De la firma en papel a la biometría: claves para blindar los contratos de tu PYME
El sistema notarial chileno frente a fraudes por suplantación de identidad. Verificación biométrica en tiempo real para autenticar personas — no solo documentos. Estándares de seguridad jurídica para empresas de cualquier tamaño.
JH
Javier Hasbun
CEO TuFirma.Digital · Invitado Programa PYMES para Chile, Banco de Chile
11:40 hrs — Bloque 2
De la norma a la acción: cómo implementar la Ley Karin en tu negocio
Encargo país respecto a la erradicación de violencia y acoso en el trabajo. Cumplimiento normativo de la Ley 21.643 y orientación práctica para empleadores sobre la gestión asociada a protocolos, canales de denuncia y medidas de protección.
EV
Eduardo Vergara
Jefe de Prevención de Riesgos · Gerencia Clientes PYMES RM, Mutual de Seguridad
El dato que no puedes cambiar: Una contraseña se cambia. Una tarjeta se bloquea. El rostro, el iris o la huella dactilar no admiten sustitución. Si ese dato se ve comprometido, el daño es irreversible y permanente. (Diario Financiero, mayo 2026)
👁️
Escaneo de iris
Patrón único por persona. Usado en Kaggle para pronóstico de enfermedades sistémicas: diabetes, hipertensión, patología cardiovascular — no solo para identificar personas.
🧠
Reconocimiento facial
IA detecta patrones matemáticos. Tasa de error aumenta en sistemas masivos: menor calidad de muestra implica más falsos positivos e identidades incorrectas.
🔑
Huella dactilar
El más extendido en Chile. Obligatorio en telecomunicaciones desde febrero 2025. No toda persona tiene la misma calidad de muestra — problema de inclusión y equidad.
🗣️
Voz
Característica de comportamiento. Vulnerable a deepfakes de audio. El estrés o enfermedades alteran el patrón — inconsistencia estructural del identificador.
Iris en Kaggle: lo que los expositores probablemente no saben
UBIRIS Dataset
Base de datos académica de imágenes de iris de la Universidad de Beira Interior. Usada para entrenar modelos que correlacionan patrones iridológicos con condiciones médicas sistémicas. El iris como ventana a la salud — no solo como llave de acceso digital.
Biometric + Health Correlation Research
Investigaciones en Kaggle vinculan parámetros del iris con glaucoma, diabetes tipo 2 e indicadores de presión intraocular. Un sistema de "solo autenticación" puede inferir condiciones médicas sin declararlo. Eso es vigilancia sanitaria encubierta operando bajo una fachada de seguridad contractual.
Problema de equidad algorítmica
En sistemas de identificación masiva hay que bajar el umbral de aceptación para incluir a toda la población. Eso aumenta la probabilidad de falsas identidades. Personas mayores, con condiciones dermatológicas o de ascendencia subrepresentada en el dataset de entrenamiento tienen tasas de error significativamente mayores.
Marco regulatorio en Chile 2026
Agosto 2024
Ley Karin (21.643) entra en vigencia — modifica Código del Trabajo
Enero 2025
Ley Marco Ciberseguridad en vigor — no regula biometría directamente
Febrero 2025
Biometría obligatoria en empresas de telecomunicaciones — DS 44/2025
Junio 2026 — Ahora
Vacío legal activo: Ley 21.719 aprobada pero aún no vigente. Los datos biométricos quedan expuestos bajo normativa insuficiente.
Diciembre 2026
Ley 21.719 de Protección de Datos Personales entra en vigencia plena. Los datos biométricos serán clasificados como sensibles y requerirán consentimiento expreso, específico e informado.
Vacío legal actual: Los datos biométricos recopilados hoy por PYMES para firma digital operan bajo normativa insuficiente. El consentimiento en un contrato de servicios no equivale al consentimiento informado que exigirá la Ley 21.719. Todo lo que se recopila antes de diciembre 2026 puede quedar en zona gris legal permanente.
17%
Crecimiento anual del mercado biométrico global 2023–2028
$94B
Mercado global proyectado en USD para 2028 (Mordor Intelligence)
20.000
UTM de multa máxima por infracción Ley 21.719 (desde dic 2026)
Fuentes: Mordor Intelligence 2024 · Ley 21.719 Chile · Diario Financiero mayo 2026 · TrendTIC abril 2025 · SciELO Chile 2017 · LegalDatos feb 2026
Ley Karin 21.643 — lo esencial
Vigente desde el 1 de agosto de 2024. Modifica el Código del Trabajo para prevenir, investigar y sancionar acoso laboral, acoso sexual y violencia en el trabajo. Honra la memoria de Karin Salgado, técnica en enfermería fallecida en 2019 tras sufrir acoso laboral en el Hospital Herminda Martín de Chillán.
