El fin de las casillas premarcadas y el tránsito hacia la responsabilidad proactiva en los gobiernos corporativos.
Introducción
La promulgación de la Ley 21.719 marca una profunda reforma a la legislación sobre protección de datos personales en Chile, alineando el marco local con los más altos estándares internacionales, como el Reglamento General de Protección de Datos (RGPD) de Europea. https://www.boe.es/doue/2016/119/L00001-00088.pdf. En esta nueva arquitectura legal, el consentimiento se erige como la regla general que otorga licitud al tratamiento de la información. Para la Alta Dirección y los comités de riesgo, comprender el alcance de este cambio no es un asunto meramente normativo, sino un pilar crítico para asegurar la continuidad operativa y la resiliencia corporativa.
1. Requisitos del consentimiento válido: El fin de las casillas premarcadas
Un aspecto estructural que los gobiernos corporativos deben auditar de inmediato es la libertad en la entrega del dato. La Ley 21.719 https://bcn.cl/GapReB establece la presunción de que el consentimiento no ha sido libremente otorgado cuando se recaba en el marco de un contrato o la prestación de un servicio en el cual dicha recolección no es estrictamente necesaria para el cumplimiento de la obligación principal. Las empresas están obligadas a separar las finalidades: los datos recopilados para la ejecución de un servicio deben ir en canales independientes de aquellos destinados a fines accesorios, como el marketing o el perfilamiento comercial.
Asimismo, el listón regulatorio se eleva significativamente cuando se trata de categorías especiales. Para el tratamiento de datos sensibles —como la información de salud o datos biométricos (huella digital, reconocimiento facial e iris)—, la norma exige un consentimiento de carácter expreso, formalizado mediante una declaración escrita, verbal o un medio tecnológico equivalente.
3. Revocabilidad y la inversión de la carga de la prueba
La gestión del consentimiento no concluye con su obtención; la ley consagra el derecho del titular a revocar su autorización en cualquier momento y sin expresión de causa. Los sujetos obligados deben implementar canales tecnológicos y operativos que cumplan con las siguientes características institucionales:
- Equivalencia de medios: El proceso para retirar el consentimiento debe ser similar o equivalente al utilizado para otorgarlo. Si un usuario entregó sus datos mediante un clic en una aplicación, debe poder revocarlos a través de la misma vía.
- Accesibilidad técnica: Los mecanismos de revocación deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el público.
El cambio de paradigma más exigente para los equipos legales radica en la carga de la prueba. En caso de una fiscalización o reclamación, corresponde exclusivamente al responsable de los datos probar que contó con el consentimiento válido del titular y que el tratamiento se realizó de forma lícita. Esto obliga a transitar hacia un modelo de responsabilidad proactiva (accountability), donde la organización cuente con una trazabilidad auditable del ciclo de vida del dato.
4. Gestión de riesgos: Infracciones y sanciones
La inadecuación a los parámetros del consentimiento expone a las organizaciones a contingencias financieras severas. Tratar, comunicar o ceder datos personales sin la debida autorización cuando esta es exigible, o destinarlos a una finalidad distinta a la consentida, constituye una infracción grave que contempla multas de hasta 10.000 UTM. Más aún, destinar maliciosamente los datos a una finalidad ajena a la autorizada se tipifica como una infracción gravísima, con sanciones que pueden alcanzar las 20.000 UTM.
Conclusión
El cumplimiento de la Ley 21.719 requiere un enfoque sistémico que incorpore medidas técnicas y organizativas desde el diseño y por defecto. El consentimiento ya no puede abordarse como un mero trámite legal de letra pequeña; constituye un acto de confianza explícito e independiente. Las empresas que adopten tempranamente procesos auditables y transparentes transformarán la gobernanza de datos de una obligación regulatoria en una ventaja estratégica inestimable.
AG & ASOCIADOS | Consultoría Estratégica en Gestión de Riesgos Penales, Cibergobernanza Corporativa y Datos bajo Marcos Internacionales.


