos de intersección entre el ambiente industrial y la protección de datos personales en el contexto chileno.

Cuándo los datos industriales se convierten en datos personales

No todo dato generado en una industria es personal. El dato de temperatura de un horno industrial no es personal. El dato de vibración de un equipo no es personal. Pero muchos datos que parecen puramente operacionales se convierten en personales cuando están vinculados a un trabajador identificado o identificable.

Ejemplos de datos industriales que son personales

Monitoreo de trabajadores:

  • Localización de trabajadores en tiempo real mediante credenciales RFID o GPS
  • Productividad individual: piezas producidas por operario, tiempo de ciclo por trabajador
  • Errores y rechazos asociados a operarios específicos
  • Logs de acceso a sistemas de control (qué operario operó qué máquina, cuándo)
  • Control de asistencia biométrico (huella digital, reconocimiento facial)
  • Monitoreo de fatiga o atención por cámaras con análisis de IA

Monitoreo de vehículos con conductores identificados:

  • Rastreo GPS de camiones con conductores identificados (velocidad, paradas, rutas)
  • Datos de telemetría vinculados a conductores específicos (frenadas bruscas, aceleración)

Sistemas de salud ocupacional:

  • Resultados de exámenes médicos ocupacionales (exigidos bajo la Ley 16.744)
  • Informes de evaluación de riesgos laborales
  • Registro de accidentes del trabajo y enfermedades profesionales vinculados a trabajadores identificados

IoT industrial y datos personales

La Internet de las Cosas Industrial (IIoT) es la mayor fuente emergente de datos personales en el ambiente de manufactura. Sensores, actuadores y dispositivos conectados generan flujos continuos de datos que, individualmente, pueden no ser personales — pero que, cuando se agregan y vinculan a trabajadores, crean perfiles detallados de comportamiento y desempeño.

El problema de la escala y la granularidad

Un sensor que registra la producción de una línea cada segundo, combinado con el registro de qué operario estaba en esa línea en ese momento, crea un log continuo y detallado de cada trabajador. Esto es tratamiento de datos personales — a gran escala, con potencial impacto en la vida laboral del trabajador.

Las obligaciones de la Ley 21.719 para datos de IoT industrial

  1. Base de licitud: ¿cuál es la base de licitud para el monitoreo? Las opciones más frecuentes son:

    • Interés legítimo: control de calidad, seguridad industrial, eficiencia operacional — siempre que el interés de la empresa supere el impacto sobre el trabajador, con análisis de balanceo documentado
    • Ejecución del contrato de trabajo: cuando el monitoreo es inherente a la función
    • Obligación legal: cuando lo exigen las normas de seguridad laboral (Ley 16.744, DS 594/1999 del MINSAL)

  2. Proporcionalidad: ¿el nivel de granularidad del monitoreo es necesario? Si la finalidad es control de calidad, ¿es necesario vincular cada pieza a un operario específico? Si la finalidad es seguridad, ¿es necesario el monitoreo continuo de ubicación o basta el control de acceso a zonas de riesgo?

  3. Transparencia: los trabajadores deben ser informados sobre el monitoreo — qué se recopila, para qué, cómo se usa y por cuánto tiempo se retiene.

  4. EIPD: el monitoreo continuo de trabajadores con tecnología IoT puede generar riesgos relevantes a los titulares y generalmente requiere una Evaluación de Impacto en Protección de Datos (EIPD).

Monitoreo de trabajadores: los límites de la Ley 21.719 y el Código del Trabajo

El monitoreo de trabajadores es un punto de fricción entre el derecho del empleador a dirigir el trabajo (Código del Trabajo, Art. 7°) y el derecho a la privacidad y protección de datos del trabajador (Constitución Política de Chile, Art. 19 Nº 4 y 5; Art. 154 bis del Código del Trabajo).

El Art. 154 bis del Código del Trabajo establece expresamente que el empleador deberá mantener reserva de toda la información y datos privados del trabajador a que tenga acceso con ocasión de la relación laboral. La Dirección del Trabajo (DT) ha emitido dictámenes sobre el alcance del monitoreo electrónico de trabajadores, señalando que debe respetar los derechos fundamentales y la dignidad del trabajador.

Lo que es permitido

El empleador puede monitorear trabajadores para fines legítimos relacionados con la gestión del trabajo:

  • Control de acceso a zonas restringidas por razones de seguridad
  • Registro de asistencia (con las reservas sobre biometría)
  • Monitoreo de productividad en ambientes donde es inherente a la función
  • Rastreo de vehículos de la empresa para fines logísticos

Lo que es problemático o prohibido

  • Monitoreo de la vida personal del trabajador fuera del horario de trabajo (ej.: rastreo GPS fuera de la jornada)
  • Monitoreo mediante cámaras en áreas privadas (baños, vestidores)
  • Monitoreo de comunicaciones personales en dispositivos propios del trabajador
  • Uso de datos de monitoreo con fines disciplinarios sin comunicación previa al trabajador sobre ese uso

La cuestión del consentimiento en el contexto laboral

Para tratamientos que dependen de consentimiento (especialmente para datos sensibles como biometría), el ambiente laboral presenta el problema del consentimiento no libre: el trabajador puede sentir presión para consentir con el monitoreo por temor a represalias. Por eso, cuando sea posible, es preferible fundamentar el monitoreo en interés legítimo (con análisis de balanceo documentado) o en ejecución del contrato, en vez de consentimiento.

