Ley 21.719 en Recursos Humanos: datos de trabajadores, reclutamiento y nómina
El departamento de Recursos Humanos de cualquier organización es, por naturaleza, uno de los mayores responsables del tratamiento de datos personales internos — y uno de los más sensibles. Los datos de trabajadores abarcan información sobre remuneración, salud, desempeño, vida personal y familiar, llegando frecuentemente a las categorías especiales de datos protegidas por la Ley 21.719.
La ventaja de RRHH respecto a otras áreas es que gran parte del tratamiento de datos tiene amparo en bases de licitud sólidas: obligación legal (Código del Trabajo, AFP, Mutual) y ejecución de contrato (nómina, beneficios). El desafío está en los tratamientos que van más allá de esa zona de confort — monitoreo, banco de talentos, evaluaciones de desempeño con IA — donde las bases de licitud deben ser cuidadosamente definidas.
Los datos que trata RRHH
Reclutamiento y selección:
- Currículum: nombre, dirección, historial profesional, formación
- Documentos de identificación: RUT, pasaporte, licencia de conducir
- Resultados de pruebas y evaluaciones psicológicas o técnicas
- Referencias profesionales (datos de terceros)
- Datos de salud cuando se exige examen preocupacional
Contrato y gestión:
- Datos personales completos del trabajador y cargas (para Isapre/Fonasa, Impuesto Único de Segunda Categoría)
- Cuenta bancaria para pago de remuneración
- Domicilio residencial
- Datos para AFP, Previred, DIPRECA (cuando aplica)
- Control de asistencia (biometría, aplicación, registro manual)
- Evaluaciones de desempeño y registros de retroalimentación
- Registros disciplinarios y amonestaciones
Datos sensibles frecuentes:
- Licencias médicas y reposos (datos de salud)
- Información sobre discapacidad — para cuotas de inclusión laboral (Ley N°21.015)
- Datos de Isapre/Fonasa e historial de utilización
- Afiliación sindical — dato sensible por definición bajo la Ley 21.719
- Datos de embarazo, pre y postnatal, fuero maternal/paternal
Bases de licitud aplicables en RRHH
La mayoría de las actividades de tratamiento de datos en RRHH cuentan con bases de licitud sólidas:
| Actividad | Base de licitud | Fundamento |
|---|---|---|
| Contratación y firma de contrato | Art. 13 N°4 — ejecución de contrato | Código del Trabajo Art. 9 |
| AFP, cotizaciones previsionales y salud | Art. 13 N°2 — obligación legal | DL 3.500 y DFL N°1 de 2005 (salud) |
| Nómina y comprobantes de pago | Art. 13 N°4 — ejecución de contrato | Contrato de trabajo |
| Control de asistencia | Art. 13 N°4 — ejecución de contrato | Código del Trabajo Art. 33 |
| Beneficios (seguro complementario, bono) | Art. 13 N°4 — ejecución de contrato | Contrato de trabajo + reglamento interno |
| Examen preocupacional, de salud ocupacional | Art. 13 N°2 — obligación legal | DS N°40; Ley N°16.744 (mutuales) |
| Datos para retención de impuestos (SII) | Art. 13 N°2 — obligación legal | Ley de Impuesto a la Renta |
| Evaluación de desempeño | Art. 13 N°4 — contrato / Art. 13 N°6 — interés legítimo | Gestión de personas |
| Capacitaciones SENCE | Art. 13 N°2 — obligación legal | Ley N°19.518 (SENCE) |
El consentimiento no es la base correcta para datos de trabajadores. El desequilibrio de poder en la relación laboral hace que el consentimiento del trabajador sea cuestionable como base de licitud: si el empleado siente que negarse puede perjudicar su empleo, el consentimiento no es libre. En la gran mayoría de los casos, las bases correctas son obligación legal y ejecución de contrato.
Datos sensibles en RRHH: los cuidados obligatorios
Datos de salud — el más frecuente:
La Ley 21.719 exige bases de licitud más estrictas para datos sensibles. Para datos de salud de trabajadores:
- Base más común: Cumplimiento de obligación legal (examen médico ocupacional exigido por la Ley N°16.744 y normativa de prevención de riesgos)
- Para seguro complementario de salud: Ejecución del contrato de trabajo que incluye ese beneficio
Cuidado crítico con la licencia médica: El médico del trabajo o la mutual puede ver el diagnóstico; RRHH, en regla, solo debe ver la conclusión (apto o no apto) y el número de días de reposo. La jefatura directa no tiene acceso al diagnóstico médico — solo a la información de que el trabajador está o no apto para laborar. Compartir internamente el diagnóstico sin necesidad es una infracción.
