Con la nueva Ley de Protección de Datos Personales a meses de entrar en vigencia, las organizaciones enfrentan desafíos legales que ya no pueden abordarse desde una sola especialidad. La convergencia entre data privacy y derecho laboral exige miradas integradas y, cada vez más, colaboración entre firmas.

Bernarda Muñoz lo sabe bien. Directora de FerradaNehme y referente en data privacy, se ha sumado recientemente como of counsel de VOSA Abogados, firma especializada en derecho laboral, en una colaboración entre FerradaNehme y VOSA, que busca complementar ambas disciplinas frente a una realidad regulatoria que las cruza de manera permanente.

En esta entrevista, aborda por qué la nueva normativa obliga a pensar el cumplimiento desde ambas disciplinas a la vez, qué desafíos concretos enfrentan hoy las organizaciones y cómo la colaboración entre especialistas está redefiniendo la asesoría legal.

¿Por qué el data privacy se vuelve especialmente relevante para el ámbito laboral?

Cumplir con la normativa laboral ya no basta: hay que cumplir simultáneamente con la de protección de datos. Y ello pues la digitalización transformó la relación laboral en una relación intensiva en datos. Hoy las empresas recolectan información de sus trabajadores en prácticamente todos los procesos: selección, evaluación de desempeño, control de jornada, uso de herramientas tecnológicas, canales de denuncia, programas de bienestar. Con la nueva Ley de Protección de Datos Personales, ese tratamiento deja de ser un asunto operativo y pasa a ser una materia con exigencias regulatorias concretas: bases de licitud, principios de proporcionalidad, derechos de los titulares, obligaciones de seguridad. Eso obliga a revisar prácticas que muchas organizaciones venían haciendo sin mayor cuestionamiento.

¿Qué tipo de desafíos concretos surgen en ese cruce?

Son varios y muy cotidianos. El uso de inteligencia artificial en procesos de selección, por ejemplo, plantea preguntas que no se resuelven solo desde lo laboral ni solo desde data privacy: hay que mirar bases de licitud, decisiones automatizadas, no discriminación, todo a la vez. Las investigaciones internas y los canales de denuncia son otro ejemplo claro, ya que implican tratar datos sensibles, muchas veces de terceros, con estándares que deben dialogar con el debido proceso laboral. Lo mismo ocurre con el monitoreo de actividad, el uso de cámaras, la geolocalización o la revisión de correos corporativos. Por último, el control de asistencia con datos biométricos e[BM1] s otro ejemplo paradigmático. La Dirección del Trabajo viene exigiendo desde hace años consentimiento expreso del trabajador y una alternativa no biométrica de marcación, y la nueva ley refuerza ese estándar al tratar la biometría como dato sensible que requiere consentimiento explícito. Lo que antes se discutía como un tema operativo de recursos humanos hoy se evalúa contra un estándar acumulativo que combina exigencias laborales y de protección de datos. En todos esos casos, una mirada parcial que solo considere la normativa laboral deja zonas grises que después se convierten en riesgo regulatorio o en conflicto. Por eso decimos que se necesita integrar perspectivas desde el inicio del análisis.

¿Cómo se está respondiendo a esto desde la práctica?

En FerradaNehme hemos desarrollado una línea de trabajo que reconoce explícitamente esta intersección. En la práctica, implica que cuando una empresa nos consulta por un canal de denuncia, una política de uso de IA o un protocolo de investigación, el análisis incorpora desde el inicio ambas dimensiones. La complejidad real de las organizaciones lo exige: los problemas llegan como situaciones donde múltiples marcos regulatorios conviven.

¿Qué deberían estar haciendo hoy las empresas para llegar bien preparadas a la entrada en vigencia de la nueva ley?

Lo primero es hacer un diagnóstico honesto. Muchas empresas asumen que están razonablemente al día porque cumplen con la normativa laboral y tienen políticas o cláusulas firmadas, pero al revisar en detalle aparecen brechas relevantes: bases de licitud poco claras para tratamientos habituales, falta de protocolos para decisiones automatizadas, canales de denuncia que no consideran adecuadamente la protección de datos de denunciantes y denunciados. A diferencia del modelo europeo, en Chile el consentimiento del trabajador sí puede ser base de licitud, pero su validez exige condiciones concretas —como una alternativa real cuando el tratamiento lo permita—; sin ellas, queda comprometido desde el origen. Una vez identificadas esas brechas, lo segundo es priorizar: no todo se resuelve simultáneamente, pero hay materias que conviene abordar antes que otras por su nivel de exposición. Y lo tercero es entender que el cumplimiento no es un proyecto que termina, sino una práctica que se instala. La nueva ley va a empujar a las organizaciones a tener gobernanza real sobre los datos, y eso es un cambio cultural, no solo legal. Más aún cuando la carga de demostrar el cumplimiento recae en el empleador, quien debe documentar el análisis que lo lleva a tomar las decisiones que afectan a sus colaboradores.

‍