No todos los datos personales tienen el mismo nivel de riesgo. El nombre y correo de un cliente son datos personales, pero si llegan a manos equivocadas el daño es limitado. El diagnóstico de VIH de un paciente, el resultado de una prueba de orientación sexual en un proceso de selección de personal, o las huellas dactilares almacenadas en una base de datos de control de acceso son otra cosa: su exposición puede causar discriminación, violencia, pérdida de empleo o daño irreparable a la dignidad de una persona.
La Ley 21.719 reconoce esta diferencia y establece un régimen de protección reforzada para las categorías de datos que llama sensibles. Tratarlos sin base legal es la infracción más grave de la ley: hasta 20.000 UTM (~$1.340M CLP).
Esta guía explica qué son los datos sensibles, qué categorías contempla la ley, cuándo puedes tratarlos y qué medidas adicionales exige su protección.
Qué son los datos sensibles (Art. 16)
La Ley 21.719 define como datos sensibles aquellos que, por su naturaleza, afectan de manera especialmente intensa la privacidad, la dignidad o los derechos fundamentales de las personas. Son datos cuya exposición puede dar lugar a discriminación, estigmatización o daño en esferas especialmente íntimas de la vida de alguien.
El Art. 16 de la ley establece la siguiente lista de categorías:
Datos de salud física o mental. Cualquier información relativa al estado de salud de una persona: diagnósticos, tratamientos, medicamentos, historial clínico, condiciones crónicas, datos de exámenes médicos. Es la categoría más frecuente en el contexto empresarial chileno.
Datos biométricos. Características físicas o conductuales que permiten identificar de forma unívoca a una persona: huella dactilar, reconocimiento facial, iris, geometría de la mano, reconocimiento de voz. Son sensibles cuando se usan para identificar a personas, no cuando se usan para otros fines (ej: una foto de perfil no es dato biométrico).
Datos de origen racial o étnico. Información que permite identificar o inferir la pertenencia de una persona a un grupo racial o étnico.
Opiniones políticas. Información sobre la orientación, militancia o actividad política de una persona.
Convicciones religiosas o filosóficas. Creencias espirituales, afiliación religiosa, convicciones filosóficas o morales.
Orientación sexual e identidad de género. Información sobre la vida sexual o afectiva de una persona, su orientación sexual o su identidad de género.
Afiliación sindical. Pertenencia a sindicatos, federaciones u organizaciones de trabajadores.
Datos de condenas penales e infracciones. Antecedentes penales, delitos imputados, condenas cumplidas o pendientes.
Qué cambia con los datos sensibles: el régimen reforzado
Para datos "normales", la Ley 21.719 establece un conjunto de obligaciones base: base legal, deber de información, RAT, seguridad proporcional. Para datos sensibles, ese conjunto se intensifica en cuatro dimensiones:
1. La base legal es más exigente. El consentimiento debe ser expreso y por escrito (o equivalente electrónico). Un checkbox implícito en los términos y condiciones no sirve. El titular debe dar una autorización específica, consciente y documentable.
2. El alcance del consentimiento es más estrecho. Un consentimiento para datos sensibles solo cubre la finalidad exactamente descrita. No puede extenderse a usos adicionales no especificados.
3. Las medidas de seguridad deben ser reforzadas. La proporcionalidad al riesgo exige más: cifrado de datos en reposo, control de acceso estricto por rol, registros de auditoría de accesos, y en algunos casos separación física o lógica de estos datos respecto a los demás.
4. Las sanciones son las más severas. Tratar datos sensibles sin base legal válida es una infracción gravísima: hasta 20.000 UTM (~$1.340M CLP). No existe "primera infracción con amonestación" para este tipo de violación.
Cuándo puedes tratar datos sensibles: bases de legitimidad
Dado que el consentimiento no siempre es posible (un paciente en urgencias no puede firmar formularios), la Ley 21.719 contempla bases alternativas para el tratamiento de datos sensibles:
Consentimiento expreso del titular (la base principal y más segura): por escrito o en formato electrónico equivalente, específico para los datos sensibles en cuestión.
Interés vital: cuando el tratamiento es necesario para proteger la vida o integridad física del titular o de un tercero, y el titular no puede dar su consentimiento (ej: un paciente inconsciente en urgencias).
Obligación legal específica: cuando una ley exige expresamente el tratamiento de esa categoría de datos sensibles. Por ejemplo, la normativa de mutuales de seguridad laboral que obliga a reportar accidentes de trabajo con datos de salud.
Entidades sin fines de lucro con fines legítimos: asociaciones políticas, sindicatos, organizaciones religiosas pueden tratar datos de sus miembros sobre las categorías relevantes para su misión, siempre que no los divulguen a terceros sin consentimiento.