Supply chain y datos personales

La cadena de suministro involucra múltiples agentes — proveedores, distribuidores, transportistas, prestadores de servicios — y el intercambio de datos personales entre ellos es frecuente y muchas veces no regulado.

Datos personales que circulan en el supply chain

  • Datos de contacto de compradores y representantes comerciales de proveedores
  • Datos de conductores y repartidores (RUT, datos del vehículo, ubicación en tiempo real)
  • Datos de trabajadores de prestadores de servicios (datos de acceso a las instalaciones, control de asistencia)
  • Datos de personas autorizadas a recibir mercancías

Las obligaciones de intercambio

Cuando la industria comparte datos personales con socios de la cadena de suministro:

  1. Si el socio actúa como encargado del tratamiento (procesa datos con las instrucciones de la industria): es necesario un contrato de encargo de tratamiento
  2. Si el socio actúa como responsable independiente (define sus propias finalidades): es necesaria base de licitud para la transferencia e información al titular sobre el intercambio
  3. Si el socio está en otro país (cadena de suministro global): son necesarias las salvaguardas de la Ley 21.719 para transferencias internacionales

Due diligence de privacidad en el supply chain

Las grandes industrias con programas de conformidad maduros están comenzando a exigir conformidad de sus proveedores como condición contractual — especialmente cuando esos proveedores acceden a sistemas internos, instalaciones o datos de clientes. Una industria puede ser responsabilizada solidariamente por daños causados por un encargado negligente.

Sistemas SCADA y TO: intersección con la Ley 21.719

Los sistemas SCADA (Supervisory Control and Data Acquisition) y otros sistemas de Tecnología Operacional (TO) controlan procesos industriales. En la mayoría de los casos, los datos que procesan no son personales — son datos de máquinas, equipos y procesos.

Sin embargo, la creciente convergencia TI/TO crea puntos de intersección:

  • Logs de acceso a sistemas SCADA registran qué operario accedió a qué sistema, cuándo — datos personales
  • Sistemas de mantenimiento predictivo que vinculan diagnósticos de falla a operarios específicos
  • Sistemas de calidad que registran lotes de producción con identificación del operario responsable

Para estos sistemas, lo importante es identificar qué campos o registros contienen datos personales y aplicar las protecciones adecuadas — sin necesidad de tratar todo el sistema SCADA como sistema de datos personales.

Normativa de seguridad laboral y Ley 21.719

Diversas normas legales y reglamentarias chilenas exigen la recopilación de datos personales de trabajadores en materia de seguridad laboral — lo que provee base de licitud en la categoría "obligación legal":

  • Ley 16.744 (Seguro de Accidentes del Trabajo): exige registro de accidentes del trabajo y enfermedades profesionales. Datos de trabajadores afectados se reportan a la Mutualidad (ACHS, Mutual de Seguridad) o al ISL.
  • DS 594/1999 del MINSAL: condiciones sanitarias y ambientales en el trabajo — requiere evaluación y control de exposición a agentes físicos, químicos y biológicos, registrado por puesto de trabajo y vinculado a los trabajadores que lo ocupan.
  • DS 40/1969: prevención de riesgos — requiere mantener registros de los accidentes del trabajo y enfermedades profesionales.
  • Código del Trabajo (Art. 22 y siguientes): registro de jornada de trabajo — con las consideraciones sobre biometría para el control de asistencia.

La recopilación de estos datos con base en la obligación legal no requiere consentimiento, pero sí exige las demás protecciones (seguridad, minimización, retención proporcional, información al titular).

Conclusión

La industria que digitaliza operaciones sin mapear los datos personales que esa digitalización genera está acumulando riesgo. IoT industrial, monitoreo de trabajadores, sistemas de calidad y cadenas de suministro digitales son fuentes crecientes de datos personales — y de obligaciones bajo la Ley 21.719.

El punto de partida es el mismo que en cualquier sector: mapear qué se recopila, identificar las bases de licitud, formalizar los contratos con socios y garantizar que los trabajadores sepan qué se recopila sobre ellos y para qué. La diferencia en el ambiente industrial es la escala y la complejidad técnica — lo que hace que el registro de actividades de tratamiento (RAT) sea especialmente importante como herramienta de gestión.

Confidata ayuda a organizaciones industriales a mapear datos personales en ambientes de TI y TO, identificar riesgos de privacidad en sistemas IoT y formalizar contratos de encargo de tratamiento con socios de supply chain.

Compartir
#Ley 21719#industria#IoT#supply chain#manufactura#datos industriales#privacidad Chile

Artículos relacionados

Ley 21.719 para asociaciones, ONGs y el tercer sector en ChileSectorial · 11 minLey 21.719 para ONGs y Fundaciones: Guía de Adecuación en ChileSectorial · 13 minLey 21.719 para contadores y estudios contables en ChileSectorial · 11 minLey 21.719 para estudios jurídicos y consultoríasSectorial · 11 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista