Cómo implementar gestión de consentimiento conforme a la Ley 21.719
El consentimiento es, probablemente, la base de licitud más citada en la normativa de protección de datos — y también la más mal utilizada. Muchas organizaciones la adoptan como respuesta estándar para todas las actividades de tratamiento de datos, sin percibir que esto crea vulnerabilidades serias: el consentimiento puede ser revocado en cualquier momento, y cuando eso ocurre a gran escala, puede paralizar operaciones enteras.
Esta guía explica los requisitos legales del consentimiento bajo la Ley 21.719 de Chile, cuándo usarlo (y cuándo no), y cómo estructurar una gestión de consentimiento sólida, auditable y conforme a la ley.
¿Qué es el consentimiento como base de licitud?
La Ley 21.719 — que reforma la Ley 19.628 sobre Protección de la Vida Privada, con vigencia a partir del 1° de diciembre de 2026 — establece el consentimiento como una de las bases de licitud para el tratamiento de datos personales. Lo define como:
"manifestación de voluntad libre, informada, específica e inequívoca por la que el titular acepta el tratamiento de sus datos personales para una o más finalidades determinadas"
Cuatro elementos son innegociables:
| Elemento | Qué significa |
|---|---|
| Libre | Sin presión, coacción ni condicionamiento — no puede exigirse como requisito para acceder a un servicio (salvo cuando sea indispensable) |
| Informado | El titular debe saber qué está autorizando: finalidad, tipo de dato, duración, quién tendrá acceso |
| Específico | Debe referirse a una o más finalidades determinadas — no admite autorizaciones genéricas |
| Inequívoco | No existe consentimiento implícito — casillas pre-marcadas, el silencio y la aceptación general de términos no constituyen consentimiento válido |
Cuándo el consentimiento es la base de licitud adecuada — y cuándo no lo es
Este es el punto crítico que muchas organizaciones yerran.
Cuándo usar el consentimiento
El consentimiento es la base de licitud adecuada cuando:
- Ninguna de las otras bases de la Ley 21.719 se aplica
- Trata datos para finalidades que dependen de una elección libre del titular — por ejemplo, envío de newsletter de marketing, personalización opcional de la experiencia, registro en programas de fidelización
- Trata datos de niños, niñas y adolescentes: la Ley 21.719 exige consentimiento específico del titular y, cuando corresponda, autorización del padre, madre o representante legal
Cuándo no usar el consentimiento
Evite el consentimiento cuando existe una base de licitud más sólida disponible:
| Actividad | Base de licitud más adecuada |
|---|---|
| Almacenar datos de colaboradores | Ejecución de contrato + Obligación legal |
| Emitir factura con datos del cliente | Obligación legal |
| Procesar datos de candidatos en selección | Ejecución de contrato (diligencias previas) |
| Mantener registros de compras para garantía legal | Ejercicio de derechos |
| Análisis de crédito | Datos relativos a obligaciones económicas (Título III Ley 21.719) |
¿Por qué importa? El consentimiento puede ser revocado en cualquier momento por el titular. Si usa consentimiento para almacenar datos de clientes en compras realizadas, la revocación puede generar la obligación de eliminar datos que usted necesita conservar por obligación fiscal o legal. Las bases de licitud más sólidas — obligación legal, ejecución de contrato — no pueden ser "revocadas" por el titular.
Los requisitos legales del consentimiento bajo la Ley 21.719
La Ley 21.719 establece las condiciones para que el consentimiento sea considerado válido:
1. Forma
El consentimiento debe ser otorgado de manera que quede constancia de la manifestación de voluntad del titular. Esto incluye:
- Formularios digitales con campo de opt-in activo (casilla desmarcada que el usuario marca)
- Firma en documento físico
- Grabación de voz (con transcripción archivada)
- Confirmación por email o SMS (doble opt-in)
No constituye consentimiento válido:
- Casilla de selección pre-marcada
- Aceptación de términos y condiciones genéricos sin énfasis en el tratamiento de datos
- Silencio o inacción del titular
- Continuar navegando en el sitio
2. Carga de la prueba
El responsable del tratamiento tiene la carga de probar que el consentimiento fue obtenido de forma válida. Esto significa que, ante una reclamación del titular, de la Agencia o del tribunal, debe presentar evidencia documentada de cómo, cuándo y para qué se recopiló el consentimiento.
3. Consentimiento específico por finalidad
Para cada finalidad distinta de tratamiento, es necesario un consentimiento específico. No se puede obtener un consentimiento genérico y luego tratar los datos para finalidades no previstas originalmente.
Ejemplo práctico: Si recopila el email con consentimiento para el envío de newsletter, no puede usar ese mismo dato para crear un perfil conductual con fines de publicidad segmentada sin obtener un consentimiento adicional para esa finalidad.
4. Consentimiento para comunicación a terceros
Si necesita comunicar los datos a otro responsable (una empresa socia, por ejemplo), es necesario obtener consentimiento específico para esa comunicación.
Consentimiento para datos sensibles: reglas más estrictas
Para datos sensibles — datos de salud, biométricos, genéticos, sobre orientación sexual, origen racial o étnico, convicciones religiosas o filosóficas, opiniones políticas, afiliación sindical — la Ley 21.719 exige que el consentimiento sea:
- Específico: no puede agruparse con otras finalidades
- Destacado: visualmente separado y puesto en evidencia para el titular
En la práctica, esto significa un campo de opt-in separado, con lenguaje claro sobre el tipo de dato sensible y la finalidad exacta.
