Interés legítimo en la Ley 21.719: test de balanceo, ejemplos y límites
El interés legítimo es la base de licitud más usada — y la más malentendida — en la protección de datos. Muchas organizaciones la tratan como comodín: "no sé qué base de licitud usar, voy a poner interés legítimo." Pero la Ley 21.719 impone requisitos específicos, y el modelo europeo que la inspiró — el GDPR — cuenta ya con años de jurisprudencia de las autoridades de supervisión que demuestra que el uso indebido del interés legítimo tiene consecuencias reales.
Este guía detalla cómo usar el interés legítimo correctamente: los requisitos legales, el test de balanceo recomendado, ejemplos concretos de uso legítimo y vedado, y una plantilla de análisis completada.
Qué exige la Ley 21.719 para el interés legítimo
La Ley 21.719 reconoce el interés legítimo como condición de licitud para el tratamiento de datos personales no sensibles. El tratamiento es lícito cuando es necesario para satisfacer un interés legítimo del responsable del tratamiento o de un tercero, siempre que no prevalezcan los derechos y libertades del titular de los datos — especialmente cuando se trate de un menor de edad.
Requisitos clave
- Finalidades legítimas — compatibles con el ordenamiento jurídico
- Necesidad concreta — el tratamiento debe ser necesario para el fin pretendido (no basta una relación vaga)
- Legítimas expectativas del titular — ¿esperaría razonablemente el titular este uso de sus datos?
- Ponderación de derechos — los derechos y libertades fundamentales no pueden ser desplazados
Restricción para datos sensibles — VEDADO
La Ley 21.719, siguiendo el modelo GDPR, no incluye el interés legítimo entre las condiciones de licitud para el tratamiento de datos sensibles (salud, biometría, origen étnico o racial, opiniones políticas, creencias religiosas, orientación sexual, datos genéticos, entre otras categorías especiales). Esta es una diferencia crucial: en Chile, como en la Unión Europea, el interés legítimo no puede usarse para tratar datos sensibles. Si los datos son sensibles, se requiere una base habilitante específica de las previstas para esa categoría.
Obligación de documentación y transparencia
El responsable del tratamiento debe:
- Documentar el análisis que respalda el uso del interés legítimo antes de iniciar el tratamiento
- Informar al titular sobre el tratamiento basado en interés legítimo y cuál es ese interés
- Facilitar el ejercicio del derecho de oposición del titular (opt-out)
El test de balanceo en 3 fases
La práctica consolidada del GDPR — que es el modelo del que se deriva la Ley 21.719 — estructura el análisis de interés legítimo en 3 fases:
Fase 1 — Finalidad (legitimidad del interés)
Preguntas a responder:
- ¿Cuál es el interés concreto que justifica el tratamiento?
- ¿Ese interés es legítimo (compatible con la ley)?
- ¿Está basado en una situación concreta (no hipotética)?
- ¿Quién es el beneficiario — el responsable o un tercero?
Ejemplo práctico: "Necesitamos enviar comunicaciones sobre nuevos productos a clientes que compraron en los últimos 12 meses." El interés es concreto (mantenimiento de relación comercial), legítimo (el marketing directo es una actividad lícita) y basado en una situación concreta (clientes existentes con compra reciente).
Fase 2 — Necesidad
Preguntas a responder:
- ¿Los datos tratados son estrictamente necesarios para la finalidad?
- ¿Existen formas menos intrusivas de alcanzar el mismo objetivo?
- ¿Los datos están actualizados y son relevantes?
Ejemplo práctico: para enviar comunicaciones sobre nuevos productos, necesito nombre, correo electrónico e historial de compras. No necesito RUT, domicilio o fecha de nacimiento — esos datos serían excesivos para la finalidad.
Fase 3 — Balanceo y salvaguardas
Preguntas a responder:
- ¿Los derechos y libertades fundamentales del titular prevalecen sobre el interés del responsable?
- ¿El titular esperaría razonablemente este uso de sus datos? (legítimas expectativas)
- ¿Qué salvaguardas se implementarán para mitigar los riesgos?
- ¿El titular puede oponerse fácilmente al tratamiento? (opt-out accesible)
Ejemplo práctico: los clientes que compraron recientemente tienen una expectativa razonable de recibir comunicaciones sobre productos similares. Salvaguardas: opt-out fácil en todas las comunicaciones, frecuencia limitada, datos mínimos, sin compartición con terceros.
10 ejemplos concretos de uso legítimo
1. Prevención del fraude
Escenario: un banco analiza patrones de transacciones para detectar actividades sospechosas en tiempo real.