Afiliación sindical:
La afiliación a un sindicato es dato sensible bajo la Ley 21.719. Su tratamiento es lícito cuando sea necesario para cumplir una obligación legal — como el descuento sindical en la nómina, cuando el trabajador lo autoriza por escrito. El dato no puede usarse para discriminación, para interferir en la libertad sindical ni para transferirlo a terceros sin base legal.
Discapacidad (Ley N°21.015):
El certificado de discapacidad o informe del COMPIN/SENADIS es dato de salud — dato sensible. La base de licitud es la obligación legal derivada de la Ley de Inclusión Laboral, que exige a empresas de 100 o más trabajadores contratar al menos el 1% de personas con discapacidad. El informe debe tener acceso restringido (RRHH y medicina del trabajo); la jefatura necesita saber solo si el trabajador requiere adaptaciones — no los detalles del diagnóstico.
Monitoreo de trabajadores: lo que está permitido
El monitoreo de comunicaciones y actividades de trabajadores es una de las áreas más sensibles de la intersección entre la Ley 21.719 y el derecho laboral — y donde más organizaciones cometen errores.
CCTV (cámaras de seguridad):
- Permitido para seguridad patrimonial y productividad, siempre que los trabajadores sean informados en su contrato de trabajo o en el Reglamento Interno de Orden, Higiene y Seguridad (RIOHS)
- Prohibido en baños, camarines, comedores y lugares donde existe expectativa de privacidad
- Las imágenes son datos personales — deben protegerse y retenerse por un plazo definido (práctica habitual: 30 días)
- La Dirección del Trabajo ha establecido que la instalación de cámaras debe ser informada a los trabajadores con anterioridad
Correo electrónico corporativo:
- La jurisprudencia de los Juzgados del Trabajo y la doctrina de la Dirección del Trabajo permiten el monitoreo del correo corporativo en condiciones específicas: que sea correo de uso corporativo (no personal), que el trabajador haya sido informado y que exista política interna expresa
- La Ley 21.719 exige que el trabajador sea informado del monitoreo — idealmente en el contrato de trabajo y en el RIOHS o política de TI
- Monitorear contenido personal en correo corporativo genera una expectativa de privacidad parcial que complica el análisis
GPS y geolocalización:
- Permitido para trabajadores que usan vehículo de la empresa en horario laboral (conductores, repartidores, técnicos)
- El rastreo debe cesar fuera del horario de trabajo
- El trabajador debe ser informado desde el inicio de la relación laboral
Software de monitoreo de productividad remota:
- Herramientas que capturan pantalla, registran teclas o monitorean uso de aplicaciones son especialmente invasivas
- Los principios de proporcionalidad y minimización de la Ley 21.719 exigen que el monitoreo sea limitado al mínimo necesario para la finalidad legítima
- El trabajador debe ser informado antes del inicio del monitoreo, con descripción clara de qué se captura
Reclutamiento y Ley 21.719: el banco de talentos
Currículum y postulación: Cuando un candidato envía su currículum para un cargo específico, consiente implícitamente el uso para ese proceso de selección. Pero ese consentimiento no se extiende automáticamente a otros usos — como el reaprovechamiento en procesos futuros.
Para mantener currículos en banco de talentos: es necesario consentimiento específico, con información clara sobre el plazo de retención y la finalidad (ser contactado en futuros procesos).
Candidatos no seleccionados: Sin base de licitud para retención prolongada tras el proceso. Práctica recomendada: eliminar o anonimizar al cerrar el proceso de selección, o solicitar consentimiento explícito para inclusión en el banco de talentos con plazo definido (ej: 12 o 24 meses).
Background check: La verificación de antecedentes y referencias profesionales exige base de licitud justificada para cada elemento verificado. Para la mayoría de los cargos, verificar antecedentes penales sin relación directa con la función viola el principio de proporcionalidad — el nivel de verificación debe ser proporcional al cargo y al riesgo involucrado.
