Consentimiento bajo Ley 21.719: cómo pedirlo bien y errores que invalidan tus bases
Requisitos de validez del consentimiento bajo la Ley 21.719: libre, informado, específico e inequívoco. Casillas pre-marcadas, granularidad, datos sensibles, menores y revocación.
Si tu empresa pide datos a sus clientes con un checkbox pre-marcado y un párrafo enterrado en los términos y condiciones, tu base de datos vale cero bajo la Ley 21.719. Suena fuerte, pero es así.
El consentimiento es la base de licitud más usada en Chile y, paradójicamente, la peor implementada. La ley exige que sea libre, informado, específico e inequívoco. Si falla cualquiera de los cuatro, el consentimiento es nulo y el tratamiento queda sin base legal.
Acá te explicamos cómo pedirlo bien, qué errores invalidan tu base completa y cómo gestionar revocación, granularidad y datos sensibles antes de que la APDP te llame a explicar.
Los cuatro requisitos que tienen que cumplirse todos
La Ley 21.719 fija cuatro condiciones copulativas. Si una falla, el consentimiento es nulo. Punto.
1. Libre
El titular tiene que poder decir que no sin que eso le cueste el servicio. Si los datos no son necesarios para prestar lo que vende tu empresa, no puedes condicionar la venta a que los entregue.
Caso típico: una tienda en Providencia que exige RUT y correo "para emitir la boleta". Lo cierto es que la boleta no necesita ninguno de los dos. Si te niegas, igual te tienen que vender.
2. Informado
El titular tiene que saber, antes de marcar el checkbox, ocho cosas concretas: quién es el responsable, qué datos te llevas, para qué los usas, a quién se los pasas, si salen del país, cuánto tiempo los guardas, cómo ejerce sus derechos y que puede revocar cuando quiera.
Esto va al frente, en lenguaje simple. No enterrado en 30 páginas de términos legales que nadie lee.
3. Específico
El consentimiento se da para una finalidad concreta o varias, pero todas identificadas. Un consentimiento "para tratamiento de datos en general" no sirve.
Buen ejemplo: en un formulario web tienes que separar el consentimiento para ejecutar el contrato, el consentimiento para mandar marketing y el consentimiento para compartir datos con socios comerciales. Son tres cosas distintas y no caben en un solo checkbox.
4. Inequívoco
Tiene que haber una acción clara del titular. El silencio no consiente. Las casillas pre-marcadas no consienten. Seguir navegando un sitio web no consiente.
Lo que sí vale: marcar activamente una casilla vacía, firmar un documento, hacer clic en un botón claro tipo "Acepto" o "Suscribirme", o dejar una declaración verbal grabada con consentimiento explícito.
Datos sensibles: acá la regla cambia
Para datos sensibles (salud, biometría, vida sexual, origen étnico, afiliación política o sindical, datos de menores en algunos casos), la Ley 21.719 exige consentimiento expreso. Es decir, una manifestación escrita o equivalente electrónico que deje constancia inequívoca.
En la práctica esto descarta el opt-in implícito. Tienes que tener casilla específica e independiente para cada tipo de dato sensible, información reforzada sobre el carácter especial de esos datos, registro robusto con timestamp, IP y versión del aviso, y una opción simple para revocar.
Una isapre que pide datos de salud en el mismo checkbox que el correo de marketing tiene un problema. Dos checkboxes, dos historias distintas.
Niños, niñas y adolescentes
El tratamiento de datos de menores tiene reglas reforzadas. Bajo 14 años, el consentimiento lo da el padre, madre, tutor o representante legal.
Entre 14 y 18 pueden consentir directamente, pero solo respecto de tratamientos cuya finalidad y consecuencias comprendan. Para datos sensibles, perfilamiento o publicidad dirigida, sigues necesitando autorización del representante.
La información tiene que estar en lenguaje adaptado a la edad y los servicios dirigidos a menores requieren privacidad por defecto más estricta.
Granularidad: un checkbox por finalidad
Una de las trampas más frecuentes es pedir consentimiento "en bloque" para varias finalidades a la vez. La ley exige granularidad: el titular tiene que poder consentir cada finalidad por separado.
Un buen formulario se ve así:
[ ] Acepto la creación de cuenta y la prestación del servicio.
(Necesario para operar)
[ ] Acepto recibir comunicaciones comerciales por correo electrónico.
(Opcional)
[ ] Acepto que mis datos sean compartidos con socios comerciales para
ofertas relacionadas. (Opcional)
[ ] Acepto el tratamiento de mis datos de salud para personalizar
recomendaciones. (Opcional, dato sensible)
Cada casilla vacía por defecto, separada y con explicación clara. La acción "aceptar todo" puede existir como atajo, pero no puede ser la única opción.
