El nuevo estándar del consentimiento en la Ley 21.719: Desafíos para Directorios

Comparte:

El fin de las casillas premarcadas y el tránsito hacia la responsabilidad proactiva en los gobiernos corporativos.

Introducción

La promulgación de la Ley 21.719 marca una profunda reforma a la legislación sobre protección de datos personales en Chile, alineando el marco local con los más altos estándares internacionales, como el Reglamento General de Protección de Datos (RGPD) de Europea. https://www.boe.es/doue/2016/119/L00001-00088.pdf. En esta nueva arquitectura legal, el consentimiento se erige como la regla general que otorga licitud al tratamiento de la información. Para la Alta Dirección y los comités de riesgo, comprender el alcance de este cambio no es un asunto meramente normativo, sino un pilar crítico para asegurar la continuidad operativa y la resiliencia corporativa.

1. Requisitos del consentimiento válido: El fin de las casillas premarcadas

Un aspecto estructural que los gobiernos corporativos deben auditar de inmediato es la libertad en la entrega del dato. La Ley 21.719 https://bcn.cl/GapReB establece la presunción de que el consentimiento no ha sido libremente otorgado cuando se recaba en el marco de un contrato o la prestación de un servicio en el cual dicha recolección no es estrictamente necesaria para el cumplimiento de la obligación principal. Las empresas están obligadas a separar las finalidades: los datos recopilados para la ejecución de un servicio deben ir en canales independientes de aquellos destinados a fines accesorios, como el marketing o el perfilamiento comercial.

Asimismo, el listón regulatorio se eleva significativamente cuando se trata de categorías especiales. Para el tratamiento de datos sensibles —como la información de salud o datos biométricos (huella digital, reconocimiento facial e iris)—, la norma exige un consentimiento de carácter expreso, formalizado mediante una declaración escrita, verbal o un medio tecnológico equivalente.

3. Revocabilidad y la inversión de la carga de la prueba

La gestión del consentimiento no concluye con su obtención; la ley consagra el derecho del titular a revocar su autorización en cualquier momento y sin expresión de causa. Los sujetos obligados deben implementar canales tecnológicos y operativos que cumplan con las siguientes características institucionales:

  • Equivalencia de medios: El proceso para retirar el consentimiento debe ser similar o equivalente al utilizado para otorgarlo. Si un usuario entregó sus datos mediante un clic en una aplicación, debe poder revocarlos a través de la misma vía.
  • Accesibilidad técnica: Los mecanismos de revocación deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el público.

El cambio de paradigma más exigente para los equipos legales radica en la carga de la prueba. En caso de una fiscalización o reclamación, corresponde exclusivamente al responsable de los datos probar que contó con el consentimiento válido del titular y que el tratamiento se realizó de forma lícita. Esto obliga a transitar hacia un modelo de responsabilidad proactiva (accountability), donde la organización cuente con una trazabilidad auditable del ciclo de vida del dato.

4. Gestión de riesgos: Infracciones y sanciones

La inadecuación a los parámetros del consentimiento expone a las organizaciones a contingencias financieras severas. Tratar, comunicar o ceder datos personales sin la debida autorización cuando esta es exigible, o destinarlos a una finalidad distinta a la consentida, constituye una infracción grave que contempla multas de hasta 10.000 UTM. Más aún, destinar maliciosamente los datos a una finalidad ajena a la autorizada se tipifica como una infracción gravísima, con sanciones que pueden alcanzar las 20.000 UTM.


Conclusión

El cumplimiento de la Ley 21.719 requiere un enfoque sistémico que incorpore medidas técnicas y organizativas desde el diseño y por defecto. El consentimiento ya no puede abordarse como un mero trámite legal de letra pequeña; constituye un acto de confianza explícito e independiente. Las empresas que adopten tempranamente procesos auditables y transparentes transformarán la gobernanza de datos de una obligación regulatoria en una ventaja estratégica inestimable.

AG & ASOCIADOS | Consultoría Estratégica en Gestión de Riesgos Penales, Cibergobernanza Corporativa y Datos bajo Marcos Internacionales.

Alejandra Guevara Mendoza

Directora AG & ASOCIADOS

Alejandra Guevara es abogada, candidata a Máster en Derecho Digital y especialista certificada en Internacional Compliance. Cuenta con postgrados de especialización en Derecho Penal, Victimología, y Criminología y Delincuencia. Con más de dos décadas de trayectoria en el área de persecución penal , en donde se desempeñó, entre otras funciones , como Fiscal Adjunta especializada en Delitos económicos, crimen organizado y lavado de activos , hoy aplica ese conocimiento estratégico en la gestión de riesgos concurrentes y la adecuación de gobiernos corporativos ante los nuevos estándares regulatorios en Chile. Es Socia Fundadora de AG & ASOCIADOS.

Directora intelectual y editora comprometida con el Accountability Digital.