Saltar al contenido principal
PrivacidadWeb
Guía10 min de lectura·

Consentimiento de Datos Personales: Qué Exige la Ley 21.719

Guía práctica sobre el consentimiento en la Ley 21.719: los 4 requisitos para que sea válido, cuándo no necesitas pedirlo, cómo obtenerlo en la web y cómo manejar su revocación.

P

PrivacidadWeb

PrivacidadWeb.cl

El consentimiento es probablemente el concepto más mencionado cuando se habla de protección de datos personales. "Tienes que pedir permiso antes de usar datos" — eso es lo que la mayoría de las empresas entiende. Y es correcto, pero incompleto.

La Ley 21.719 no exige consentimiento en todos los casos. Tiene seis bases legales válidas para tratar datos, y el consentimiento es solo una de ellas. Muchas empresas piden consentimiento innecesariamente (complicando la experiencia del cliente) o, peor, lo obtienen de formas que la ley no reconoce como válidas.

Esta guía explica cuándo necesitas consentimiento, cómo debe ser para que cuente, cuándo puedes evitarlo y cómo manejar el caso en que el titular lo revoca.

¿Qué es el consentimiento bajo la Ley 21.719?

El consentimiento es una declaración voluntaria del titular por la cual autoriza que sus datos personales sean tratados con una finalidad específica. No es un trámite burocrático ni un texto en los términos y condiciones: es un acto real de la persona que dice "acepto que uses mis datos para esto".

Para que sea jurídicamente válido bajo el Art. 12 de la Ley 21.719, debe cumplir cuatro requisitos simultáneos.

Los 4 requisitos del consentimiento válido (Art. 12)

1. Libre

El consentimiento debe ser genuinamente voluntario. No puede existir presión, coacción ni condicionamiento. Esto tiene una implicancia práctica importante: no puedes condicionar el acceso a un servicio al consentimiento para finalidades no esenciales.

Si tu e-commerce obliga al comprador a aceptar el envío de publicidad para poder completar la compra, ese consentimiento para marketing no es libre — está condicionado a recibir el servicio. La ley lo considera inválido.

Qué hacer: El consentimiento para marketing debe ser una casilla opcional y separada del proceso de compra. El cliente debe poder completar la compra sin marcarla.

2. Informado

El titular debe saber exactamente para qué está consintiendo antes de dar su aprobación. No puede ser un texto genérico del tipo "acepto el tratamiento de mis datos". Debe especificar:

  • Qué datos se van a tratar
  • Para qué finalidad concreta (enviar newsletters, hacer remarketing, compartir con socios, etc.)
  • Quién los tratará (si hay terceros involucrados)
  • Por cuánto tiempo

Qué hacer: Antes del checkbox de consentimiento, incluye un texto breve y claro que explique exactamente para qué usarás los datos. Enlaza a la Política de Privacidad para quien quiera más detalle.

3. Específico

Un solo consentimiento no puede cubrir múltiples finalidades distintas. Si quieres usar los datos del cliente para enviarle newsletter Y para compartirlos con empresas socias Y para hacerle remarketing, necesitas un consentimiento por cada finalidad.

El "bundle consent" —meter todo en una sola casilla— es inválido bajo la Ley 21.719. Si el titular acepta "todo", el consentimiento no es específico y no sirve de base legal.

Qué hacer: Crea casillas separadas para cada finalidad distinta. Un checkbox para newsletter, otro para compartir datos con socios, otro para remarketing. El titular puede aceptar unas y rechazar otras.

4. Inequívoco

El consentimiento debe ser una acción positiva y consciente del titular. No puede ser implícito, supuesto ni pre-configurado.

Los dos errores más frecuentes aquí son:

  • Casillas pre-marcadas: si el checkbox ya viene marcado y el usuario debe desmarcarlo para no aceptar, eso no es consentimiento — es una trampa
  • Consentimiento por silencio: "si no dice nada, se entiende que acepta" no es válido bajo la Ley 21.719

Qué hacer: Las casillas de consentimiento siempre deben empezar desmarcadas. El usuario las marca activamente si quiere aceptar.

Cómo obtener consentimiento en la práctica

En formularios web

El formato más común. Agrega después del formulario un checkbox por cada finalidad que requiera consentimiento, con texto claro antes de la casilla:

[ ] Acepto recibir el newsletter mensual de [Tu empresa] con novedades y
    ofertas. Puedo cancelar la suscripción en cualquier momento.

[ ] Acepto que [Tu empresa] comparta mis datos con sus empresas socias
    para enviarme ofertas de terceros. Ver política de privacidad.

Ambas casillas deben empezar desmarcadas. La primera puede ser necesaria para el servicio (si es un formulario de suscripción al newsletter), la segunda siempre debe ser opcional.

En formularios presenciales (papel)

El consentimiento en papel es válido. El formulario debe incluir el mismo texto informativo que el digital, con el espacio para la firma o iniciales del titular junto a cada casilla.

Guarda los formularios firmados durante el tiempo que uses los datos más un período razonable adicional (por ejemplo, 1 año después de la eliminación de los datos). Son tu evidencia del consentimiento.

