Bajo la antigua Ley 19.628, el consentimiento operaba casi como la única base de licitud reconocida en la práctica. La Ley 21.719 cambia ese punto de partida: reconoce varias bases legales distintas, y el consentimiento es solo una de ellas — no necesariamente la más adecuada para cada caso.
Esto importa porque pedir consentimiento donde no corresponde no es solo redundante: puede generar el problema inverso. Si una empresa basa un tratamiento en el consentimiento y luego el titular lo revoca — algo que tiene derecho a hacer en cualquier momento —, la empresa puede perder la base legal para seguir tratando datos que en realidad necesitaba por otras razones.
Qué exige la ley cuando el consentimiento sí es la base
Cuando el consentimiento es efectivamente la base elegida, debe cumplir cuatro condiciones copulativas:
- ·Libre: sin condicionar el acceso a un servicio a la entrega de datos que no son necesarios para prestarlo.
- ·Específico: para una finalidad determinada, no autorizaciones genéricas.
- ·Informado: la persona debe saber, antes de consentir, qué datos se tratarán y para qué.
- ·Inequívoco: requiere una acción afirmativa clara. Quedan descartadas las casillas premarcadas y los consentimientos por omisión.
Para datos sensibles — salud, biometría, origen étnico, opiniones políticas, entre otros — el estándar sube: se exige consentimiento explícito.
El consentimiento debe poder revocarse con la misma facilidad con la que se otorgó. Un formulario de tres clics para aceptar y un proceso de cinco pasos para revocar no cumple ese estándar de simetría.
Cuándo NO necesitas consentimiento
La ley reconoce bases de licitud alternativas que permiten tratar datos personales sin pedir consentimiento, siempre que el tratamiento se ajuste efectivamente a esa base:
Ejecución de un contrato. Si tratas los datos de un cliente porque son necesarios para cumplir el contrato que firmó contigo — procesar un pedido, prestar un servicio, facturar —, no necesitas pedirle consentimiento adicional para ese tratamiento específico.
Cumplimiento de una obligación legal. Cuando otra ley te obliga a tratar o conservar ciertos datos — obligaciones tributarias, laborales, de prevención de lavado de activos —, esa obligación legal es la base, no el consentimiento del titular.
Interés legítimo del responsable. Existen situaciones donde el tratamiento se justifica por un interés legítimo de la empresa, siempre que ese interés no sea desplazado por los derechos y libertades del titular. Es una base que requiere ponderación caso a caso, no un comodín genérico.
Datos relativos a obligaciones económicas, financieras, bancarias o comerciales. La ley mantiene un régimen especial para el tratamiento de este tipo de datos, relevante para evaluación de riesgo crediticio, conforme a reglas específicas dentro de la misma normativa.
El error más frecuente: consentimiento como reflejo, no como decisión
Es común ver formularios que piden consentimiento para "tratar tus datos personales" de forma genérica, cubriendo con la misma casilla el envío de un producto, el marketing por correo y el análisis estadístico interno. Eso no cumple el estándar de especificidad, y además desperdicia la base contractual que ya cubría, sin necesidad de consentimiento, el envío del producto.
La pregunta que conviene hacerse antes de agregar una casilla de consentimiento a un formulario no es "¿pedimos permiso por si acaso?", sino: ¿este tratamiento específico tiene ya una base legal distinta que lo cubre? Si la respuesta es sí, pedir consentimiento de todas formas solo agrega un punto de fragilidad legal innecesario.
Relacionado: conoce qué significa el consentimiento desde la perspectiva de las personas y qué categorías de datos exigen protección reforzada en nuestra guía de datos sensibles.
Fuentes principales: Ley 21.719, que modifica la Ley 19.628 sobre Protección de la Vida Privada (Biblioteca del Congreso Nacional — bcn.cl/leychile). Nota editorial: confirmar el listado completo y exacto de bases de licitud contra el texto vigente en BCN antes de publicar.