Volver al blog
Ley 21.719consentimientodatos personalesChilecumplimientomarketing

Consentimiento bajo Ley 21.719: cómo pedirlo bien y errores que invalidan tus bases de datos

Requisitos de validez del consentimiento bajo la Ley 21.719 de Protección de Datos Personales en Chile: libre, informado, específico e inequívoco. Casillas pre-marcadas, consentimiento granular, datos sensibles, menores y revocación.

Equipo FideliNorm
Consentimiento bajo Ley 21.719: cómo pedirlo bien y errores que invalidan tus bases de datos

El consentimiento del titular es la base de licitud más conocida del tratamiento de datos personales y, paradójicamente, la peor implementada en la mayoría de las empresas chilenas. Bajo la Ley 21.719 de Protección de Datos Personales, los requisitos para que un consentimiento sea válido son estrictos: debe ser libre, informado, específico e inequívoco, y para datos sensibles debe además ser expreso. Una base de datos construida sobre consentimientos defectuosos no es un activo: es un pasivo regulatorio. Esta guía explica cómo pedir el consentimiento bien, qué errores lo invalidan y cómo gestionar revocación, granularidad y datos sensibles.

📜 Los cuatro requisitos de validez

La Ley 21.719 fija cuatro condiciones que deben cumplirse copulativamente. Si falla cualquiera, el consentimiento es nulo y el tratamiento queda sin base de licitud.

1. Libre

El titular debe poder decidir sin coacción, presión o consecuencias negativas por negarse. No es libre el consentimiento que se exige como condición para acceder a un servicio cuando los datos no son necesarios para prestarlo. Tampoco lo es el consentimiento obtenido bajo amenaza, condicionado a un descuento desproporcionado o presentado como inevitable.

Caso típico: una tienda que exige el RUT y el correo del cliente "para emitir la boleta" cuando legalmente la boleta no requiere esos datos. La negativa no debe impedir la compra.

2. Informado

El titular debe conocer al momento de consentir:

  • Quién es el responsable del tratamiento.
  • Qué datos se recolectan.
  • Para qué finalidades.
  • A quién se comunican.
  • Si hay transferencias internacionales.
  • Cuánto tiempo se conservarán.
  • Cómo ejercer sus derechos.
  • Que el consentimiento es revocable.

Esta información debe estar disponible en el momento previo al consentimiento, en un formato accesible y comprensible, no enterrada en términos y condiciones de 30 páginas.

3. Específico

El consentimiento se otorga para una o varias finalidades determinadas. No vale un consentimiento "para tratamiento de datos en general". Cada finalidad debe estar claramente identificada y, cuando son distintas, separadas para que el titular pueda aceptar unas y rechazar otras.

Caso típico: en un formulario web, separar el consentimiento para "ejecutar el contrato" del consentimiento para "envío de marketing comercial" y del consentimiento para "compartir datos con socios comerciales". No son lo mismo y no admiten un único checkbox.

4. Inequívoco

Debe haber una manifestación clara y activa del titular. El silencio, la inacción y las casillas pre-marcadas no constituyen consentimiento. Tampoco lo constituye seguir navegando un sitio web (la doctrina del "uso continuado" está expresamente descartada).

Métodos válidos:

  • Marcar activamente una casilla no pre-marcada.
  • Firmar un documento físico o electrónico.
  • Hacer clic en un botón claramente identificado ("Acepto", "Suscribirme").
  • Una declaración verbal grabada con consentimiento explícito.

🔒 Datos sensibles: consentimiento expreso

Para los datos sensibles —salud, biometría, vida sexual, origen étnico o racial, afiliación política o sindical, opiniones, datos de menores en algunas circunstancias— la Ley 21.719 exige consentimiento expreso, es decir, una manifestación escrita o equivalente electrónico que deje constancia inequívoca de la voluntad del titular.

En la práctica, esto descarta el opt-in implícito y obliga a:

  • Casilla específica e independiente para cada tipo de dato sensible.
  • Información reforzada sobre el carácter especial de estos datos.
  • Registro robusto de la prueba (timestamp, IP, versión del aviso).
  • Posibilidad simple de revocar.

👶 Consentimiento de niños, niñas y adolescentes

El tratamiento de datos de menores de edad tiene reglas reforzadas:

  • Menores de 14 años: el consentimiento debe ser otorgado por el padre, madre, tutor o representante legal.
  • Mayores de 14 y menores de 18: pueden consentir directamente solo respecto de tratamientos cuya finalidad y consecuencias comprendan claramente. Para tratamientos de mayor riesgo —especialmente datos sensibles, perfilamiento o publicidad dirigida— se requiere autorización del representante legal.

Adicionalmente, la información debe presentarse en lenguaje adaptado a la edad, y los servicios dirigidos a menores requieren estándares de privacidad por defecto más exigentes.

🔄 Granularidad del consentimiento

Una de las trampas más frecuentes es solicitar consentimiento "en bloque" para múltiples finalidades. La Ley 21.719 exige granularidad: el titular debe poder consentir cada finalidad de manera independiente.

Buen ejemplo de formulario:

[ ] Acepto la creación de cuenta y la prestación del servicio.
    (Necesario para operar)

[ ] Acepto recibir comunicaciones comerciales por correo electrónico.
    (Opcional)

[ ] Acepto que mis datos sean compartidos con socios comerciales para
    ofertas relacionadas. (Opcional)

[ ] Acepto el tratamiento de mis datos de salud para personalizar
    recomendaciones. (Opcional, dato sensible)

Cada casilla vacía por defecto, separada y con explicación clara. La acción "aceptar todo" puede existir como atajo, pero no puede ser la única opción.