Obligaciones concretas del empleador en 2026
Protocolo de prevención documentado
No basta un reglamento interno básico. Requiere estructura de prevención, canales de reporte eficaces e investigación imparcial con proceso formal. Vigente Circular SUSESO 3851 (enero 2025).
Atención Psicológica Temprana (APT)
Obligatoria y gratuita. Debe activarse en 24–72 hrs desde recibida la denuncia, a través de ACHS, Mutual de Seguridad o ISL. Virtual o presencial.
Separación inmediata de las partes
Durante la investigación: redistribución de espacio físico, teletrabajo temporal, cambio de jornada o traslado de puesto. Obligatorio desde el inicio del proceso.
Reporte semestral al organismo administrador
Circular SUSESO 3851 de enero 2025: el primer reporte consolidado debía presentarse a más tardar el 15 de abril de 2025. ¿Lo hizo tu empresa?
Capacitación con perspectiva de género
Formación obligatoria para todos los trabajadores en base al Convenio 190 OIT, ratificado por Chile en marzo de 2023. Debe incluir comprensión de violencia y acoso como riesgo psicosocial.
Canal de denuncia formal, accesible y confidencial
Debe ser conocido por todos los trabajadores. Muchas PYMES lo gestionan por email sin cifrado — eso puede constituir infracción a la confidencialidad exigida por la ley.
Cifras de salud mental laboral Chile 2025
13,7%
Trabajadores con síntomas moderados/severos de depresión (ACHS-UC 2025)
+3,3 pts
Alza en síntomas de salud mental respecto al año anterior
515
Actividades informativas realizadas por MinTrabajo a nivel nacional
Intersección crítica con datos personales: Los procesos de denuncia bajo Ley Karin generan datos personales sensibles: relatos, evidencias, antecedentes médicos. La arquitectura tecnológica debe incluir cifrado, control de acceso restringido y bitácora de auditoría. Esto conecta directamente con las obligaciones de la Ley 21.719 que entra en vigor en diciembre 2026. Una filtración puede generar responsabilidad simultánea bajo ambas leyes.
Preguntas documentadas para los expositores
Haz clic en cada pregunta para ver el respaldo técnico-legal. Usa el botón de copiar para tenerla lista durante el webinar.
Biometría críticaDato técnicoPrivacidadLegalLey Karin
¿Quién custodia las plantillas biométricas capturadas por TuFirma.Digital, bajo qué estándar de cifrado, y quién tiene capacidad técnica real de desencriptarlas?
Biometría crítica
El dato biométrico no es un password: es una representación matemática permanente del rostro o iris. La Ley 21.719 (vigente dic 2026) exige informar el período de uso, los mecanismos de eliminación y los mecanismos de ejercicio de derechos. Una empresa que opera hoy sin ese marco ¿bajo qué contrato vinculante protege esas plantillas? ¿Están en servidores chilenos o en cloud extranjero sujeto a legislación FISA o similar? ¿Qué pasa si el proveedor cloud quiebra o es adquirido?
El iris del ojo se usa en investigación para predecir enfermedades sistémicas (diabetes, glaucoma, hipertensión). ¿Cómo garantizan que el sistema de autenticación no procese ni infiera datos de salud que el titular nunca consintió revelar?
Dato técnico
Datasets académicos en Kaggle (UBIRIS, entre otros) demuestran que modelos de ML entrenados sobre imágenes de iris pueden correlacionar patrones con condiciones médicas. Un sistema de autenticación que captura el iris de empleados de una PYME puede, técnicamente, inferir condiciones de salud sin intención declarada — el modelo lo hace automáticamente. ¿Existe un Data Protection Impact Assessment (DPIA) que excluya explícitamente ese procesamiento? ¿Quién certifica que el modelo de autenticación no tiene ese comportamiento emergente?
Si un trabajador se niega a registrar su biometría para firmar contratos laborales, ¿es eso causal de incumplimiento contractual, o puede constituir vulneración de garantías fundamentales según el art. 485 del Código del Trabajo?
Legal
La Ley 21.719 establece que el consentimiento biométrico debe ser libre, específico, informado e inequívoco. Bajo la normativa actual (previa a dic 2026), obligar a un trabajador a registrar datos biométricos como condición de empleo puede constituir una infracción a la protección de datos sensibles. La DT ha señalado que el empleador puede usar biometría para control de asistencia, pero el trabajador puede negarse legalmente — y las multas pueden llegar a 20.000 UTM (LegalDatos, feb 2026). ¿Cómo resuelve TuFirma.Digital ese conflicto sin que el empleador quede en una posición de riesgo legal doble?
