Lo esencial en 30 segundos
- El consentimiento es solo UNA de las bases de licitud. Pedirlo para todo es un error: muchas veces corresponde otra base, como la ejecucion de un contrato o el cumplimiento de una obligacion legal.
- El marco general inspirado en el GDPR reconoce, entre otras, seis bases: consentimiento, ejecucion de un contrato, obligacion legal, interes legitimo, proteccion de la vida o integridad de una persona, y ejercicio de funciones de organismos publicos.
- Para ser valido, el consentimiento debe ser libre, informado, especifico e inequivoco, y ser siempre revocable con la misma facilidad con que se otorgo.
- Para los datos sensibles la regla general es el consentimiento, con excepciones acotadas que conviene interpretar de forma restrictiva.
- Cada actividad de tratamiento debe apoyarse en una base y quedar documentada en el Registro de Actividades de Tratamiento (RAT). Sin base, el tratamiento es ilicito.
La Ley 21.719, publicada el 13 de diciembre de 2024, moderniza el marco chileno de proteccion de datos y entra en fiscalizacion plena el 1 de diciembre de 2026, bajo la vigilancia de la Agencia de Proteccion de Datos Personales. Inspirada en el estandar europeo del GDPR, incorpora un principio que muchas organizaciones aun no han internalizado: no puedes tratar datos personales solo porque los tienes a mano. Cada tratamiento necesita apoyarse en una base de licitud, y el consentimiento es apenas una de las opciones disponibles. Si quieres el panorama legal completo, parte por la guía definitiva de la Ley 21.719.
Uno de los errores mas frecuentes es pedir consentimiento para absolutamente todo. En muchos casos corresponde otra base, y forzar el consentimiento no solo es innecesario, sino que puede volverlo invalido. A continuacion revisamos que es una base de licitud, cuales reconoce el marco general, que requisitos hacen valido al consentimiento y como documentar todo esto en tu Registro de Actividades de Tratamiento. Si quieres el panorama legal completo, parte por la guia definitiva de la Ley 21.719.
Que es una base de licitud
Una base de licitud es la justificacion legal que permite a una organizacion tratar datos personales. Dicho de otra forma, es la respuesta a la pregunta: por que tengo derecho a recolectar, usar, almacenar o compartir estos datos. Bajo la Ley 21.719, ningun tratamiento es licito si no se apoya en al menos una de las bases que la ley reconoce. No basta con tener los datos disponibles ni con que sean utiles para el negocio: hace falta una razon que la norma admita.
Este es un cambio de mentalidad importante. El punto de partida no es que puedas tratar datos y buscar despues como justificarlo, sino al reves: primero identificas la base de licitud que ampara cada actividad y solo entonces la ejecutas. Este orden es parte del principio de responsabilidad proactiva, que exige a las empresas poder demostrar en cualquier momento que tratan datos de forma licita.
Cada tratamiento se apoya en una sola base principal, elegida segun su finalidad. Un mismo dato puede sostener distintos tratamientos con distintas bases: el correo de un cliente puede tratarse para ejecutar su compra (ejecucion de un contrato) y, por separado, para enviarle promociones (que puede requerir consentimiento). Confundir ambas finalidades bajo una sola base es una fuente comun de incumplimiento.
Que bases reconoce el marco general
El marco general inspirado en el GDPR reconoce varias bases de licitud. Ninguna es superior a otra: lo correcto es elegir la que mejor calza con la finalidad concreta del tratamiento. Estas son las principales.
- Consentimiento del titular. La persona autoriza el tratamiento de sus datos para una finalidad determinada. Es la base mas conocida, pero no la unica ni la que aplica por defecto.
- Ejecucion de un contrato en que el titular es parte. Permite tratar los datos necesarios para cumplir un contrato con la persona o para dar pasos previos a su solicitud, como procesar un pedido, prestar un servicio o gestionar una suscripcion.
- Cumplimiento de una obligacion legal del responsable. Cubre los tratamientos que la ley exige a la empresa, como conservar documentacion tributaria o entregar informacion a una autoridad cuando la normativa lo ordena.
- Interes legitimo del responsable o de un tercero. Habilita ciertos tratamientos razonables para la operacion del negocio, siempre que se pondere ese interes frente a los derechos y libertades del titular. Si los derechos de la persona prevalecen, esta base no aplica.
- Proteccion de la vida o integridad del titular o de otra persona. Se invoca en situaciones en que el tratamiento es necesario para proteger un interes vital, tipicamente emergencias.
- Ejercicio de funciones de organismos publicos. Ampara los tratamientos que realizan los organismos publicos en cumplimiento de sus funciones.
Que hace valido al consentimiento
Cuando el consentimiento sea la base adecuada, no cualquier autorizacion sirve. Para ser valido bajo la Ley 21.719, el consentimiento debe reunir cuatro caracteristicas, y ademas ser siempre revocable.
Estos requisitos existen porque un consentimiento debil no protege a nadie: ni al titular, cuya voluntad no fue realmente libre o informada, ni a la empresa, que creyo tener una base solida y no la tenia.
- Libre. La persona debe poder decidir sin presion ni consecuencias negativas por negarse. Si el servicio se condiciona a aceptar tratamientos que no son necesarios para prestarlo, el consentimiento pierde su caracter libre.