🧾 La carga de la prueba

Bajo la Ley 21.719, el responsable debe poder demostrar que obtuvo el consentimiento válido. La carga de la prueba se invierte: ante un reclamo del titular o una fiscalización de la APDP, no basta con afirmar que se consintió; hay que acreditarlo.

Elementos de prueba típicos:

  • Logs del formulario con timestamp, IP, user agent y versión del aviso.
  • Captura del consentimiento firmado electrónicamente con sello de tiempo.
  • Grabación verbal con declaración explícita.
  • Documento físico firmado y digitalizado.
  • Versión del aviso mostrada al titular en ese momento (no la versión vigente hoy, sino la del día en que consintió).

Este último punto es clave: si actualizaste tu política de privacidad y el titular consintió a la versión anterior, debes conservar la versión histórica para acreditar a qué consintió exactamente. Un sistema de versionado de avisos es indispensable.

↩️ Revocación: igual de fácil que el consentimiento

El titular puede revocar el consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento previo. La revocación debe ser:

  • Tan fácil como otorgar el consentimiento. Si bastó un clic para suscribirse, basta un clic para desuscribirse.
  • Gratuita.
  • Eficaz: el cese debe propagarse a todos los sistemas y a los encargados del tratamiento.
  • Sin pedir justificación.

Un enlace "Darse de baja" en cada email de marketing es el mínimo legal. Un proceso de baja que requiere llamar por teléfono, escribir una carta o esperar 48 horas es, en la práctica, una infracción porque desincentiva el ejercicio del derecho.

⚠️ Errores frecuentes que invalidan bases de datos

Acompañando procesos de cumplimiento vemos los mismos siete tropiezos:

  1. Casillas pre-marcadas. Invalidan el consentimiento de raíz.
  2. Bundling de finalidades. Un único checkbox para servicio + marketing + cesión a terceros no es válido.
  3. Información ausente o ininteligible. Avisos de privacidad de 8.000 palabras en jerga legal no informan a nadie.
  4. Uso continuado. "Al continuar navegando aceptas..." no es consentimiento.
  5. Consentimiento exigido para servicios que no lo necesitan. Si los datos no son necesarios para la prestación, condicionar el servicio al consentimiento elimina la libertad.
  6. Falta de prueba. Empresa que afirma haber pedido consentimiento sin logs ni firmas.
  7. Revocación dificultada. Procesos de baja desproporcionadamente complejos respecto al alta.

Cada uno de estos errores convierte miles de registros en pasivos: bases construidas sobre consentimientos nulos pueden ser objeto de eliminación obligatoria por parte de la APDP, además de las multas asociadas.

🛠️ Cómo construir un sistema de gestión del consentimiento

Para empresas con volumen, el consentimiento se gestiona con un Consent Management Platform (CMP) o módulo equivalente:

  1. Catálogo de finalidades con su base de licitud.
  2. Plantillas de aviso versionadas por fecha.
  3. Captura del consentimiento con metadata completa.
  4. Almacenamiento inmutable de la prueba.
  5. Panel de gestión del titular (autoservicio para revocar, modificar, ver histórico).
  6. API de consulta desde sistemas downstream (CRM, mailing, analytics) para verificar consentimiento vigente.
  7. Propagación de revocaciones a encargados del tratamiento.
  8. Reportes para el Delegado de Protección de Datos.

💡 Recomendaciones operativas

  1. Audita tus formularios actuales: marketing web, app móvil, papel, call center. Identifica casillas pre-marcadas, bundling y avisos opacos.
  2. Reescribe avisos en lenguaje claro, máximo 300 palabras de "lo esencial" + capa expandida para detalles.
  3. Separa finalidades en checkboxes independientes.
  4. Versiona cada aviso con fecha y conserva el histórico.
  5. Implementa logging robusto del consentimiento.
  6. Pon un canal de baja en un clic desde cada comunicación.
  7. Capacita a marketing, comercial y servicio al cliente sobre los nuevos estándares.
  8. Migra bases legacy con un proceso de renovación de consentimiento documentado, antes del cierre de 2026.
  9. Documenta la base de licitud alternativa (contrato, obligación legal, interés legítimo) cuando el consentimiento no aplique, para no apoyarte en él innecesariamente.

📌 Conclusión

El consentimiento es la base de licitud más visible y más mal implementada bajo la Ley 21.719. Hacerlo bien no requiere tecnología sofisticada, pero sí rigor de diseño: información clara, casillas activas, finalidades separadas, prueba conservada y revocación trivial. Hacerlo mal implica que la base de datos comercial entera —el activo más valioso del marketing moderno— quede sin sustento legal y expuesta a depuración forzosa por la APDP.

Las empresas que aprovechen 2026 para auditar y reconstruir sus flujos de consentimiento llegarán al cierre del año con bases de datos defendibles y una operación comercial blindada. Las que sigan con casillas pre-marcadas y bundling descubrirán, en el primer reclamo, que su CRM era de papel.

🚀 ¿Tu empresa pide el consentimiento como exige la Ley 21.719?

En FideliNorm auditamos formularios, avisos y flujos de consentimiento, rediseñamos los puntos de captura y ayudamos a implementar plataformas de gestión del consentimiento que dejen evidencia robusta. Si quieres llegar a fin de 2026 con bases de datos defendibles, conversemos.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →