El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo
Con la entrada en vigencia, a partir del 01 de diciembre de 2026, de la nueva Ley sobre Datos Personales en Chile, muchas empresas están revisando sus prácticas cotidianas.
En esta oportunidad queremos centrar nuestra mirada en el ámbito laboral, por los efectos que ello conllevará para las organizaciones y el ejercicio de las legítimas facultades del empleador.
Así, una situación que puede pasar desapercibida, pero que requiere de análisis, es el uso de grupos de WhatsApp entre trabajadores. ¿Es legal? ¿Qué pasa si se usa el número personal del trabajador sin su consentimiento? Un reciente caso en Europa entrega respuestas útiles, y que pueden ser aplicables a nuestro ordenamiento, dado los principios y estándares consagrados en la nueva ley.
La Agencia Española de Protección de Datos (AEPD) sancionó con 42.000 euros a una empresa por agregar el número personal de una trabajadora a un grupo de WhatsApp corporativo sin contar con su consentimiento.
La compañía alegó que lo hacía para fines laborales y que incluso había adoptado buenas prácticas (como el uso de móviles corporativos con medidas de seguridad), pero esto no fue suficiente. La sanción fue impuesta en el marco del Expediente N.º EXP202310848, recientemente publicado por la AEPD.
Lo anterior, a pesar de que en una primera instancia se había declarado inadmisible la reclamación, bajo la conclusión preliminar de que el actuar de la empresa habría sido conforme a derecho, acogiendo sus argumentos de defensa que: “la práctica de la empresa hasta la fecha en esta materia ha sido prudente y garantista toda vez que los grupos de WhatsApp solo incluyen empleados de la empresa”.
Continúa mencionando que no se agregó “a ningún tercero y que los datos personales de los miembros que son objeto de tratamiento necesario se refieren exclusivamente al nombre y apellidos de los miembros y a su número móvil, así como a su intervención en determinadas tareas y proyectos de la empresa, es decir, a los mínimos indispensables”.
Frente a ello, la reclamante interpuso un recurso cuya resolución es clara: no basta con que el tratamiento de datos tenga un fin útil o práctico para la empresa. Para que sea lícito, debe apoyarse en una base jurídica válida (como el consentimiento o la ejecución de un contrato), lo que no se cumplía en este caso.
Es importante mencionar que el uso del número personal no puede forzarse, ni siquiera si se justifica por razones operativas o por falta de equipos, según queda de manifiesto en el Fundamento de Derecho V de la resolución:
“A este respecto, cabe señalar que la infracción afecta a un principio básico del tratamiento de datos personales, como es el que dicho tratamiento cuente con una base de legitimación. En el presente caso consta, asimismo que, a pesar de que la reclamante manifestó expresamente su deseo de no seguir utilizando su teléfono personal para cuestiones laborales, el mismo fuera utilizado de nuevo con ese objetivo”.
Esta sanción anticipa un debate que será central bajo la futura legislación chilena: el respeto al principio de licitud en entornos laborales. La nueva ley exigirá que las empresas puedan justificar, documentar y limitar adecuadamente cada tratamiento de datos personales. El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo.
¿Qué deben hacer las empresas en Chile respecto a la protección de datos personales en el ámbito laboral?
Evitar usar números personales de trabajadores sin consentimiento claro y documentado.
Implementar protocolos escritos sobre herramientas de comunicación interna.
Entregar equipos corporativos cuando se requiera comunicación constante por mensajería.
Evaluar los riesgos asociados a estos tratamientos, especialmente en términos de privacidad y seguridad.
El caso mencionado deja una lección clave para las empresas chilenas: la gestión de datos personales en el entorno laboral debe planificarse con el mismo rigor que cualquier otro proceso corporativo.
En un escenario donde WhatsApp se ha convertido en una herramienta laboral de facto, la nueva legislación chilena exigirá pasar de la informalidad al cumplimiento. La clave estará en documentar las decisiones, minimizar los riesgos y la implementación anticipada de buenas prácticas.
Para más información sobre estos temas pueden consultar a:
En este segundo episodio, Yoab Bitran, Director del grupo Compliance de Albagli Zaliasnik, conversó con Ignacio Letelier, Gerente Legal, de Compliance y de Relaciones Institucionales en Verisure Chile, quien a pesar de su juventud, ha asumido un rol clave liderando tres frentes estratégicos dentro de la organización.
