Durante años, dar consentimiento para el uso de nuestros datos fue un trámite automático: una casilla que marcábamos sin leer, un "acepto" al pie de un texto interminable. La Ley 21.719 cambia las reglas de ese juego. No cualquier "sí" cuenta como consentimiento válido — y eso tiene consecuencias tanto para las personas como para las empresas.
Los cuatro requisitos que ahora debe cumplir
Cuando el consentimiento es la base que justifica un tratamiento, debe reunir cuatro condiciones al mismo tiempo:
- ·Libre: dado sin presión ni condicionamientos indebidos. No es válido condicionar el acceso a un servicio a que entregues datos que no son necesarios para prestarlo.
- ·Específico: para una finalidad determinada. Un consentimiento genérico que autoriza "usar tus datos para cualquier fin" no cumple este estándar.
- ·Informado: la persona debe saber, antes de aceptar, qué datos se tratarán y para qué.
- ·Inequívoco: requiere una manifestación de voluntad clara, mediante una acción afirmativa. El silencio o la inacción no equivalen a consentimiento.
Qué prácticas quedan fuera
- ·Casillas premarcadas: la que ya viene con el "acepto" activado por defecto no vale, porque no hay una acción afirmativa del usuario.
- ·"Si continúas navegando, aceptas": la mera continuación de uso no es una manifestación inequívoca de voluntad.
- ·Consentimientos "todo o nada" genéricos: agrupar en una sola casilla finalidades muy distintas choca con el requisito de especificidad.
- ·Baja difícil: si dar el consentimiento tomó dos clics, revocarlo no puede exigir un vía crucis.
El estándar reforzado para datos sensibles
Cuando se trata de datos sensibles — salud, biometría, origen étnico, opiniones políticas, vida sexual, entre otros —, la exigencia sube todavía más: se requiere consentimiento explícito. La categoría de datos sensibles tiene una protección reforzada precisamente porque su mal uso puede causar discriminación o daños más graves.
Lo que muchos olvidan: el consentimiento se puede revocar
Toda persona tiene derecho a revocar su consentimiento en cualquier momento, y la empresa debe ponérselo tan fácil como fue otorgarlo. Revocar el consentimiento no borra automáticamente los tratamientos ya realizados de forma lícita, pero sí obliga a detener el tratamiento hacia adelante si esa era la única base que lo justificaba.
Por qué esto también le conviene entenderlo a las empresas
Para una empresa, la lección práctica es doble. Primero, revisar sus formularios y flujos de captación de datos para asegurarse de que el consentimiento que obtiene cumple los cuatro requisitos — porque un consentimiento mal obtenido es, a efectos legales, como no tenerlo. Y segundo, no pedir consentimiento donde no corresponde: si un tratamiento ya está cubierto por otra base legal (como la ejecución de un contrato), apoyarlo innecesariamente en el consentimiento lo vuelve frágil, porque la persona podría revocarlo.
El "aceptar" automático de la última década se acabó. La Ley 21.719 convierte el consentimiento en lo que siempre debió ser: una decisión consciente, específica y reversible de la persona sobre sus propios datos.
Relacionado: si eres persona, revisa qué hace válido a un consentimiento y cómo revocarlo. Si eres empresa, entiende cuándo realmente necesitas consentimiento y cuándo no.
Fuentes principales: Ley 21.719, que modifica la Ley 19.628 sobre Protección de la Vida Privada (Biblioteca del Congreso Nacional — bcn.cl/leychile).