Justificación: protección del titular y del responsable frente al fraude. Situación concreta y finalidad legítima. El titular espera que el banco proteja su cuenta.
2. Seguridad de red y sistemas
Escenario: una empresa monitorea logs de acceso y tráfico de red para detectar intrusiones y vulnerabilidades.
Justificación: protección de la infraestructura y de los datos de los titulares. El monitoreo es necesario y proporcional.
3. Marketing directo para clientes existentes
Escenario: un e-commerce envía newsletter con promociones a clientes que compraron en los últimos 12 meses.
Justificación: interés legítimo del responsable para mantener la relación comercial. El cliente tiene expectativa razonable. El opt-out debe estar disponible.
4. Due diligence en operaciones societarias
Escenario: una empresa en proceso de adquisición analiza datos de clientes y proveedores de la empresa objetivo para evaluar riesgos.
Justificación: interés legítimo de tercero (potencial comprador). Finalidad legítima (evaluación de riesgos comerciales), situación concreta (operación en curso).
5. CRM y analítica interna
Escenario: una empresa analiza patrones de uso de su producto para mejorar la experiencia del cliente e identificar oportunidades de upsell.
Justificación: interés del responsable para mejorar su servicio. Datos no sensibles. El titular espera mejora del servicio.
6. Cobranza extrajudicial
Escenario: una empresa contacta al deudor por correo y teléfono para cobrar una deuda vencida.
Justificación: ejercicio regular de los derechos del responsable. Situación concreta (deuda existente). Tratamiento proporcional.
7. Videovigilancia en establecimiento comercial
Escenario: una tienda instala cámaras de seguridad para protección patrimonial.
Justificación: la protección patrimonial es un interés legítimo. Proporcionalidad: cámaras en áreas comunes (no en baños ni vestidores). Carteles informativos. Plazo de retención definido.
8. Verificación de antecedentes de candidatos
Escenario: una empresa verifica información pública de un candidato en fase final de selección (redes sociales públicas, certificados de antecedentes).
Justificación: interés legítimo del responsable en verificar la idoneidad del candidato. Limitado a información públicamente accesible y relevante para la función.
9. Compartición dentro del grupo empresarial
Escenario: una holding comparte datos de clientes entre subsidiarias para gestión integrada.
Justificación: interés legítimo de tercero (subsidiaria). Salvaguardas: contrato de encargo entre empresas del grupo, mismas políticas de privacidad, información al titular.
10. Encuesta de satisfacción
Escenario: una empresa envía encuesta NPS por correo electrónico tras la prestación de un servicio.
Justificación: interés del responsable para mejorar su servicio. El titular tiene expectativa razonable. Opt-out disponible. Datos mínimos.
5 ejemplos de cuándo NO usar el interés legítimo
1. Datos sensibles — VEDADO
Escenario: una clínica alega interés legítimo para compartir diagnósticos de pacientes con una empresa de analytics de salud.
Por qué no: el interés legítimo no está disponible como base de licitud para datos sensibles bajo la Ley 21.719. Punto final. Use la base de licitud específica aplicable (tutela de la salud, consentimiento explícito u otra).
2. Perfilamiento invasivo
Escenario: una empresa de telecomunicaciones monitorea todos los sitios visitados por sus suscriptores para crear perfiles detallados de comportamiento y venderlos a anunciantes.
Por qué no: el titular no espera ese nivel de vigilancia. Los derechos y libertades fundamentales prevalecen. La finalidad (venta de perfiles) es desproporcionada respecto al tratamiento.
3. Datos de menores sin salvaguardas reforzadas
Escenario: una red social recopila datos de navegación de adolescentes para alimentar un algoritmo de recomendación sin medidas de protección específicas.
Por qué no: la Ley 21.719 establece que cuando el titular sea un menor de edad, el interés legítimo exige que prevalezca el interés superior del niño. Las salvaguardas reforzadas son obligatorias.
4. Vigilancia desproporcionada de empleados
Escenario: una empresa instala keylogger en los computadores de todos sus empleados, monitoreando cada tecla, sitio visitado y mensaje personal.
Por qué no: desproporcionado. Viola las legítimas expectativas de privacidad. Existen medios menos intrusivos para garantizar la productividad y la seguridad.
5. Venta de datos personales a terceros
Escenario: una aplicación de delivery vende su base de datos de clientes (nombre, domicilio, hábitos de consumo) a una empresa de marketing directo.
