Inicio / Protección de Datos / ¿Tu empresa maneja datos sensibles o de menores? Esto es lo que necesitas saberbre de 2026

¿Tu empresa maneja datos sensibles o de menores?
Esto es lo que necesitas saber

Hay un error muy común cuando las empresas empiezan a pensar en la Ley 21.719 de Protección de Datos Personales: creer que los datos sensibles son solo cosa de clínicas u hospitales, y no, los datos sensibles aparecen en muchos más rubros y a veces en formas que ni siquiera estás identificando como tales.

Si tu empresa hace control de acceso con huella dactilar, si tus trabajadores deben rendir examen de drogas antes de entrar a faena, si tienes fichas médicas de colaboradores o si ofreces servicios a niños y adolescentes, este blog es especialmente para ti.

¿Qué son los datos sensibles según la Ley 21.719?

La ley los define con bastante claridad. Son datos sensibles aquellos que revelan o se refieren a:

 

  • Origen racial o étnico
  • Situación socioeconómica
  • Convicciones ideológicas, filosóficas o religiosas
  • Afiliación política, sindical o gremial
  • Datos relativos a la salud (diagnósticos, tratamientos, licencias médicas, fichas clínicas)
  • Datos biométricos (huella dactilar, reconocimiento facial, iris)
  • Perfil biológico humano
  • Orientación sexual e identidad de género
 

Lo que los hace especialmente críticos no es solo su contenido, sino el impacto que puede tener su mal uso en los derechos fundamentales de las personas. Un dato de salud mal manejado puede afectar la empleabilidad de alguien. Un dato biométrico filtrado no se puede cambiar, como sí se puede cambiar una contraseña.

¿En qué tipo de empresas aparecen más seguido?

Esto es lo que más nos preguntan, y la respuesta siempre sorprende un poco:

 

  • EMPRESAS CON CONTROL DE ACCESO BIOMÉTRICO (huella, facial): prácticamente cualquier rubro.
  • EMPRESAS DEL RUBRO MINERO, CONSTRUCCIÓN O INDUSTRIAL que envían trabajadores a faena con exigencias de aptitud física.
  • CLÍNICAS, DENTISTAS, PSICÓLOGOS, NUTRICIONISTAS y cualquier prestador de salud.
  • COLEGIOS, JARDINES INFANTILES, ACADEMIAS Y PLATAFORMAS EDUCATIVAS que trabajan con menores.
  • EMPRESAS CON ÁREA DE RRHH que gestiona licencias médicas, evaluaciones psicológicas o antecedentes de salud.
  • APLICACIONES O PLATAFORMAS DIGITALES con perfiles de usuario que incluyen datos de salud o comportamiento.
  • CLUBES DEPORTIVOS, GIMNASIOS O CENTROS DE BIENESTAR con fichas físicas o médicas de clientes.
 

Si te identificas con alguna de estas categorías, lo que viene a continuación es para ti.

Casos especiales que siempre generan dudas

Estos son los escenarios que más se repiten en nuestras conversaciones con clientes. Los ponemos aquí porque probablemente alguno aplica a tu empresa.

 

Control de acceso con huella dactilar o reconocimiento facial

Este es uno de los más frecuentes y de los menos identificados como problema.

La huella dactilar y el reconocimiento facial son datos biométricos, y eso los convierte automáticamente en datos sensibles bajo la Ley 21.719. Da lo mismo si el sistema lo maneja un tercero (empresa de seguridad, software externo): tú eres el responsable del tratamiento.

¿Qué necesitas? Consentimiento específico del trabajador o usuario para este tratamiento, información clara sobre quién accede a esa base de datos, contrato actualizado con el proveedor del sistema, y medidas de seguridad reforzadas para esa información.

Y una pregunta que vale hacerse: ¿realmente necesitas datos biométricos para este fin, o hay una alternativa menos invasiva? La ley exige proporcionalidad.

 

Trabajadores que ingresan a faena: ficha médica y aptitud para el trabajo

Este caso es muy común en rubros como minería, construcción, industria y transporte.

Cuando un trabajador debe acreditar que está apto físicamente para realizar su labor, ya sea mediante una ficha médica, un examen pre ocupacional o una evaluación de salud periódica, tu empresa está tratando datos de salud, que son datos sensibles.

¿Qué necesitas? Base de licitud clara (puede ser obligación legal en materia de seguridad laboral), consentimiento informado del trabajador cuando corresponda, acceso restringido a esa información solo al personal autorizado (no puede verla cualquiera en RRHH), y plazos definidos de conservación y eliminación.

Un error frecuente: guardar estas fichas en carpetas compartidas o en correos electrónicos sin ningún control de acceso. Eso es una brecha de seguridad bajo la nueva ley.

 

Exámenes de drogas y alcohol

Otro punto que genera mucha consulta, especialmente en empresas con obligaciones de seguridad laboral.