Ignacio nos comparte su visión sobre cómo navegar estos tres roles de forma efectiva, marcando pauta desde lo legal, transmitiendo una cultura de cumplimiento desde el modelo de prevención, y manteniéndose siempre cerca del negocio.
También abordamos los principales riesgos de su industria y cómo enfrentarlos en un entorno que exige flexibilidad y adaptación constante, especialmente frente a desafíos emergentes como la inteligencia artificial. Su mensaje es claro: hay que evolucionar con el negocio y fluir con las nuevas tecnologías de forma natural.
RESOLUCIÓN POR MEDIO DE LA CUAL SE SANCIONA, POR PRIMERA VEZ, A UN OFICIAL DE CUMPLIMIENTO POR INCUMPLIMIENTOS DEL PTEE Y SAGRILAFT
Por primera vez, la Superintendencia de Sociedades impuso una multa a un Oficial de Cumplimiento por incumplimientos de la compañía a la que presta servicios, de los Capítulos X y XIII de la Circular Básica Jurídica. En la práctica, se impusieron dos multas independientes: una, por incumplimiento del SAGRILAFT y, otra, por incumplimiento del PTEE. Estas multas suman en total doce millones de pesos ($12.000.000). La Superintendencia de Sociedades abrió dos procesos administrativos sancionatorios contra una reconocida empresa del sector textil, por incumplimientos al SAGRILAFT y al PTEE, tras una visita de inspección a la Compañía. Como parte de su investigación y del proceso administrativo, la Superintendencia también imputó cargos al Oficial de Cumplimiento, por fallar en su deber de supervisión y ejecución de los estándares contenidos en los Capítulos X y XIII de la Circular Básica Jurídica. La Superintendencia impuso una multa de COP $6.000.000 al Oficial de Cumplimiento luego de establecer que este incumplió las funciones incorporadas en el numeral 5.1.4.3.2. del Capítulo X de la Circular Básica Jurídica. Específicamente, la Superintendencia argumentó que el Oficial de Cumplimiento incumplió sus obligaciones de: ❖ Coordinar efectivamente las capacitaciones – literal d. ❖ Verificar los procedimientos de Debida Diligencia y Debida Diligencia intensificada – literal g. ❖ Valorar y hacer seguimiento a la ocurrencia de los riesgos LA/FT/FPADM – literales i y j.
En cuanto al incumplimiento del PTEE, la Superintendencia impuso una multa de COP $6.000.000 al Oficial de Cumplimiento luego de establecer que este incumplió sus funciones de acuerdo con el numeral 5.1.5.3.2. del Capítulo XIII de la Circular Básica Jurídica, específicamente:
Implementación y actualización de una matriz de riesgos C/ST, así como el diseño de las metodologías de clasificación, identificación, medición y control del riesgo C/ST – literales c y k.
Liderar y coordinar apropiadamente las capacitaciones sobre el PTEE – literal h.
Verificar el cumplimiento de los procedimientos de Debida Diligencia – literal i.
De acuerdo con los cargos impuestos, durante su visita de inspección, la Superintendencia notó que los procesos mencionados: (i) no estaban en cabeza, o no contaban con un acceso y supervisión constantes del Oficial de Cumplimiento, (iii) o estaban siendo desarrollados de forma deficiente. En su visita, la Superintendencia notó las siguientes deficiencias en el cumplimiento de la entidad obligada, que también desembocaron en el incumplimiento del Oficial de sus funciones:
La Superintendencia indicó que las matrices no cumplían con los requisitos formales y materiales de acuerdo con los Capítulos X y XIII de la Circular Básica Jurídica. Más allá de este incumplimiento de la empresa obligada, consideró que el Oficial de Cumplimiento había fallado en sus obligaciones pues no sólo no tenía acceso a las matrices, sino que no pudo evidenciar su participación y control de la metodología de clasificación, identificación, medición y control de los riesgos LA/FT/FPADM y C/ST, ni de la tarea de actualización y seguimiento a las matrices.