Por qué no: el titular no consentiría ni esperaría ese uso. La monetización de los datos del titular para beneficio exclusivo del responsable, en detrimento del titular, es el tipo de tratamiento que el interés legítimo no puede habilitar.
Interés legítimo del responsable vs. de un tercero
La Ley 21.719, como el GDPR, admite el interés legítimo tanto del responsable como de un tercero. Esto amplía significativamente las posibilidades:
Interés legítimo del responsable
Es el caso más habitual: la propia organización que trata los datos tiene un interés legítimo para hacerlo. Todos los ejemplos anteriores (1 a 10) son de este tipo.
Interés legítimo de un tercero
Un tercero (no el responsable) tiene interés legítimo en el tratamiento:
- Grupo empresarial: una subsidiaria tiene interés en recibir datos de clientes de la matriz
- Acreedor: tiene interés en recibir datos del deudor para cobranza
- Inversionista: tiene interés en datos de la empresa objetivo durante una due diligence
- Entidad pública: en situaciones que no se encuadren en otras bases de licitud del sector público
El responsable continúa siendo el responsable del tratamiento — pero la justificación proviene del interés de un tercero. El test de balanceo debe evaluar si ese interés de tercero es legítimo, necesario y si no prevalece sobre los derechos del titular.
Diferencia entre Ley 21.719 y GDPR en el interés legítimo
La Ley 21.719 sigue el modelo del GDPR en este punto con algunas particularidades propias:
| Aspecto | Ley 21.719 | GDPR (Art. 6(1)(f)) |
|---|---|---|
| Datos sensibles | Vedado (no incluido en bases especiales) | No disponible directamente — requiere además una excepción del Art. 9(2) del GDPR; en la práctica, el interés legítimo solo no basta para datos sensibles |
| Menores de edad | Prevalece el interés superior del niño | Aplicación restrictiva bajo el Art. 8 |
| Transparencia | Obligatoria — informar al titular el interés legítimo | Obligación general de información |
| Derecho de oposición | Reconocido — titular puede oponerse al tratamiento | Reconocido — Art. 21 |
| EIPD | Puede ser requerida por la APDP | Puede ser requerida por la autoridad de control |
| Sector público | Aplicable con limitaciones | Con restricciones específicas para autoridades públicas |
Implicación práctica: las organizaciones que operan en Chile y en la Unión Europea pueden en líneas generales aplicar el mismo rigor de análisis — el modelo es sustancialmente compatible.
Plantilla de análisis de interés legítimo completada
Identificación
| Campo | Contenido |
|---|---|
| Organización | [Nombre de la Empresa S.A.] |
| Actividad de tratamiento | Envío de newsletter con ofertas personalizadas a clientes activos |
| Responsable del análisis | [Nombre], Delegado de Protección de Datos |
| Fecha | [DD/MM/AAAA] |
| Versión | 1.0 |
Fase 1 — Finalidad
| Pregunta | Respuesta |
|---|---|
| ¿Cuál es el interés? | Promover productos y servicios a clientes que compraron en los últimos 12 meses, aumentando la recompra y los ingresos |
| ¿Es legítimo? | Sí — el marketing directo a clientes existentes es una actividad lícita |
| ¿Es concreto? | Sí — basado en relación comercial existente e historial de compras |
| Beneficiario | Responsable (empresa) y, de forma indirecta, el titular (ofertas relevantes) |
Fase 2 — Necesidad
| Pregunta | Respuesta |
|---|---|
| ¿Qué datos se tratan? | Nombre, correo electrónico, historial de compras (últimos 12 meses), preferencias de producto |
| ¿Son estrictamente necesarios? | Sí — nombre para personalización, correo para envío, historial para relevancia |
| ¿Datos excesivos identificados? | RUT, domicilio, teléfono NO se utilizan en esta actividad |
| ¿Alternativa menos intrusiva? | Newsletter genérica (sin personalización) — pero sería menos útil para el titular |
Fase 3 — Balanceo y salvaguardas
| Pregunta | Respuesta |
|---|---|
| Legítimas expectativas | Sí — el cliente que compró recientemente espera comunicaciones de la empresa |
| Impacto en el titular | Bajo — correo periódico, sin datos sensibles, sin perfilamiento invasivo |
| Derechos fundamentales | No prevalecen — impacto mínimo, finalidad proporcional |
| Salvaguardas implementadas | |
| Opt-out | Enlace de baja en todas las comunicaciones |
| Frecuencia | Máximo 2 correos por semana |
| Transparencia | Informado en la política de privacidad y en el correo de bienvenida |
| Minimización | Solo datos necesarios para la finalidad |
| Seguridad | Datos almacenados con cifrado, acceso restringido al equipo de marketing |
| Retención | Datos de marketing retenidos mientras el titular sea cliente activo; eliminados 12 meses después del último opt-out |
Conclusión del análisis
El interés legítimo del responsable prevalece sobre los derechos del titular en este caso específico, considerando: (i) bajo impacto en el titular, (ii) legítimas expectativas satisfechas, (iii) salvaguardas adecuadas implementadas, (iv) opt-out fácil y accesible.