El resultado de un examen de drogas o alcohol es un dato de salud y, por tanto, dato sensible. No importa que la empresa lo exija por razones de seguridad, el tratamiento de esa información está regulado con estándares más exigentes.

¿Qué necesitas? Que el trabajador esté informado de que ese dato se va a tratar y para qué fines. Que el acceso sea estrictamente limitado. Que los resultados no se conserven más tiempo del necesario. Y que el contrato con el prestador de salud que realiza el examen incluya cláusulas de protección de datos.

También es importante revisar si tu Reglamento Interno de la empresa menciona este proceso, y que sea consistente con las exigencias de la Ley 21.719.

 

Datos de niños, niñas y adolescentes (NNA)

Si tu empresa presta servicios a menores de edad —colegios, jardines infantiles, academias, plataformas educativas, actividades deportivas o recreativas— estás tratando datos de NNA, que tienen un régimen de protección especialmente reforzado en la ley.

¿Qué necesitas? El consentimiento debe ser otorgado por el padre, madre o tutor legal, no por el menor. La información recolectada debe ser estrictamente la necesaria para la prestación del servicio. No puedes usarla para fines distintos ni compartirla con terceros sin autorización. Y debes tener políticas claras sobre cómo se eliminan esos datos cuando el menor deja de ser parte del servicio.

Los colegios, en particular, suelen tener múltiples sistemas con datos de estudiantes: plataformas de notas, libros de clases digitales, sistemas de comunicación con apoderados. Cada uno de esos sistemas debe estar revisado.

 

¿Qué exige la ley cuando tratas datos sensibles?

El estándar sube en varios frentes. Estas son las obligaciones más relevantes que se suman al piso básico de cumplimiento:

 

  • Base de licitud reforzada.
  • Consentimiento explícito e inequívoco. 
  • Principio de minimización.
  • Medidas de seguridad reforzadas.
  • Evaluación de Impacto en la Privacidad (EIPD). (obligatoria cuando el tratamiento implica datos sensibles a gran escala o de alto riesgo.)
  • Protocolo ante brechas específico. 

¿Cuánto me puede costar no cumplir?

La Ley 21.719 establece un régimen sancionatorio escalonado. Las infracciones relacionadas con datos sensibles se clasifican como graves o gravísimas, lo que implica multas que van desde 1.000 UTM hasta 10.000 UTM (aproximadamente entre $65 y $650 millones de pesos, según el valor UTM vigente).

Además de la multa, la ley contempla sanciones accesorias como la suspensión temporal del tratamiento de datos, lo que puede paralizar operaciones completas, y la publicación de la infracción, con el daño reputacional que eso implica.

No es un escenario hipotético, en Europa, bajo el GDPR, empresas de todos los tamaños han recibido multas millonarias por exactamente este tipo de incumplimientos. Chile está siguiendo ese mismo estándar.

¿Cómo sé si mi empresa necesita un modelo reforzado?

Hay algunas preguntas simples que pueden orientarte:

 

  • ¿Tu empresa utiliza sistemas de control de acceso biométrico (huella, facial)?
  • ¿Tienes trabajadores que deben acreditar aptitud física o médica para su labor?
  • ¿Realizas o gestionas exámenes de drogas o alcohol a trabajadores?
  • ¿Prestas servicios a niños, niñas o adolescentes en cualquier formato?
  • ¿Tu área de RRHH maneja licencias médicas, evaluaciones psicológicas u otros datos de salud de trabajadores?
  • ¿Tu plataforma digital recopila datos de salud, comportamiento o biométricos de usuarios?

 

Si respondiste que sí a al menos una de estas preguntas, necesitas un modelo de cumplimiento reforzado, no el básico. Y lo más importante, necesitas saberlo antes de que la Agencia de Protección de Datos empiece a fiscalizar.

¿Por dónde empezar si manejo datos sensibles?

El primer paso es siempre el mismo: mapear qué datos tienes, cómo entran a tu empresa, quién los accede y cómo los estás protegiendo hoy. Ese diagnóstico es el que define qué necesitas exactamente.

En CZ Abogados trabajamos con un enfoque proporcional al riesgo real de cada empresa. No te vamos a recomendar un modelo de prevención completo si no lo necesitas, pero si lo necesitas, te vamos a decir por qué y qué implica no tenerlo.

¿Quieres saber qué nivel de adecuación
necesita tu empresa?

Contáctanos
Paulina Zamora +(56 2) 289 99 389. Axo 102. Paulina.zamora@czabogados.cl

También te puede interesar ¿Qué obliga realmente la Ley 21.719 a las empresas chilenas?  |  Checklist de cumplimiento PDP: lo que tu empresa debe tener antes de diciembre de 2026

Inicio / Protección de Datos / ¿Tu empresa maneja datos sensibles o de menores? Esto es lo que necesitas saberbre de 2026