La carga de la prueba se invierte
Bajo la Ley 21.719 el responsable tiene que poder demostrar que obtuvo el consentimiento válido. Frente a un reclamo o una fiscalización, no basta con afirmar que el cliente consintió. Hay que acreditarlo con evidencia.
Lo que necesitas guardar:
- Logs del formulario con timestamp, IP, user agent y versión del aviso.
- Captura del consentimiento firmado electrónicamente con sello de tiempo.
- Grabación verbal con declaración explícita.
- Documento físico firmado y digitalizado.
- La versión del aviso que se mostró ese día, no la vigente hoy.
El último punto es clave. Si actualizaste tu política de privacidad, tienes que conservar las versiones anteriores para acreditar a qué consintió exactamente cada titular. Sin sistema de versionado, esa prueba no existe.
Revocar tiene que ser igual de fácil que aceptar
El titular puede revocar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento previo. Y la revocación tiene que ser tan fácil como dar el consentimiento.
Si bastó un clic para suscribirse, basta un clic para desuscribirse. Gratis, sin pedir justificación, eficaz en todos los sistemas y propagada a tus encargados del tratamiento.
Un enlace "Darse de baja" en cada email es el mínimo. Un proceso que exige llamar por teléfono, escribir una carta o esperar 48 horas es, en la práctica, una infracción porque desincentiva el ejercicio del derecho.
Los siete errores que invalidan bases de datos completas
Acompañando procesos de cumplimiento vemos siempre los mismos tropiezos:
- Casillas pre-marcadas. Invalidan el consentimiento de raíz.
- Bundling de finalidades. Un único checkbox para servicio, marketing y cesión a terceros no es válido.
- Información ausente o ininteligible. Avisos de 8.000 palabras en jerga legal no informan a nadie.
- Uso continuado. "Al continuar navegando aceptas" no es consentimiento.
- Consentimiento exigido para servicios que no lo necesitan. Si los datos no son necesarios para la prestación, condicionar el servicio elimina la libertad.
- Falta de prueba. Empresas que afirman haber pedido consentimiento sin logs ni firmas.
- Revocación dificultada. Procesos de baja desproporcionadamente complejos respecto al alta.
Cada uno de estos errores convierte miles de registros en pasivos. Bases construidas sobre consentimientos nulos pueden ser objeto de eliminación obligatoria por la APDP, además de las multas asociadas.
Cómo construir un sistema de gestión del consentimiento
Para empresas con volumen, esto se gestiona con un Consent Management Platform (CMP) o un módulo equivalente:
- Catálogo de finalidades con su base de licitud.
- Plantillas de aviso versionadas por fecha.
- Captura del consentimiento con metadata completa.
- Almacenamiento inmutable de la prueba.
- Panel de gestión del titular para autoservicio (revocar, modificar, ver histórico).
- API de consulta desde sistemas downstream (CRM, mailing, analytics) para verificar consentimiento vigente.
- Propagación de revocaciones a encargados del tratamiento.
- Reportes para el Delegado de Protección de Datos.
Plan operativo para los próximos meses
Si vas a llegar al cierre de 2026 con bases defendibles, te conviene avanzar en este orden.
Primero, audita los formularios que ya están en producción: marketing web, app móvil, papel, call center. Identifica casillas pre-marcadas, bundling y avisos opacos.
Después reescribe los avisos en lenguaje claro, máximo 300 palabras de "lo esencial" y una capa expandida para detalles. Separa finalidades en checkboxes independientes y versiona cada aviso con fecha.
Implementa logging robusto del consentimiento, pon un canal de baja en un clic desde cada comunicación y capacita a marketing, comercial y servicio al cliente sobre los nuevos estándares. Para las bases legacy, monta un proceso de renovación de consentimiento documentado antes de que cierre el año.
Y si tu base de licitud no es el consentimiento sino el contrato, una obligación legal o el interés legítimo, déjalo escrito en el registro de tratamientos. No te apoyes en el consentimiento cuando no corresponde.
La diferencia entre tener CRM y tener una papa caliente
El consentimiento bien hecho no requiere tecnología sofisticada. Requiere rigor de diseño: información clara, casillas activas, finalidades separadas, prueba conservada y revocación trivial.
Las empresas que aprovechen 2026 para auditar y reconstruir sus flujos llegarán al cierre con bases de datos defendibles y operación comercial blindada. Las que sigan con casillas pre-marcadas y bundling van a descubrir, en el primer reclamo, que su CRM era de papel.
¿Tu empresa pide el consentimiento como exige la Ley 21.719? Conversemos y auditemos tus flujos.
Artículos relacionados
Cumplimiento normativo en tu correo, una vez al mes.
Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.
Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.
¿Necesitas certificar ISO 50001 en tu empresa?
En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.
Solicitar una consulta →