Las capacitaciones realizadas fueron deficientes. El Oficial de Cumplimiento manifestó que las actividades de capacitación constaron en el envío de varios correos con información sobre el SAFRILAFT y el PTEE y la divulgación de algunos conceptos por medio de la emisora de la entidad obligada. En concepto de la Superintendencia, esta gestión es deficiente, toda vez que no garantiza que los empleados, administradores y contratistas comprendan adecuadamente las estrategias para la prevención de los riesgos LA/FT/FPADM y C/ST.
La Superintendencia de Sociedades consideró que los mecanismos implementados por la empresa obligada como “debida diligencia” se quedaban cortos de los estándares incluidos en los Capítulos X y XIII de la Circular Básica Jurídica. Al ser el Oficial de Cumplimiento el responsable de la verificación tiene la responsabilidad de que los procesos alcancen los estándares mínimos requeridos por la Superintendencia de Sociedades y ha fallado en esta gestión
Es importante mencionar que uno de los requisitos para los Oficiales de Cumplimiento es que gocen de “la capacidad para tomar decisiones para gestionar el riesgo”. Esto, junto con las funciones mínimas que asignan los Capítulos X y XIII de la Circular Básica Jurídica, implica que el Oficial de Cumplimiento es responsable de ejecutar las políticas y procedimientos del SAGRILAFT y el PTEE en los términos y en cumplimiento de los estándares dispuestos por la Superintendencia de Sociedades, y que el incumplimiento de estos estándares u obligaciones puede ser, a su vez, incumplimiento de las funciones del Oficial.
De las dos resoluciones entonces resulta posible afirmar que las sanciones por incumplimiento de las disposiciones que regulan el SAGRILAFT y el PTEE ya no son exclusivas de las sociedades ni los representantes legales, sino que, además, estas se extenderán a los Oficiales de Cumplimiento de encontrarse responsables frente al incumplimiento en sus funciones.
A su vez, estas nuevas sanciones reflejan la importancia de que el Oficial de Cumplimiento tenga efectiva visibilidad, conocimiento y control sobre los distintos procesos, procedimientos y documentos que componen los sistemas del SAGRILAFT y el PTEE, y que cumpla con todas las obligaciones que le son propias de acuerdo con la regulación vigente. También, se resalta la importancia que tiene saber cómo recibir las visitas de la Superintendencia y cómo presentar los procesos y procedimientos de manera que sea claro el cumplimiento de la sociedad obligada de los requisitos y estándares requeridos.
Oscar Tutasaura, Socio del área Cumplimiento e Investigaciones Internas en Posse Herrera Ruiz
La nueva norma obliga al personal de seguridad aprobar un curso de formación que tendrá una asignatura sobre privacidad y uso de datos personales.
El pasado 27 de mayo se publicó en el Diario Oficial el nuevo Reglamento de Seguridad Privada, dictado en el marco de la Ley N° 21.659, que establece el nuevo marco legal para la seguridad privada en el país.
Es importante mencionar que la regulación introduce una serie de disposiciones relevantes en materia de tratamiento de datos personales por parte de las entidades sometidas a su regulación.
Uno de los aspectos más destacados es la obligación de estas entidades de colaborar con las fuerzas de orden y el Ministerio Público mediante la transmisión de datos personales y placas patentes de vehículos que ingresen a sus recintos, siempre que medie una solicitud expresa de dichas autoridades.
Esta transmisión deberá realizarse utilizando sistemas interoperables de verificación que aseguren la trazabilidad y eficacia en el acceso a la información.
A su vez, a propósito de esta obligación, pero con un alcance general, el reglamento establece expresamente que:
“El tratamiento de datos de carácter personal y los sistemas, automatizados o no, creados para el cumplimiento de este reglamento se someterán a lo dispuesto en la normativa de protección de datos personales”.
Esto implica, entre otros deberes, la implementación de medidas que garanticen la confidencialidad, integridad y disponibilidad de los datos, así como el respeto de los principios de finalidad, proporcionalidad y minimización.
De este modo, el reglamento articula de manera explícita la función de resguardo de la seguridad privada con la obligación de proteger los derechos fundamentales de las personas cuyos datos son recolectados y tratados, en conformidad con la normativa vigente.
Adicionalmente, impone una nueva exigencia en materia de formación, dando cuenta la importancia de la concientización en temas de privacidad.
De esta forma, tanto los vigilantes privados como los guardias de seguridad, porteros, nocheros, rondines u otros de similar carácter deberán aprobar un curso de formación que, entre sus contenidos obligatorios, incluye una asignatura sobre privacidad y uso de datos personales.
Esta capacitación tendrá por objeto entregar conocimientos sobre principios, conceptos y normas aplicables a los datos personales y sensibles, con especial énfasis en su adecuada protección.
La asignatura deberá ser impartida por licenciados en ciencias jurídicas y sociales o abogados, o bien por profesionales del área informática que posean un título profesional de educación superior de una carrera de al menos ocho semestres de duración.
En este primer episodio Yoab Bitran, Director Grupo Compliance en Albagli Zaliasnik, converso con Liliana Carvajal, Compliance Officer en Kushki , quien nos comparte su inspiradora trayectoria en el mundo del compliance, los aprendizajes que ha recogido a lo largo del camino, y sus recomendaciones para lograr un equilibrio efectivo en el cumplimiento, siempre con un enfoque basado en los riesgos.
Compliance Latam publicó la Guía Comparada sobre Protección de Datos Personales, una herramienta colaborativa que mapea en profundidad desafíos y aprendizajes de diferentes jurisdicciones de la región.
Con el objetivo de crear un punto de partida para analizar la implementación de políticas de protección de datos en la región, la plataforma Compliance Latam publicó la Guía Comparada sobre Protección de Datos Personales. El documento, que reúne los principales estándares, avances legislativos y desafíos regulatorios de múltiples jurisdicciones latinoamericanas, demuestra que la privacidad, el cumplimiento y la competitividad no están en esferas separadas, sino que complementan como pilares de una gestión empresarial sostenible y responsable.
Según el informe, el reto de las empresas que operan en América Latina es transversal: traducir el cumplimiento normativo en valor de negocio y hacerlo parte del ADN organizacional.
“La guía nació como respuesta a las necesidades de los equipos legales y de cumplimiento, y fue creada por firmas líderes de la región que forman parte de la red Compliance Latam. El disparador inicial fue identificar los avances normativos en materia de protección de datos para luego brindar una mirada integral en cada una de las jurisdicciones. Esto lo hicimos con el mismo espíritu que convoca a la red: crear valor para nuestros clientes mediante la colaboración activa de todos los integrantes”, comparte Rodrigo Albagli, socio del despacho chileno Albagli Zaliasnik
Estándares desiguales, enforcement debilitado y un denominador común: llevar la privacidad al corazón de la cultura organizacional
Pese a las diferencias institucionales entre los países estudiados, hay un denominador común en el que todos coinciden: la protección de la privacidad como un derecho fundamental.
“En todas las jurisdicciones se reconoce que los datos personales deben ser tratados de acuerdo con principios clave como legalidad, transparencia, minimización de datos y confidencialidad. Asimismo, reconocen la importancia de los derechos de los titulares, como el acceso, rectificación, cancelación y oposición (ARCO). Estos principios buscan garantizar que el tratamiento de datos sea siempre adecuado, relevante y proporcional al propósito para el que fueron recolectados y que los individuos tengan control sobre sus propios datos”, señala Marlyn Narkis, socia del despacho panameño MDU Legal.
Ahora bien, podría decirse que la principal brecha no está en el diseño de las leyes, sino en su implementación.
Yoab Bitran, director del grupo de Compliance de Albagli Zaliasnik, advierte que la región arrastra un problema estructural: falta de enforcement.
“Si bien varios países cuentan con nuevas regulaciones en línea con mejores estándares globales, tenemos muy pocos casos y muy pocas sanciones. Lo que genera cambios es la aplicación más que la promulgación; sin aplicación, no hay cambio real”, remarca el experto.
En ese sentido, destaca que la institucionalidad es un activo que diferencia a países como Chile, Uruguay o Costa Rica, que muestran mayor previsibilidad jurídica.
“Por regla general, el compliance solo puede avanzar cuando existe Estado de derecho, institucionalidad y libertad. Por lo tanto, existe una correlación tácita: aquellos países que tienen mayores dificultades en estas materias, son los que están más atrasados en términos de compliance”, explica.
En el caso puntual de Chile, el abogado reconoce que el avance normativo es un modelo para toda la región, pero que el país trasandino no escapa a la realidad de otros países en cuanto a su aplicación.
“Las propias autoridades encargadas de fiscalizar y perseguir infracciones o delitos han solicitado mayores recursos, tanto humanos como económicos, para poder llevar a cabo su labor. En cuanto a institucionalidad y entorno de negocios, Chile sigue manteniendo cierto nivel de liderazgo regional y continúa liderando en la mayoría de los rankings”, comenta Bitran.
Compliance más allá de las fronteras
Según Marcelo Coimbra, socio fundador del despacho brasileño FCR Law, la Guía Comparada sobre Protección de Datos Personales permite anticipar riesgos, tomar decisiones fundamentadas y adaptar políticas de compliance a múltiples jurisdicciones.
“Para las compañías con operaciones transnacionales, contar con esta referencia comparativa facilita no solo la expansión, sino también una gestión proactiva del cumplimiento normativo en un entorno legal desafiante y diverso. La expansión regional solo es viable si hay gestión proactiva del cumplimiento, y esa es la base de la seguridad jurídica que exigen los inversores y las empresas globales”, afirma.
Leon Weinstok, director del despacho costarricense BLP, añade que “el desafío es lograr un modelo eficiente de protección de datos que respete los derechos de las personas, que dialogue con estándares internacionales y que sea aplicable a la realidad operativa de cada país”.
Cultura organizacional, la gran aliada
Los miembros de la red Compliance Latam coinciden en que el verdadero desafío no es legal, sino cultural. Entonces, ¿cuál es el rol de las firmas legales a la hora de acompañar la implementación de programas de cumplimiento?
Esteban Dávila, asociado sénior del despacho ecuatoriano Bustamante Fabara, sostiene que el rol de los despachos jurídicos debe ser estratégico, no solo normativo.
“Nuestra función es traducir la protección de datos en reputación, competitividad y confianza. Por eso, debemos enfocarnos en traducir normas en valor empresarial, impulsar el liderazgo desde la alta dirección, diseñar un programa de gobernanza de datos pragmático y promover una cultura de datos”, considera.
Desde su experiencia, Dávila cree que los estudios jurídicos deben explicar cómo la protección de datos personales no sólo mitiga riesgos legales, sino que también fortalece la reputación y confianza del mercado, genera ventajas competitivas sostenibles y alinea la gestión de datos con objetivos comerciales.
“Los estudios jurídicos debemos sensibilizar y capacitar al C-level, posicionando la privacidad como un tema estratégico. Esto implica, por ejemplo, participar en comités de gobierno corporativo, presentar análisis de impacto legal alineados con KPIs del negocio y mostrar precedentes regulatorios que evidencien la responsabilidad directa de los altos ejecutivos”, recomienda.
Salvador Bartolomé, socio del despacho español Bartolomé & Briones, coincide en que las firmas legales tienen un rol clave como facilitadores y promotores de una cultura de cumplimiento normativo y de protección de datos dentro de las organizaciones.
Para el experto, el rol de los estudios jurídicos implica tender un puente entre lo real y lo legal: “La labor de las firmas legales no solo debe limitarse al asesoramiento legal, sino que debe tener en cuenta aspectos prácticos, organizativos y estratégicos propios de cada organización, necesarios a fin de asegurar que se cumpla con la normativa vigente, facilitando la aplicación práctica de las políticas de cumplimiento y protección de datos”.
¿Por qué los datos personales ya no son un activo invisible?
En la economía digital, los datos personales son más que datos, son capital reputacional, riesgo regulatorio y ventaja competitiva.
“El compromiso de la alta dirección no es opcional, pero sigue siendo uno de los puntos más débiles del ecosistema empresarial en América Latina. Sensibilizar, formar y convencer al liderazgo ejecutivo es parte de la tarea de los equipos legales y de compliance”, refuerza Yoab Bitran.
Queda claro: si la privacidad no entra en la agenda estratégica, difícilmente logrará consolidarse como valor corporativo.