Por teléfono o vía oral

Es válido pero difícil de documentar. Si obtienes consentimiento por teléfono (por ejemplo, en un call center), debes:

  • Informar al titular que la llamada puede grabarse para acreditar el consentimiento
  • Leer el texto informativo completo antes de obtener la aceptación
  • Registrar la fecha, hora, número de llamada y contenido del consentimiento

Por la dificultad probatoria, se recomienda confirmar el consentimiento por correo inmediatamente después de la llamada.

Las 6 bases legales alternativas al consentimiento (Art. 13)

El error más común en cumplimiento es pedir consentimiento para todo. La Ley 21.719 reconoce seis bases legales válidas para el tratamiento de datos. Si una de las otras aplica, no necesitas consentimiento — y pedirlo igualmente puede complicar tu operación (¿qué haces si el titular lo retira?).

1. Ejecución de un contrato

Cuando el tratamiento es necesario para cumplir el contrato que tienes con el titular. Guardar la dirección de entrega del cliente para enviarle su pedido, procesar su RUT para emitir la boleta, conservar su teléfono para coordinar una visita técnica — todo esto tiene base en el contrato.

Cuándo aplica: relaciones comerciales directas donde los datos son necesarios para prestar el servicio.

2. Cumplimiento de una obligación legal

Cuando una ley te obliga a tratar esos datos. Conservar datos de empleados para el SII, reportar transacciones a la CMF, guardar registros de facturación por 6 años — todo esto tiene base legal y no necesita consentimiento adicional.

Cuándo aplica: cuando la normativa tributaria, laboral, sanitaria u otra te exige tratar ciertos datos.

3. Protección de intereses vitales

Cuando el tratamiento es necesario para proteger la vida o la integridad física del titular o de un tercero. Aplica en emergencias médicas y situaciones similares.

Cuándo aplica: contextos de salud y emergencia.

4. Misión de interés público o ejercicio de poderes públicos

Para organismos del Estado que actúan en el ejercicio de sus funciones. Aplica principalmente a servicios públicos, municipalidades y entidades estatales.

5. Interés legítimo del responsable (con límites importantes)

Esta es la base más compleja y la que más requiere análisis. Puedes tratar datos sin consentimiento si tienes un interés legítimo propio que no se superpone con los derechos y libertades del titular.

El interés legítimo aplica en casos como: análisis de fraude, seguridad de redes, comunicaciones de marketing entre empresas (B2B), análisis interno de comportamiento de clientes sin perfilamiento invasivo.

El límite clave: si el titular ejerce su derecho de oposición con fundamento en su situación particular, debes cesar el tratamiento a menos que demuestres que tu interés legítimo es imperioso y prevalece sobre los del titular.

Para marketing directo a consumidores finales: el consentimiento es siempre más seguro que el interés legítimo. La oposición al marketing directo es un derecho casi absoluto bajo la Ley 21.719.

6. Tratamiento de datos provenientes de fuentes de acceso público

Si los datos son de acceso público (registros oficiales, redes sociales con perfil público, información en medios de comunicación), pueden tratarse sin consentimiento siempre que la finalidad sea compatible con el contexto original de publicación.

Consentimiento para datos sensibles: requisitos adicionales

Cuando los datos que tratas son sensibles — salud, biometría, orientación sexual, religión, origen étnico, opiniones políticas, afiliación sindical (Art. 16) — el consentimiento debe ser expreso y por escrito (o en formato electrónico equivalente). No basta con un checkbox implícito en términos y condiciones.

Además:

  • Debe referirse específicamente a los datos sensibles (no puede estar incluido en un consentimiento genérico)
  • Debe explicar la finalidad exacta para esos datos sensibles
  • El titular tiene derecho a revocar ese consentimiento con efectos inmediatos

Ejemplo práctico: Si tu gimnasio usa escáner de huella dactilar para el control de acceso, necesitas un consentimiento específico, por escrito, que explique que se recopilan datos biométricos con esa finalidad. No puede estar enterrado en el contrato de membresía.

Para profundizar en los sectores con más exposición a datos sensibles, revisa nuestra guía de multas de la Ley 21.719.

Consentimiento de menores de edad: reglas especiales

Cuando el titular de los datos es menor de edad, el consentimiento debe otorgarlo su padre, madre o representante legal. El menor no puede consentir por sí mismo, salvo que tenga la madurez suficiente para comprender las implicancias — lo que la ley determina caso a caso.

Para empresas que tratan datos de menores (colegios, academias, plataformas de entretenimiento, apps educativas), esto implica:

  • Incluir en el formulario de matrícula o registro una sección donde el apoderado consiente el tratamiento de datos del menor
  • Obtener consentimiento separado para cualquier uso más allá de la prestación del servicio educativo (fotos en redes sociales, compartir datos con terceros, evaluaciones diagnósticas)
  • No usar datos de menores para marketing directo bajo ninguna circunstancia

Revocación del consentimiento: cómo manejarla

El titular puede retirar su consentimiento en cualquier momento. La revocación debe ser tan fácil como fue darlo: si el titular consintió marcando un checkbox en tu web, debe poder revocar con la misma facilidad (un botón de baja, un enlace de unsubscribe, un formulario simple).