Retención de datos tras el desvinculamiento
Tras el desvinculamiento, RRHH enfrenta el desafío de equilibrar las obligaciones legales de retención con el derecho del ex-trabajador a la minimización de datos. La regla general es: mantener solo lo que la ley exige, por el plazo que la ley exige.
| Documento | Plazo de retención | Base |
|---|---|---|
| Contrato de trabajo y documentos de contratación | 2 años desde término (prescripción laboral) + 6 años (tributario) | Código del Trabajo Art. 510; Código Tributario Art. 200 |
| Liquidaciones de sueldo y comprobantes de pago | 5 años (previsional) / 6 años (tributario) | DL 3.500; Código Tributario Art. 200 |
| Registros de AFP y cotizaciones previsionales | 5 años | DL 3.500 |
| Exámenes de salud ocupacional | Según normativa de la mutual (habitualmente 5-10 años) | Ley N°16.744 + reglamento de la mutual |
| Registros de capacitaciones SENCE | 6 años (tributario, por franquicia SENCE) | Ley N°19.518; Código Tributario |
| Datos no cubiertos por obligación legal | Eliminar tras el desvinculamiento | — |
Punto crítico con datos de salud: Los registros médicos ocupacionales están bajo custodia de la Mutual de Seguridad, ACHS u organismo administrador — no del empleador directamente. Sin embargo, las licencias médicas y reposos que RRHH retiene en sus sistemas deben tener un plazo de retención definido y controlado, eliminándose una vez cumplida la obligación legal de conservación.
RRHH como responsable del tratamiento de datos de terceros
RRHH frecuentemente trata datos de personas que no son trabajadores: cargas en el seguro complementario o Isapre, referencias profesionales de candidatos, familiares en situaciones de emergencia. Esos terceros son titulares de datos con derechos plenos bajo la Ley 21.719 — aunque nunca hayan interactuado directamente con la organización.
Cargas en seguro complementario o Isapre: Son titulares con derecho de acceso a sus propios datos. RRHH debe tener un proceso para atender solicitudes de cargas sobre sus propios datos de salud.
Referencias profesionales: Cuando RRHH contacta a ex-empleadores para verificar referencias, recopila datos personales de terceros. Esos datos deben ser mínimos y usarse solo para la finalidad de evaluación del candidato.
Checklist de cumplimiento Ley 21.719 para RRHH
Bases de licitud y RAT:
- ¿Base de licitud mapeada para cada actividad de tratamiento de datos de trabajadores?
- ¿Datos sensibles (salud, sindicato, discapacidad) identificados con bases de licitud específicas?
- ¿El RAT incluye todas las actividades de RRHH, con destinatarios y plazos de retención?
Reclutamiento:
- ¿Los candidatos son informados sobre el uso de sus datos en el proceso de selección?
- ¿Existe proceso para inclusión en banco de talentos con consentimiento específico y plazo?
- ¿Hay procedimiento de eliminación de datos de candidatos no seleccionados?
Monitoreo:
- ¿Los trabajadores están informados sobre cámaras, GPS y monitoreo de correo?
- ¿El RIOHS o contrato de trabajo incluye cláusula de monitoreo?
- ¿El monitoreo está restringido al horario laboral y al mínimo necesario?
Datos sensibles:
- ¿Las licencias médicas tienen acceso restringido (solo médico ocupacional y RRHH)?
- ¿Los informes de discapacidad y afiliación sindical tienen control de acceso granular?
Retención:
- ¿Política de retención post-desvinculamiento definida e implementada en los sistemas de RRHH?
- ¿Los plazos de retención (2 años laboral, 5 años previsional, 6 años tributario) están correctamente configurados?
Conclusión
RRHH no es un área de excepción a la Ley 21.719 — es una de las áreas de mayor exposición. La combinación de datos sensibles, volumen de titulares y tiempos largos de retención crea un perfil de riesgo que justifica inversión proporcional en controles.
La buena noticia es que la mayoría del tratamiento de datos en RRHH ya tiene base de licitud sólida en las obligaciones laborales y previsionales chilenas. El trabajo de adecuación consiste principalmente en documentar lo que ya existe y corregir los tratamientos sin base clara — especialmente en monitoreo, banco de talentos y uso de datos de candidatos no seleccionados.
Confidata incluye módulo de RRHH en el RAT con mapeo preconstruido de las principales actividades de tratamiento en Recursos Humanos, bases de licitud pre-validadas para el Código del Trabajo chileno y alertas de vencimiento de plazos de retención.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.