Datos Personales

Consentimiento y datos personales: lo que no se debe hacer

La nueva ley no prohíbe actualizar términos ni solicitar nuevos consentimientos. Lo que sanciona es hacerlo de manera que el titular no tenga una alternativa real.

Consentimiento y datos personales: lo que no se debe hacer

Gabriel Vargas y Mariano Wood.

Por Gabriel Vargas y Mariano Wood, Covarrubias

La Ley 21.719 entra en vigencia el 1° de diciembre de 2026 y transforma de raíz el régimen de tratamiento de datos personales en Chile. Las empresas ya están actualizando sus políticas de privacidad y términos de uso. Sin embargo, algunas lo están haciendo mal, y el costo de esa negligencia puede ser extraordinariamente alto.

La trampa del consentimiento condicionado

Un ejemplo ilustrativo: el programa de fidelización de un importante retail del mercado chileno envía a sus millones de usuarios una notificación informando que, debido a la nueva ley, se han actualizado los términos y condiciones. Hasta ahí, razonable. El problema es cómo se comunica: la plataforma condiciona la continuidad de los beneficios acumulados —puntos, descuentos, ahorros— a que el usuario acepte los nuevos términos de tratamiento de datos. La confirmación se solicita por correo electrónico y a través de la propia plataforma de gestión de puntos. La interfaz presenta un solo botón de aceptación, sin opción visible de rechazo.

El mensaje implícito es claro: acepta o pierde lo que has ganado. Esta mecánica tiene un nombre técnico en la nueva normativa: consentimiento que no ha sido libremente otorgado.

Lo que dice la ley

El artículo 12 de la Ley 21.719 exige que el consentimiento sea libre, informado y específico. Además, establece una presunción legal: se presume que el consentimiento no fue libre cuando el responsable lo recaba en el marco de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección. Si los nuevos usos de datos exceden lo estrictamente necesario para operar el programa de beneficios, la presunción se activa y la carga de probar lo contrario recae sobre la empresa.

A esto se suma el principio de finalidad: los datos recolectados bajo un propósito específico no pueden ser tratados con fines distintos sin un nuevo consentimiento que, a su vez, cumpla con los mismos estándares de libertad. Si la actualización de términos introduce finalidades que no existían al momento de la inscripción en el programa, no basta con un clic forzado para legitimarlas.

La ley contempla una excepción: la presunción de falta de libertad no opera cuando la única contraprestación exigida por el servicio es el consentimiento para tratar datos. Pero en el caso de un programa de fidelización vinculado a un retail, el usuario ya paga —compra productos, consume servicios—. No estamos ante un modelo financiado exclusivamente con datos. La excepción, simplemente, no aplica.

Las multas que están en juego

La señal regulatoria es inequívoca. Para infracciones graves —como tratar datos sin consentimiento válido o con una finalidad distinta a la autorizada—, la multa alcanza hasta 10.000 UTM. Para infracciones gravísimas, hasta 20.000 UTM. En caso de reincidencia por parte de una empresa que no califique como de menor tamaño, la sanción puede escalar hasta el 2% o 4% de los ingresos anuales por ventas y servicios, según la gravedad. Para una cadena de retail de gran escala, esto puede traducirse en cifras de varios miles de millones de pesos.

El rol de la asesoría preventiva

Lo que este tipo de casos revela no es mala fe, sino falta de asesoría especializada en el diseño de los mecanismos de obtención de consentimiento. La arquitectura de la interfaz, la redacción de la notificación, la existencia o ausencia de una opción de rechazo, la granularidad de las finalidades informadas: todo eso es trabajo jurídico, no solo de diseño o marketing.

La nueva ley no prohíbe actualizar términos ni solicitar nuevos consentimientos. Lo que sanciona es hacerlo de manera que el titular no tenga una alternativa real. Diseñar un flujo de consentimiento que cumpla con la ley no es más costoso; simplemente requiere de una asesoría especializada antes de que la notificación llegue al usuario, no después de que la Agencia de Protección de Datos inicie un procedimiento sancionatorio.

Marcasur Magazine
Marcasur Magazine - Edición Nº 97
Último Video
Ver todosVer todos