¿Qué pasa con los datos cuando el titular revoca su consentimiento?

Si el consentimiento era la única base legal para el tratamiento, debes cesar el uso de los datos para esa finalidad de forma inmediata. Si tienes otra base legal válida (por ejemplo, el contrato sigue vigente y los datos son necesarios para prestarlo), puedes continuar tratando los datos bajo esa otra base — pero debes comunicárselo al titular.

Importante: la revocación del consentimiento no tiene efecto retroactivo. El tratamiento realizado antes de la revocación, cuando el consentimiento era válido, fue legítimo.

Ejemplo práctico: Un suscriptor de tu newsletter hace clic en "unsubscribe". Debes darlo de baja de tu lista de Mailchimp de forma inmediata. No puedes seguir enviándole correos bajo la excusa de que "el sistema tarda unos días en actualizar".

Errores comunes que invalidan el consentimiento

Casillas pre-marcadas. El consentimiento requiere una acción positiva. Si la casilla ya viene marcada, el usuario no ha consentido — ha tenido que trabajar para no hacerlo.

Consentimiento enterrado en los Términos y Condiciones. "Al usar este sitio acepta nuestra política de privacidad y el uso de sus datos" no es un consentimiento válido para finalidades que lo requieran. El consentimiento debe ser separado y específico.

Bundle consent. Una sola casilla que diga "Acepto el uso de mis datos para personalización, marketing, compartir con socios y análisis estadístico" no es un consentimiento específico. Cada finalidad necesita su propio consentimiento.

No documentar. Si no puedes demostrar que obtuviste el consentimiento, es como si no lo hubieras obtenido. Guarda el registro de cuándo, cómo y para qué cada titular consintió.

No ofrecer opción de revocación. Si no hay un mecanismo fácil para retirar el consentimiento, el consentimiento original pierde validez. Incluye siempre un enlace de baja o un canal de contacto para revocar.

Para generar formularios de consentimiento válidos para tu tipo de negocio, usa nuestra herramienta gratuita. También te recomendamos revisar la guía completa de la Ley 21.719 para entender el contexto completo del cumplimiento.

Genera tu Formulario de Consentimiento gratis →

Preguntas frecuentes

¿Necesito nuevo consentimiento si cambio la finalidad para la que uso los datos?

Sí. Si quieres usar datos que recopilaste para una finalidad (gestionar un pedido) para una finalidad nueva (enviar marketing), necesitas una nueva base legal. Si esa nueva finalidad requiere consentimiento, debes obtenerlo explícitamente. No puedes inferir que el titular acepta el nuevo uso porque no se opuso.

¿El consentimiento en los Términos y Condiciones es válido?

No para finalidades que requieran consentimiento específico. Un texto en los T&C que diga "al registrarte aceptas que usemos tus datos para marketing" no cumple con los requisitos de ser libre, informado, específico e inequívoco. Se necesita un acto separado y positivo del titular.

Si el consentimiento es revocado, ¿tengo que eliminar los datos?

Depende. Si el consentimiento era la única base legal para el tratamiento, debes cesar el uso de los datos para esa finalidad. Pero no necesariamente eliminarlos: si tienes otra base legal (por ejemplo, obligación legal de conservar ciertos documentos), puedes conservar los datos sin seguir usándolos para la finalidad que requería consentimiento. Siempre informa al titular de tu decisión.

¿Puedo usar el consentimiento tácito para datos de comportamiento web?

No. La Ley 21.719 exige consentimiento inequívoco, que excluye el consentimiento tácito o por silencio. Para cookies de analytics y marketing, el banner de cookies con una acción afirmativa del usuario es el mecanismo correcto. Las cookies técnicas estrictamente necesarias para el funcionamiento del sitio no requieren consentimiento, pero sí deben informarse.

¿El consentimiento tiene fecha de vencimiento?

La ley no establece un plazo de vencimiento automático. Sin embargo, si pasa mucho tiempo desde el consentimiento original y las condiciones han cambiado significativamente (nuevas finalidades, nuevos destinatarios, cambios en el servicio), es buena práctica renovar el consentimiento. Para datos sensibles, la renovación periódica es especialmente recomendable.

Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos personales.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🌐Guía

Transferencia Internacional de Datos: Requisitos bajo la Ley 21.719

Si usas Gmail, AWS, HubSpot, Stripe o cualquier SaaS extranjero, estás haciendo transferencia internacional de datos. Guía práctica para regularizarla bajo la Ley 21.719.

📋Guía

Ley 21.719: La Nueva Ley de Datos Personales en Chile — Guía Completa (2026)

Todo sobre la nueva ley de datos personales en Chile (Ley 21.719): plazos, multas de hasta $1.400M CLP, derechos ARCOP, obligaciones y cómo preparar tu empresa antes de diciembre 2026.

👤Guía

Delegado de Protección de Datos (DPO): ¿Tu Empresa lo Necesita?

¿Cuándo la Ley 21.719 exige designar un DPO en Chile? Análisis práctico para pymes: cuándo es obligatorio, qué funciones tiene y cuál es la alternativa si no aplica.