Datos manifiestamente públicos: si el propio titular ha hecho públicos sus datos sensibles voluntariamente (un político que publica su afiliación partidaria, un activista que hace pública su orientación sexual), pueden tratarse limitadamente para los fines para los que fueron publicados.
Defensa de derechos legales: en procedimientos judiciales o administrativos donde el tratamiento es necesario para reclamar o defender derechos.
Datos de salud: el caso más común para pymes
Los datos de salud son la categoría sensible que más frecuentemente afecta a pymes y profesionales independientes. Muchos negocios tratan datos de salud sin identificarlos como tales:
- Una clínica o consultorio tiene fichas de pacientes con diagnósticos, tratamientos y recetas
- Una farmacia registra las compras de medicamentos vinculadas al RUT del cliente
- Un gimnasio con lector de huella dactilar almacena datos biométricos para control de acceso
- Una empresa de RRHH recibe certificados médicos de candidatos
- Un seguro de salud procesa datos sobre condiciones preexistentes
- Una mutual de seguridad tiene historiales de accidentes laborales
En todos estos casos aplican las obligaciones reforzadas: consentimiento expreso y por escrito (o base legal alternativa), medidas de seguridad adicionales, y consecuencias gravísimas por incumplimiento.
Para sectores específicos que tratan datos de salud, consulta nuestras guías de industria: clínicas, consultorios médicos y psicológicos, farmacias y psicólogos.
Datos biométricos: huella digital y reconocimiento facial
El uso de datos biométricos es cada vez más común en el mundo empresarial chileno: lectores de huella para control de asistencia, cámaras con reconocimiento facial en accesos, sistemas de autenticación por voz. Todos son datos sensibles bajo la Ley 21.719.
¿Qué los hace especialmente delicados?
A diferencia de una contraseña que se puede cambiar, los datos biométricos son permanentes. Si tu base de datos de huellas dactilares es comprometida, el titular afectado no puede "cambiar sus huellas". El daño es irreversible.
Obligaciones específicas para datos biométricos:
- Consentimiento expreso y por escrito antes de capturar el dato biométrico
- Informar claramente para qué finalidad se usa (control de asistencia, control de acceso) y que no se usará para otros fines
- Implementar cifrado de los templates biométricos almacenados (no se deben guardar imágenes, sino representaciones matemáticas cifradas)
- Definir y documentar el plazo de conservación (generalmente mientras dure la relación laboral o contractual)
- Ofrecer siempre una alternativa no biométrica para quienes no quieran o no puedan dar su consentimiento
Un sistema de control de asistencia con huella dactilar instalado sin consentimiento escrito de los trabajadores es una infracción gravísima desde el primer día de vigencia de la Ley 21.719.
Datos de menores de edad: protección especial adicional
Los datos de menores de edad no son técnicamente una categoría de "datos sensibles" en la lista del Art. 16, pero tienen un régimen de protección especial que en la práctica los eleva a un nivel de cuidado equivalente.
¿Por qué son especialmente delicados?
Los menores no tienen capacidad para evaluar plenamente las implicancias de ceder sus datos. Su exposición puede tener consecuencias a largo plazo en su desarrollo, reputación y relaciones sociales.
Reglas clave:
- El consentimiento para el tratamiento de datos de menores debe otorgarlo el padre, madre o representante legal, no el menor
- El menor solo puede consentir por sí mismo cuando tiene suficiente madurez para comprender las implicancias (valoración caso a caso)
- Está prohibido usar datos de menores para marketing directo bajo cualquier circunstancia
- Las plataformas y servicios dirigidos a menores deben diseñarse con privacidad por defecto: la configuración predeterminada debe ser la más protectora
- Las imágenes de menores en redes sociales, sitios web o material de marketing requieren el consentimiento del apoderado, no solo del menor
Ejemplos por industria: quién trata datos sensibles sin saberlo
Esta es la dimensión más práctica: muchas empresas tratan datos sensibles sin identificarlos como tales. Revisemos los casos más frecuentes:
Recursos humanos: Los certificados médicos de enfermedad, los informes de evaluación psicológica en procesos de selección, los datos de discapacidad para beneficios tributarios y los antecedentes penales para ciertos cargos son todos datos sensibles. Una empresa de RRHH que maneja estas categorías sin protocolo específico tiene exposición gravísima.
Educación: Las evaluaciones psicopedagógicas, los diagnósticos de necesidades educativas especiales (TEA, TDAH, dislexia), los informes del orientador y las fotografías de menores son datos sensibles o asimilables a ellos. Los colegios y academias que los tratan sin consentimiento del apoderado cometen infracción grave.
Deportes y fitness: Los gymnasios con control de acceso por huella dactilar, las apps de fitness que registran condiciones de salud o lesiones, y los nutricionistas que llevan historial dietético vinculado a condiciones médicas tratan datos sensibles. Para más detalle, revisa nuestra guía de la industria de gimnasios.
Seguros: Cualquier aseguradora que evalúa riesgo en base a condiciones de salud, historial clínico o antecedentes penales trata datos sensibles en el centro de su modelo de negocio.
Retail farmacéutico: El historial de compras de medicamentos, aunque parezca un simple registro comercial, puede revelar diagnósticos, tratamientos crónicos o condiciones de salud mental. Es dato sensible de salud.
Organizaciones religiosas y políticas: La simple lista de miembros de una iglesia, partido político o sindicato contiene datos sensibles de convicción religiosa, política o afiliación sindical.
Medidas de seguridad reforzadas para datos sensibles
La Ley 21.719 exige que las medidas de seguridad sean proporcionales al riesgo. Para datos sensibles, el nivel de riesgo es máximo, lo que implica medidas que van más allá de las que aplican a datos ordinarios:
Cifrado. Los datos sensibles deben estar cifrados tanto en reposo (en el disco o servidor donde se almacenan) como en tránsito (cuando se transmiten por redes). Un archivo Excel con fichas clínicas sin contraseña no cumple.
Control de acceso estricto por rol. Solo las personas que necesitan acceder a datos sensibles para cumplir su función específica deben poder hacerlo. Un recepcionista no necesita ver el diagnóstico del paciente; el médico tratante sí. Implementa perfiles de acceso diferenciados.
Registro de auditoría (logs de acceso). Mantén un registro de quién accedió a qué datos sensibles, cuándo y desde dónde. Esto permite detectar accesos no autorizados y demostrar controles adecuados en una fiscalización.
Separación lógica. Los datos sensibles no deben mezclarse en las mismas bases de datos o sistemas que los datos ordinarios cuando sea posible. Una carpeta separada con contraseña adicional es mínimo; un sistema separado con acceso restringido es mejor.
Evaluación periódica. Al menos una vez al año, revisa que las medidas de seguridad de los datos sensibles siguen siendo adecuadas al riesgo actual — considerando nuevas amenazas, cambios en los sistemas y cambios en el personal con acceso.
El primer paso para proteger datos sensibles es saber cuáles tienes y dónde están. Eso empieza con una Política de Privacidad que los identifique y documente su tratamiento, y continúa con un Registro de Actividades de Tratamiento que describa las medidas de seguridad aplicadas.
Preguntas frecuentes
¿El RUT de una persona es un dato sensible?
No. El RUT es un dato de identidad ordinario, no una categoría sensible bajo el Art. 16. Sin embargo, su combinación con otros datos (diagnósticos de salud, condenas penales) puede crear un perfil de alto riesgo que exige medidas de protección proporcionales. El RUT tampoco debe tratarse con descuido — es dato personal que requiere base legal y seguridad adecuada.
¿Una foto de un empleado en el perfil del sistema interno es dato biométrico?
Generalmente no. Una fotografía estándar es un dato de imagen personal, pero no es biométrico en el sentido de la ley a menos que se use para identificación automatizada (reconocimiento facial para control de acceso o autenticación). Si la foto solo se usa como imagen de perfil para identificación visual humana, no activa el régimen de datos biométricos.
¿Puedo negarme a tratar datos sensibles que un cliente me entrega voluntariamente?
Sí. Si un cliente te envía información de salud que no solicitaste y que no necesitas para prestar el servicio, puedes (y en muchos casos debes) no incorporarla a tu base de datos. Almacenar datos sensibles que no necesitas viola el principio de proporcionalidad de la Ley 21.719.
¿Los datos de consumo de alcohol o tabaco son datos sensibles?
Dependen del contexto. El consumo habitual de alcohol o tabaco registrado en un contexto de salud (ficha médica, programa de desintoxicación) es dato de salud y por lo tanto sensible. Un registro de compra de vino en una tienda es un dato de comportamiento de consumo ordinario, no sensible en sí mismo — aunque podría volverse sensible si se usa para inferir condiciones de salud.
¿Qué pasa si recibo datos sensibles de un tercero sin haberlos pedido (por ejemplo, en un correo)?
Si recibes datos sensibles de forma no solicitada, la recomendación es: no incorporarlos a tus sistemas, informar al remitente que no tratas esa categoría de datos y eliminar el correo o archivo. Almacenar datos sensibles recibidos sin base legal es igualmente una infracción, aunque no hayas sido quien los recopiló.
Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos personales.