Resultado: ✅ El interés legítimo es base de licitud adecuada para esta actividad.
Cómo documentar el análisis
El análisis de interés legítimo (equivalente al LIA del modelo europeo) debe ser:
- Documentado por escrito — nunca solo "decidido mentalmente"
- Fechado — anterior al inicio del tratamiento (o documentado retroactivamente con justificación)
- Firmado por el Delegado o el responsable de protección de datos
- Archivado — disponible para presentación a la APDP si se solicita
- Revisado periódicamente — cuando cambian las circunstancias, finalidades o impactos
- Vinculado al Registro de Tratamientos — el registro de actividades debe indicar la base de licitud y referenciar el análisis
El interés legítimo no es carta blanca — límites claros
El caso Meta como precedente internacional
En julio de 2024, la autoridad de protección de datos de Brasil (ANPD) emitió una medida preventiva suspendiendo el uso de datos personales de Facebook e Instagram por parte de Meta para entrenar IA generativa. Meta alegaba interés legítimo como base de licitud. La autoridad rechazó el argumento, fundamentando:
- Uso inadecuado del interés legítimo, especialmente por involucrar datos potencialmente sensibles (fotos, interacciones que revelan preferencias)
- Falta de transparencia adecuada
- Datos de menores y adolescentes sin salvaguardas específicas
- El titular no tendría expectativa razonable de que sus fotos y publicaciones fueran usadas para entrenar IA
Este caso ilustra el tipo de análisis que realizan las autoridades de supervisión — incluyendo lo que se espera que haga la APDP una vez esté en plena operación.
Lecciones para organizaciones chilenas
- El interés legítimo requiere análisis caso a caso — no es una base de licitud genérica
- La transparencia deficiente invalida la base de licitud
- Los datos de menores exigen salvaguardas reforzadas — también bajo el interés legítimo
- La APDP podrá fiscalizar activamente el uso correcto del interés legítimo
Checklist para el uso del interés legítimo
- Verificar que los datos NO son sensibles (el interés legítimo no está disponible para datos sensibles bajo la Ley 21.719)
- Identificar un interés concreto y legítimo (no genérico)
- Realizar el test de balanceo en 3 fases (finalidad, necesidad, balanceo)
- Documentar el análisis por escrito, fechado y firmado
- Tratar solo datos estrictamente necesarios
- Implementar transparencia reforzada — informar al titular sobre el tratamiento y el interés legítimo
- Facilitar el ejercicio del derecho de oposición (opt-out accesible)
- Implementar salvaguardas proporcionales al riesgo
- Vincular el análisis al Registro de Tratamientos
- Tener una EIPD lista para presentar a la APDP si fuera requerida
- Considerar las legítimas expectativas del titular
- Revisar periódicamente cuando las circunstancias cambien
- Si involucra menores: salvaguardas reforzadas + interés superior del niño
Conclusión
El interés legítimo es una base de licitud poderosa cuando se usa correctamente — y un riesgo cuando se usa como atajo para evitar el consentimiento. El marco de la Ley 21.719, inspirado en el GDPR, es claro: no basta alegar interés legítimo. Hay que demostrar una finalidad legítima, concreta, necesaria, debidamente balanceada contra los derechos del titular y con salvaguardas adecuadas.
El análisis de balanceo no es burocracia — es la documentación que protege a su organización cuando la APDP cuestione su elección de base de licitud. Y como demuestran los precedentes internacionales, las autoridades de supervisión no dudan en actuar cuando el interés legítimo se usa indebidamente.
Confidata ofrece funcionalidades para la gestión de bases de licitud y documentación de cumplimiento: registro de base de licitud por actividad de tratamiento, plantillas de análisis de interés legítimo integradas al Registro de Tratamientos, EIPD con campos específicos para interés legítimo y gestión de evidencias para auditoría — todo en una plataforma que centraliza la gobernanza de protección de datos.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.