Empleadores expuestos: IA, privacidad y datos en la mira legal

Los departamentos de RRHH enfrentan un mapa legal que se complica

Dos noticias publicadas esta semana por HR Dive ponen sobre la mesa una advertencia concreta para equipos de gestión de personas: el entorno legal alrededor del dato del empleado se está endureciendo por vía estatal, incluso cuando la regulación federal modera su tono.

Amazon llegó a un acuerdo extrajudicial esta semana para resolver una demanda que alegaba que la compañía solicitaba historiales médicos familiares de sus trabajadores ^[2]. El caso se enmarca en Illinois, un estado con protecciones especialmente estrictas sobre los derechos corporales de los empleados. Walmart y Topgolf también han enfrentado litigios bajo la Ley de Privacidad de Información Biométrica de Illinois (BIPA, por sus siglas en inglés), lo que evidencia que el problema no es aislado ^[2].

En paralelo, un análisis de HR Dive citando a Norton Rose Fulbright advirtió que ciberseguridad, privacidad de datos e inteligencia artificial representan tres vectores de exposición legal que los empleadores suelen subestimar ^[3].

El contexto: cuando los estados toman el relevo federal

La frase que resume el momento la pronunció el jefe de litigios de Norton Rose Fulbright en Estados Unidos: "Incluso donde la aplicación federal se ha suavizado, los estados frecuentemente intervienen y llevan los litigios hacia adelante" ^[3].

Este patrón —regulación federal laxa, estados activos— es relevante para equipos de RRHH en Latinoamérica por una razón directa: muchas multinacionales con operaciones en la región aplican políticas globales de datos de empleados diseñadas bajo estándares estadounidenses. Si esos estándares fallan en los propios Estados Unidos, la exposición se replica.

Además, varios países de América Latina han avanzado en legislación de protección de datos personales —México, Colombia, Brasil, Argentina— con marcos que comparten lógica con las leyes estatales estadounidenses: el consentimiento explícito, la minimización de datos y el derecho a la información son ejes comunes.

Qué datos de empleados generan más riesgo

El caso Amazon ilustra una práctica que algunos procesos de selección y medicina ocupacional normalizan sin cuestionar: la recolección de información médica que va más allá de lo estrictamente necesario para el puesto. El historial médico familiar es información sensible de terceros que el empleado no puede ceder libremente sin implicaciones legales complejas ^[2].

La nota de HR Dive sobre exposición legal corporativa identifica tres áreas críticas ^[3]:

• Ciberseguridad: brechas de datos de empleados que activan obligaciones de notificación y responsabilidad civil.
• Privacidad de datos: recopilación de información biométrica, médica o de comportamiento sin base legal suficiente.
• Inteligencia artificial: uso de herramientas de IA en procesos de selección, evaluación o monitoreo sin auditoría de sesgos ni transparencia hacia el trabajador.

Implicaciones operativas para equipos de RRHH

Para los departamentos de personas en LATAM, el escenario tiene consecuencias concretas que conviene mapear antes de que llegue la demanda:

• Auditar qué datos se recopilan y por qué: ¿el formulario de ingreso pide información que no tiene relación directa con la función? ¿Los proveedores de pruebas o evaluaciones tienen acceso a datos que no necesitan?
• Revisar contratos con proveedores tecnológicos: herramientas de ATS, plataformas de evaluación y sistemas de monitoreo de productividad procesan datos de candidatos y empleados. La responsabilidad legal no desaparece porque un tercero sea quien almacene la información.
• Documentar el consentimiento: especialmente en procesos de selección que incluyen evaluaciones psicométricas, pruebas cognitivas o cualquier recopilación de datos conductuales. El consentimiento informado no es solo una buena práctica; en varios países de la región es una obligación legal.
• Monitorear el uso de IA en decisiones de personal: si la herramienta filtra currículos, asigna puntajes o recomienda candidatos, el equipo de RRHH debe poder explicar cómo funciona y qué salvaguardas tiene contra la discriminación.
• Establecer una política de retención y eliminación de datos: guardar información de candidatos no seleccionados por tiempo indefinido es un riesgo legal creciente en jurisdicciones con marcos de protección de datos activos.

Un mapa de riesgo que RRHH no puede ignorar

El patrón que emerge esta semana no es un fenómeno exclusivamente estadounidense. Es la señal de una tendencia global: los datos del empleado —desde su huella dactilar hasta su historial clínico, pasando por sus resultados en evaluaciones de personalidad— son información sensible con marcos legales propios.

Los departamentos de RRHH que operan con la lógica de "siempre lo hemos hecho así" tienen una ventana cada vez más estrecha para actualizar sus prácticas antes de que un litigio, una inspección o una multa regulatoria los obligue a hacerlo en peores condiciones.

El caso Amazon y el análisis de Norton Rose Fulbright no son anécdotas corporativas lejanas. Son señales de hacia dónde se mueve el estándar de cumplimiento para cualquier organización que gestione datos de personas.