Las reformas en materia de protección de datos personales en Latinoamérica y sus efectos en las relaciones de trabajo

En un nuevo entorno caracterizado por la protección de los datos por encima de cualquier otra necesidad empresarial, las empresas se ven obligadas a revisar procesos y políticas internas, así como a adoptar medidas sólidas para garantizar el cumplimiento normativo y salvaguardar la información personal de sus trabajadores, candidatos y colaboradores. Desde procesos de selección hasta evaluaciones de desempeño y mecanismos de control laboral, el tratamiento de datos personales se ha vuelto un eje central en la gestión de personas. Sumado a ello, la utilización de herramientas de IA genera una exposición relevante de información personal –en muchos casos sensible– que, a menudo, requerirán de la adopción de políticas que garanticen la confidencialidad de la información que comenzarán a utilizar los departamentos de selección y reclutamiento.

Las regulaciones en la región latinoamericana han comenzado a responder a esta realidad. Perú, México y Chile ya han implementado reformas normativas relevantes en materia de protección de datos, mientras que en Colombia la regulación data de 2012, pero paulatinamente los empleadores y los trabajadores se han vuelto más conscientes de la importancia y la sensibilidad del manejo de datos personales. Este proceso de asimilación y de actualización de la normativa —que busca alinear las legislaciones locales con estándares internacionales— implica un mayor nivel de exigencia para los empleadores y una supervisión más rigurosa por parte de las autoridades.

A continuación, presentamos un panorama actualizado sobre los principales avances normativos y consideraciones prácticas en torno a la protección de datos personales en el entorno laboral en Perú, Colombia, México y Chile.

Perú

El 30 de noviembre de 2024 se publicó el Decreto Supremo N.º 016-2024-JUS, que aprueba el nuevo Reglamento de la Ley de Protección de Datos Personales (Ley N.º 29733), reemplazando íntegramente al reglamento anterior. Esta norma entró en vigencia el 30 de marzo de 2025 y marca un hito en la regulación peruana al incorporar estándares internacionales y establecer nuevas exigencias para el tratamiento de datos personales. En el ámbito laboral, introduce cambios sustanciales que requieren una revisión y adecuación integral de las prácticas empresariales vinculadas a la gestión de datos de trabajadores.

Como primer tema relevante, el nuevo reglamento refuerza obligaciones clave para los empleadores en el tratamiento de datos de trabajadores. De esta manera, se incorpora como infracción grave (sancionada con hasta USD 70,000.00 aproximadamente) el no informar de manera completa al trabajador sobre el tratamiento de sus datos personales, conforme al artículo 18 de la Ley. Esto exige revisar y adecuar todos los documentos informativos laborales (políticas, formatos, cláusulas, etc.).

Asimismo, se tipifica como infracción leve (hasta USD 7,000.00 aproximadamente) la atención fuera de plazo de los derechos ARCO (acceso, rectificación, cancelación y oposición), lo que obliga a revisar y fortalecer los procedimientos internos para el ejercicio de derechos por parte de los trabajadores.

Como novedad, se introduce la obligación de designar un oficial de datos personales cuando se cumplan ciertas condiciones. Recursos Humanos debe participar activamente en esta designación, ya que puede implicar cambios en funciones, acceso a información y condiciones laborales.

Finalmente, el reglamento detalla nuevas medidas de seguridad, como la exigencia de contar con un documento de seguridad actualizado y difundido internamente que incluya procedimientos de acceso, gestión de privilegios y uso de plataformas, entre otros. Su correcta implementación es esencial para minimizar riesgos legales, fortalecer la cultura de cumplimiento y promover la confianza de los trabajadores en la organización.

Colombia

La protección de los datos personales ha adquirido una relevancia creciente en el entorno empresarial, especialmente en el ámbito laboral. Desde la expedición de la Ley Estatutaria 1581 de 2012, que establece el régimen general de protección de datos personales, y sus decretos reglamentarios, las organizaciones están obligadas a implementar medidas que garanticen la privacidad, seguridad y tratamiento adecuado de la información personal de sus trabajadores.

Durante los últimos años, la Superintendencia de Industria y Comercio (SIC), como autoridad nacional en esta materia, ha fortalecido su rol de vigilancia y sanción, emitiendo nuevas instrucciones y decisiones que exigen a las empresas una revisión constante de sus políticas internas. Recientemente, se ha asimilado e interiorizado con mayor ahínco la regulación relacionada con la protección de datos y se han consolidado lineamientos más estrictos sobre el tratamiento de datos sensibles, la responsabilidad demostrada y la gestión de bases de datos, lo que ha llevado a un endurecimiento del régimen sancionatorio y a una mayor exigencia en la documentación de cumplimiento.

Dentro de la reciente emisión de reglamentos y directrices, se destacan las circulares externas expedidas por la Superintendencia de Industria y Comercio en materia de tratamiento de datos personales. Entre ellas, la Circular Externa No. 002 del 21 de agosto de 2024, que aborda el tratamiento de datos personales en sistemas de inteligencia artificial, y la Circular Externa No. 003 del 22 de agosto del mismo año, que imparte instrucciones a los administradores de compañías sobre el tratamiento de dicha información.

En el contexto laboral, estas disposiciones implican una transformación significativa en la forma en que las empresas gestionan la información de sus trabajadores. Desde la obtención del consentimiento informado durante el proceso de selección hasta la implementación de medidas de ciberseguridad, las organizaciones deben garantizar que sus prácticas respeten los derechos de los trabajadores y se alineen con los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida.

La autoridad ha procurado emitir de manera constante lineamientos y guías dirigidas a orientar a las empresas y sus colaboradores en el tratamiento adecuado de datos personales. Estos instrumentos incluyen cartillas y documentos técnicos sobre temas como la implementación del oficial de cumplimiento en protección de datos, así como sobre actividades relevantes para las organizaciones, como la videovigilancia y su adecuada gestión conforme a la normativa vigente.

Este marco normativo no solo busca proteger la intimidad de los trabajadores, sino también fomentar una cultura organizacional basada en la confianza, la transparencia y el cumplimiento normativo. Así, la protección de datos personales se ha venido convirtiendo en un eje fundamental de las relaciones laborales modernas en Colombia.

México

El 20 de marzo de 2025, se publicó en el Diario Oficial de la Federación una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Esta legislación, que reemplaza a la norma de 2010, introduce disposiciones más claras y robustas para garantizar el tratamiento legítimo y seguro de la información personal en el país. A continuación, exploramos las principales novedades y su impacto en el entorno empresarial latinoamericano.

Mayor claridad y obligaciones: la nueva ley refuerza los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), ahora definidos con precisión y reconocidos explícitamente, superando la ambigüedad de la legislación anterior. Además, impone obligaciones más estrictas a las empresas y personas que manejen datos personales, ya sea en formato físico, electrónico o de cualquier tipo. Entre los requisitos destacan:

• Avisos de privacidad más detallados: las empresas deben informar de manera clara y accesible sobre los propósitos del tratamiento de datos, especificando: (i) qué datos se recopilan, incluyendo los sensibles; (ii) cuáles requieren consentimiento expreso; y (iii) cómo ejercer los derechos ARCO.
• Derecho a la oposición: los titulares de datos pueden oponerse a su tratamiento si existe una causa legítima, como un posible daño o perjuicio, o cuando el uso automatizado de datos afecte sus derechos, evalúe aspectos personales (desempeño laboral, situación económica o salud, entre otros) o genere efectos jurídicos no deseados.
• Confidencialidad obligatoria: las organizaciones deben implementar controles para garantizar que cualquier persona involucrada en el manejo de datos mantenga estricta confidencialidad.
• Cultura de protección de datos: las empresas deberán fomentar la protección de datos internamente, designando, si es necesario, un responsable o departamento para gestionar solicitudes relacionadas con los derechos ARCO.

Nuevo enfoque institucional: uno de los cambios más significativos es la desaparición del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) como órgano garante. En su lugar, la Secretaría Anticorrupción y Buen Gobierno asumirá la supervisión, verificación y sanción en materia de datos personales a nivel federal. Las resoluciones de esta Secretaría podrán impugnarse únicamente mediante un juicio de amparo en tribunales especializados, eliminando la vía del juicio de nulidad ante el Tribunal Federal de Justicia Administrativa.

Además, las sanciones y costos asociados al ejercicio de derechos ARCO se calcularán con base en la unidad de medida y actualización vigente, asegurando una base económica actualizada.

Impacto en el ámbito laboral: para las empresas en México y la región, esta reforma implica una revisión urgente de sus prácticas administrativas. Los empleadores deberán: (i) actualizar avisos de privacidad, contratos y reglamentos internos para cumplir con la nueva ley; (ii) implementar procesos que garanticen transparencia en el manejo de datos de empleados y(iii) capacitar a su personal en la protección de datos para evitar riesgos legales.

Estos cambios no solo fortalecerán la confianza de los trabajadores sino que también posicionan a las empresas como actores responsables en un entorno donde la privacidad es una prioridad global.

Chile 

Tras siete años de debate legislativo, Chile cuenta con una nueva Ley de Protección y Tratamiento de Datos Personales (Ley 21.719), promulgada en diciembre de 2024 y que entrará en vigencia el último mes de 2026. Esta ley representa un hito al alinear la regulación nacional con los estándares internacionales, especialmente el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, estableciendo un marco robusto y moderno para la gestión de datos personales en el país.

La nueva normativa es de aplicación general, abarcando a todas las personas naturales y jurídicas. Entre sus principales novedades, destaca la creación de la Agencia de Protección de Datos Personales, organismo autónomo encargado de dictar instrucciones, interpretar la ley, fiscalizar su cumplimiento y aplicar sanciones. Esta institucionalidad será clave para la correcta implementación y supervisión del nuevo régimen.

En el ámbito laboral, la ley reconoce a los trabajadores como titulares de datos personales frente a sus empleadores. Esto implica que ellos cuentan con los siguientes derechos sobre su información: acceso, rectificación, supresión, oposición, portabilidad y bloqueo de datos. Estos derechos son irrenunciables y deben ser respetados en toda relación laboral, reforzando la obligación ya existente en el artículo 154 ter del Código del Trabajo, que exige a los empleadores mantener la reserva de la información privada de sus trabajadores.

El tratamiento de datos personales en el contexto laboral podrá realizarse con el consentimiento expreso del trabajador, pero también será lícito cuando sea necesario para la ejecución del contrato de trabajo, el cumplimiento de obligaciones legales o la satisfacción de intereses legítimos del empleador, siempre que no se vulneren los derechos y libertades del trabajador. Especial atención merecen los datos sensibles, como los relativos a la salud, que solo podrán ser tratados bajo estrictas condiciones y con mayores resguardos.

Para las empresas, la entrada en vigencia de la ley implica la necesidad de revisar y adecuar sus políticas y procedimientos internos de tratamiento de datos. Será fundamental implementar medidas que aseguren el cumplimiento de los principios rectores de la ley: licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia y confidencialidad. Además, las empresas multinacionales deberán poner especial atención a los nuevos requisitos para la transferencia internacional de datos, asegurando que los países de destino cuenten con niveles adecuados de protección o que existan garantías contractuales suficientes.

En este periodo de transición hasta diciembre de 2026, las empresas deben anticipar la adecuación de sus sistemas, capacitar a sus equipos y estar atentas a la dictación de los reglamentos y directrices que la futura Agencia de Protección de Datos Personales emitirá, los cuales darán mayor claridad y sentido práctico a la ley.

Es de suma relevancia el adecuarse correctamente a la ley, dado que el incumplimiento de la normativa puede acarrear sanciones significativas, con multas que pueden alcanzar hasta 20.000 UTM (€ 1.466.600 aprox.), suma que podría triplicarse en caso de reincidencia. Esto subraya la importancia de una gestión proactiva y responsable de los datos personales, tanto para evitar riesgos legales como para fortalecer la confianza de trabajadores y clientes en la organización.

En síntesis, la nueva ley marca un antes y un después en la protección de datos en Chile, exigiendo a las empresas un compromiso real con la privacidad y la seguridad de la información, especialmente en el ámbito laboral. La preparación y adaptación temprana serán claves para enfrentar con éxito este nuevo escenario regulatorio.