¿Qué ocurre con las plantillas biométricas de ex-empleados o ex-clientes? ¿Existe un protocolo de eliminación certificable, o la eliminación es solo lógica — es decir, el registro se marca inactivo pero los datos siguen en backups y snapshots de cloud?
Privacidad
El RGPD europeo y la futura Ley 21.719 chilena establecen el derecho a supresión ("derecho al olvido"). Una eliminación "lógica" no implica eliminación física en backups, snapshots de nube o logs de auditoría. La eliminación criptográfica (destrucción de la clave de cifrado que hace ilegible el dato almacenado) es el único método verificable. ¿Tiene TuFirma.Digital ese proceso? ¿Qué pasa si hay un incidente de seguridad años después de terminada la relación contractual con datos que "se eliminaron" pero siguen en backups?
La biometría en sistemas masivos obliga a bajar el umbral de aceptación para incluir a toda la población. Eso aumenta los falsos positivos. ¿Cuál es la tasa de error del sistema para usuarios con características subrepresentadas en el dataset de entrenamiento — adultos mayores, personas con condiciones dermatológicas, o de ascendencia no occidental?
Dato técnico
Investigación académica chilena (SciELO, 2017) documenta que en sistemas de identificación masiva la calidad de muestra es heterogénea: no todas las personas tienen la misma calidad de datos biométricos capturable. Bajar el umbral de aceptación para llegar a toda una población implica mayor tasa de falsos positivos — lo que aumenta la probabilidad de falsas identidades u otras fallas del sistema. Esto no es solo un problema técnico: es un problema de equidad y potencial discriminación arbitraria bajo art. 2 de la Ley 20.609 (Ley Zamudio).
En el contexto de la Ley Karin: los procesos de denuncia generan datos sensibles — relatos, evidencias, antecedentes médicos. ¿Qué arquitectura tecnológica mínima debe implementar una PYME hoy para garantizar cifrado, acceso restringido y trazabilidad auditoriable de esos datos, antes de que la Ley 21.719 lo exija en diciembre 2026?
Ley Karin
La Ley Karin exige confidencialidad del proceso de denuncia. Pero muchas PYMES gestionan estas denuncias por email o en formularios sin cifrado — eso ya puede ser una infracción a la confidencialidad exigida por la ley vigente. Cuando un denunciante describe situaciones de acoso, ese relato es un dato personal sensible. Una filtración puede generar responsabilidad simultánea bajo Ley Karin y Ley 21.719. ¿Cuál es la herramienta mínima viable que una PYME sin equipo IT puede implementar hoy para cumplir ambas normativas sin un presupuesto de gran empresa?
La Firma Electrónica Avanzada ya existe en Chile vía Ley 19.799 desde 2002 y tiene plena validez legal. ¿En qué casos concretos la biometría facial agrega seguridad jurídica real que la FEA no cubre, y en cuáles es simplemente marketing de producto para crear una necesidad que no existe?
Legal
La FEA tiene plena validez legal en Chile y equivale a la firma manuscrita ante la ley. La biometría facial en tiempo real agrega una capa de autenticación de identidad del firmante — distinta a la autenticación del documento. La pregunta real es: ¿la suplantación en contratos PYME ocurre por falla en la autenticación del firmante, o por otras vías como fraude documental, coerción o error notarial? Sin datos de incidencia real de cada vector de fraude, el argumento de "blindaje biométrico" puede ser una solución buscando un problema, con costo en privacidad de todos los firmantes.
¿Bajo qué jurisdicción legal operan los contratos de servicio de TuFirma.Digital con las PYMES chilenas que adopten su sistema? Si hay una brecha de datos biométricos, ¿en qué país y ante qué tribunal litiga la PYME afectada?
Biometría crítica
Muchos proveedores de servicios digitales SaaS en Chile operan con infraestructura en AWS, Google Cloud o Azure — cuyos data centers pueden estar en EEUU, Brasil o Europa, sujetos a legislaciones distintas a la chilena. La Ley 21.719 establecerá restricciones a la transferencia internacional de datos sensibles. Una PYME que adopta biometría de un proveedor sin verificar la cadena de custodia puede quedar como responsable del tratamiento de datos ante la futura Agencia de Protección de Datos Personales, aunque el proveedor esté fuera de Chile.