Cómo recopilar consentimiento de manera eficaz
Buenas prácticas para la recopilación digital
- Lenguaje simple y directo: explique de manera accesible — no jurídica — qué hará con los datos, durante cuánto tiempo y con quién los compartirá
- Opt-in activo: el campo de consentimiento debe estar desmarcado por defecto; el titular marca activamente
- Granularidad: ofrezca opciones separadas para finalidades distintas — el titular puede consentir la recepción de newsletter y no consentir la comunicación de datos a socios
- Registro de metadatos: registre no solo el consentimiento en sí, sino también: fecha/hora, versión del aviso de privacidad vigente, dirección IP (cuando esté permitida) y método de recopilación
- Doble opt-in para comunicaciones de marketing: envíe confirmación por email antes de incluir al titular en listas de comunicación
Informaciones obligatorias al solicitar consentimiento
La Ley 21.719 exige que el titular sea informado sobre:
- Finalidad específica del tratamiento
- Forma y duración del tratamiento
- Identificación del responsable del tratamiento
- Información de contacto del Delegado de Protección de Datos (cuando exista)
- Posibilidad de no otorgar el consentimiento y las consecuencias de la negativa
- Derechos del titular (ARCO+) y cómo ejercerlos
Cómo gestionar las revocaciones de consentimiento
La revocación es el punto más crítico de la gestión de consentimiento — y el más frecuentemente descuidado.
La Ley 21.719 establece que el consentimiento puede ser revocado en cualquier momento por manifestación expresa del titular, mediante un procedimiento gratuito y facilitado.
¿Qué ocurre tras la revocación?
- Los tratamientos realizados antes de la revocación permanecen válidos — la revocación no es retroactiva
- Los tratamientos realizados después de la revocación deben cesar, salvo que exista otra base de licitud que los sustente
- Si no existe otra base de licitud, los datos deben ser suprimidos (o bloqueados mientras se evalúa la situación)
Cómo estructurar el proceso de revocación
- Canal accesible: el proceso de revocación debe ser tan simple como el de consentimiento — botón de baja, enlace de opt-out, formulario en el portal del titular
- Respuesta oportuna: al recibir una revocación, procésela dentro del plazo establecido (referencia: 30 días para respuesta a solicitudes ARCO+ bajo la Ley 21.719)
- Flujo interno documentado: defina quién recibe la solicitud, quién operacionaliza el cese del tratamiento, quién confirma al titular
- Verificación de dependencias: antes de cesar el tratamiento o suprimir los datos, verifique si existe otra base de licitud que sustente su conservación (obligación legal, ejercicio de derechos en proceso judicial, etc.)
- Registro: documente la revocación con fecha, canal utilizado y medidas adoptadas
Consentimiento de niños, niñas y adolescentes
La Ley 21.719 impone reglas específicas para el tratamiento de datos de menores de edad:
- El tratamiento de datos de niños, niñas y adolescentes requiere el consentimiento de su padre, madre o representante legal cuando se trate de datos que van más allá de lo estrictamente necesario para los servicios que se les presten directamente
- Está prohibido el tratamiento de datos de menores de edad para fines de publicidad dirigida
- El responsable debe implementar mecanismos para verificar que el consentimiento fue otorgado por el titular correcto
La estructura tecnológica de gestión de consentimiento
Una gestión de consentimiento eficaz requiere soporte tecnológico adecuado. Los elementos esenciales de una plataforma de gestión de consentimiento (CMP — Consent Management Platform) incluyen:
Registro centralizado de consentimientos
Un repositorio único que registre, para cada titular:
- Qué finalidades fueron autorizadas (y cuáles rechazadas)
- Fecha y hora de cada consentimiento
- Versión del aviso de privacidad vigente en el momento
- Canal por el que se recopiló el consentimiento
- Historial de cambios y revocaciones
Integración con sistemas de tratamiento
Los consentimientos registrados deben propagarse a los sistemas que realizan el tratamiento efectivo: CRM, plataforma de email marketing, sistema de analytics. Sin integración, el consentimiento existe en el papel, pero el tratamiento continúa ocurriendo.
Gestión de versiones del aviso de privacidad
Cuando el aviso de privacidad se actualiza, los titulares deben ser informados y, cuando corresponda, deben otorgar un nuevo consentimiento. El sistema debe rastrear qué versión del aviso estaba vigente en el momento de cada consentimiento recopilado.
Errores comunes a evitar
| Error | Riesgo |
|---|---|
| Usar consentimiento genérico para todas las finalidades | Consentimiento nulo — las autorizaciones genéricas son inválidas |
| Casilla de opt-in pre-marcada | No configura consentimiento válido |
| Sin registro de prueba del consentimiento | Imposible demostrar cumplimiento ante reclamación o fiscalización |
| Consentimiento único para múltiples responsables | Cada comunicación a otro responsable exige consentimiento específico |
| Canal de revocación difícil o inexistente | Violación directa de la Ley 21.719 |
| No revisar la base de licitud al recibir revocaciones | Riesgo de cesar tratamiento con otro fundamento válido — o de mantener tratamiento sin base |
| No actualizar consentimientos cuando cambia la política de privacidad | Los titulares deben ser informados y pueden revocar el consentimiento anterior |
Conclusión
El consentimiento es una base de licitud poderosa — pero con límites claros. Bien implementado, demuestra respeto genuino por la autonomía del titular y fortalece la relación de confianza. Mal implementado, crea vulnerabilidades regulatorias y operacionales.
La regla de oro: use el consentimiento cuando sea la base de licitud más adecuada, no cuando sea la más conveniente. Y cuando lo use, garantice que toda la infraestructura — recopilación, registro, gestión de revocaciones — esté operativa y auditable.
Confidata ofrece gestión integrada de bases de licitud y consentimientos, con registro auditable de cada manifestación de voluntad de los titulares e integración con los sistemas de tratamiento. Conozca nuestra plataforma.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.