por

Gobernanza de Datos e IA en Recursos Humanos: El Desafío Crucial de la Nueva Ley en ConectaRH

1 de julio de 2026

La privacidad de los colaboradores ya no es una conversación técnica ni un trámite legal de última hora: hoy es un pilar estratégico y ético del que depende la sostenibilidad, la confianza y el cumplimiento de cualquier organización.

Con esa convicción, más de 230 profesionales de la gestión de personas se conectaron el pasado miércoles 1 de julio para una nueva sesión de ConectaRH, el ciclo de webinars de la Red de Recursos Humanos.

El encuentro abordó una de las temáticas más urgentes y críticas del año de cara a su entrada en vigencia en diciembre: la Nueva Ley de Protección de Datos Personales y su impacto directo en la gobernanza laboral y el uso de Inteligencia Artificial (IA).

Una conversación que redefine el rol de Recursos Humanos

La jornada comenzó con una potente introducción de Ignacio Lledó, Director de Compliance.Lat y moderador de la sesión, quien situó la relevancia del debate en el corazón operativo de las compañías. Lledó recordó que, aunque solemos asociar la protección de datos con clientes o marketing, es la gerencia de Recursos Humanos la que históricamente custodia la información más íntima y sensible de las personas.

Desde las historias médicas y las remuneraciones, hasta las evaluaciones psicosociales, las cargas familiares y las denuncias en canales éticos, Recursos Humanos administra una cantidad masiva de datos sensibles. El desafío, por tanto, no es dejar de tratar los datos necesarios para operar, sino hacerlo bajo un esquema de gobernanza transparente, seguro y ético.

¿Te perdiste la sesión en vivo o quieres repasar los puntos clave? Revívela completa aquí:

De la teoría al mapa de navegación: el fin del consentimiento como base única

Bárbara Vera, abogada socia de Garrigues y especialista en derecho laboral, inició su exposición trazando un detallado mapa de navegación sobre cómo la nueva ley viene a redefinir el día a día en las empresas.

La experta enfatizó que los datos que maneja la organización son, en estricto rigor, «prestados», y que el ciclo de vida del dato —su origen, tratamiento y destrucción— debe ser respetado con absoluta rigurosidad en las tres etapas de la relación: precontractual (procesos de selección), contractual y postcontractual.

Los principios que no se pueden ignorar:

  • Minimización de datos: No se trata de pedir información «por si acaso», sino de limitar la recopilación a lo estrictamente necesario y adecuado para la finalidad perseguida.
  • Transparencia y licitud: El colaborador debe saber con precisión para qué se usará su información y bajo qué parámetros de seguridad estará resguardada.

Bárbara colocó una bandera de alerta muy relevante sobre un mito recurrente en el ámbito corporativo: el consentimiento del trabajador. Al existir una relación vertical caracterizada por la subordinación y dependencia, la autoridad de datos podría cuestionar la validez de un consentimiento «libre».

Por ello, la experta recomendó que las empresas muden su estrategia legal y justifiquen el tratamiento de datos en otras bases legítimas contempladas por la ley, tales como la ejecución del contrato de trabajo, el interés legítimo de la compañía o el cumplimiento de obligaciones legales (como el pago de cotizaciones o la prevención de riesgos).

La «crisis de ejecución»: PDFs hermosos, políticas huérfanas

Por su parte, Cristian Maulén, Director del Programa de Especialización en Protección de Datos de la Universidad de Chile, aportó la perspectiva de la analítica avanzada y el estado de madurez digital de las compañías en el país, compartiendo datos muy frescos y reveladores del último Data Driven Index (DDI).

El panorama que Cristian describió es un llamado de atención de proporciones para la alta dirección: las empresas chilenas enfrentan una profunda crisis de ejecución. Aunque la importancia estratégica del dato alcanza su máximo histórico (4.41 en escala de 1 a 5), la ejecución operativa ha retrocedido a niveles del año 2017 (3.23).

«Estamos operando con tecnología del año 2026, pero con una ejecución interna que se quedó congelada hace casi una década», advirtió Cristian.

Los datos de la radiografía nacional hablan por sí solos:

  • El 79% de las empresas declara contar con políticas de privacidad redactadas (los «lindos PDFs» que duermen en un cajón).
  • Apenas el 39% tiene implementado un registro activo de actividades de tratamiento (RAP).
  • El 45% carece de un responsable definido de cumplimiento (DPO), lo que convierte a estas directrices en «políticas huérfanas».
  • Solo un 43% capacita formalmente a sus equipos en el uso ético y confidencial de la información.

La urgencia de la IA: el peligro de la fuga de datos invisible

Uno de los momentos más álgidos y comentados en el chat por la audiencia fue cuando se abordó la gobernanza en el uso de Inteligencia Artificial (IA) generativa por parte de los colaboradores.

Cristian alertó sobre un riesgo latente y masivo en la actualidad: colaboradores que, buscando agilizar su trabajo, suben archivos con bases de datos completas, RUTs, sueldos o evaluaciones de desempeño de la empresa a plataformas públicas de IA como ChatGPT o Gemini. Al hacerlo de manera abierta, se produce una fuga involuntaria y gravísima de propiedad intelectual y datos personales sensibles.

La recomendación del experto fue categórica. Las empresas no deben prohibir la IA, sino establecer entornos corporativos privados y cerrados (como Gemini Pro en Vertex AI) para garantizar que la información de la compañía nunca se use para entrenar modelos públicos externos. Además, resulta imperativo incorporar códigos de conducta y anexos de ética en los contratos para normar el uso responsable de estas herramientas.

Respuestas del panel a las grandes inquietudes de la comunidad

En el bloque de preguntas guiado por Ignacio Lledó, se abordaron con gran dinamismo temas de alta complejidad en las organizaciones operativas:

  • Uso de datos biométricos: Elementos como el registro de asistencia mediante huella digital o reconocimiento facial califican como datos sensibles. Bárbara Vera enfatizó que no se pueden implementar de manera indiscriminada; se requiere consentimiento explícito, altos estándares de seguridad y justificar por qué no existen mecanismos menos invasivos.
  • Reclutamiento y pruebas psicométricas: ¿Cuánto tiempo se pueden guardar los CV de candidatos que no quedaron seleccionados? El panel coincidió en que los datos deben destruirse o anonimizarse tan pronto termine el proceso de postulación, a menos que se cuente con una autorización expresa del candidato para futuras vacantes.
  • El dilema de la amnesia empresarial: Lledó cerró recordando que cumplir con la privacidad no significa destruir la memoria preventiva, laboral o probatoria de la empresa (necesaria para juicios, auditorías o compliance), sino establecer una gobernanza fina que determine qué bloquear, qué anonimizar y qué conservar estrictamente seguro.

La gran lección de la jornada

Si algo nos deja claro este encuentro de ConectaRH, es que la protección de datos ya no es una lista de requisitos para que los abogados marquen un check. Es un proceso de cambio cultural, de liderazgo y de ética organizacional. Las gerencias de Recursos Humanos que logren liderar esta transición, construyendo políticas vivas que respeten la dignidad y privacidad de sus equipos, serán las que consoliden las empresas más competitivas y resilientes de cara al futuro.

¡Agradecemos enormemente a Bárbara Vera, Cristian Maulén e Ignacio Lledó por iluminar este desafiante camino de aprendizaje!

¡Nos vemos en el próximo ConectaRH!

Autor/a: +Red de RRHH

¡Comparte este artículo exclusivo de +RedRH!

Más contenido +RedRh