- Informado. Antes de aceptar, el titular debe saber quien tratara sus datos, con que finalidad y de que forma. Sin informacion clara y previa, no hay consentimiento valido.
- Especifico. Debe otorgarse para finalidades determinadas, no como una autorizacion general y abierta. Finalidades distintas requieren, en principio, consentimientos separados.
- Inequivoco. Tiene que manifestarse mediante una accion clara y afirmativa. El silencio, las casillas premarcadas o la simple inaccion no bastan para entenderlo otorgado.
- Revocable. La persona puede retirar su consentimiento en cualquier momento, y hacerlo debe ser tan facil como haberlo otorgado. La revocacion no afecta la licitud del tratamiento previo, pero obliga a detener los usos que dependian de esa base.
Cuando no necesitas consentimiento
Aqui esta el punto que mas confusion genera. Si un tratamiento se apoya en otra base de licitud, no necesitas pedir consentimiento, y pedirlo puede ser incluso contraproducente. Solicitar consentimiento para algo que ya esta amparado por otra base sugiere al titular que puede negarse, cuando en realidad el tratamiento procedera de todos modos porque descansa en una base distinta.
Un ejemplo tipico es la ejecucion de un contrato. Si un cliente compra en tu tienda, tratar su nombre, direccion y medio de pago para procesar y despachar el pedido se apoya en la ejecucion del contrato, no en el consentimiento. No tiene sentido pedir permiso para usar la direccion de envio: sin ella no hay entrega posible.
Lo mismo ocurre con el cumplimiento de una obligacion legal. Si la normativa te exige conservar cierta documentacion o reportar informacion a una autoridad, esa obligacion es tu base de licitud. El titular no puede oponerse a un tratamiento que la ley te ordena realizar, de modo que pedir consentimiento seria enganoso.
El interes legitimo tambien puede habilitar tratamientos sin consentimiento, pero con una condicion: debes ponderar tu interes frente a los derechos y expectativas del titular y dejar registro de ese analisis. No es un comodin. Si el impacto sobre la persona es alto o el tratamiento no seria esperable para ella, esta base probablemente no aplica y conviene reconsiderar el enfoque.
Datos sensibles: la regla general es el consentimiento
Con los datos personales sensibles la logica se invierte. Dado su mayor potencial de dano, la regla general para tratarlos es el consentimiento del titular, que ademas debe cumplir con los requisitos de validez descritos antes. Aqui el consentimiento no es una base mas entre varias, sino el punto de partida.
La ley contempla excepciones que permiten tratar datos sensibles sin consentimiento, pero son acotadas y conviene interpretarlas de forma restrictiva. Ante la duda con datos de salud, biometria, situacion socioeconomica u otras categorias sensibles, lo prudente es apoyarse en el consentimiento y documentarlo con especial cuidado. Puedes profundizar en el post sobre datos sensibles bajo la Ley 21.719.
Como documentar la base de cada tratamiento en el RAT
Identificar la base correcta no basta si no queda registrada. El Registro de Actividades de Tratamiento (RAT) es la herramienta donde documentas, para cada actividad, en que base de licitud se apoya. Este registro es una pieza central de la responsabilidad proactiva: ante la Agencia de Proteccion de Datos Personales, es la evidencia de que cada tratamiento tiene un fundamento legal.
Al describir una actividad en el RAT, indica la finalidad, las categorias de datos involucradas y la base de licitud que la sostiene. Si la base es el consentimiento, conserva ademas el respaldo de como y cuando se obtuvo. Si es el interes legitimo, deja constancia de la ponderacion realizada frente a los derechos del titular.
El ejercicio de completar el RAT suele revelar problemas antes de que lo haga una fiscalizacion: actividades sin base clara, consentimientos pedidos donde correspondia otra base, o finalidades mezcladas bajo una sola justificacion. Por eso conviene tratarlo como un diagnostico y no como un tramite. Revisa la guia sobre el Registro de Actividades de Tratamiento para armarlo paso a paso.
Errores comunes que conviene evitar
Al ordenar sus bases de licitud, la mayoria de las organizaciones tropieza con los mismos puntos. Conocerlos de antemano te ahorra correcciones costosas.
- Tratar datos sin base. El error mas grave: recolectar o usar datos sin haber identificado una base de licitud. Un tratamiento sin base es ilicito, aunque los datos parezcan inofensivos o utiles.
- Pedir consentimiento cuando corresponde otra base. Solicitar permiso para algo amparado por la ejecucion de un contrato o por una obligacion legal genera confusion y una falsa impresion de que el titular puede oponerse.
- Usar consentimientos genericos o premarcados. Un consentimiento amplio, ambiguo o con casillas ya marcadas no es especifico ni inequivoco, de modo que no es valido.
- Cambiar la finalidad sin revisar la base. Reutilizar datos para un fin distinto del original sin evaluar si la base sigue siendo valida es una fuente frecuente de incumplimiento.
- No dejar registro. Elegir bien la base pero no documentarla en el RAT te deja sin como demostrar la licitud del tratamiento cuando te lo pidan.
Ordena las bases de licitud de tu empresa antes de diciembre 2026
En AlayIAtrust ayudamos a las organizaciones chilenas a identificar la base de licitud correcta para cada tratamiento, revisar sus consentimientos y dejar todo documentado en un RAT solido. Conversemos sobre como llegar preparado a la fiscalizacion plena de la Ley 21.719.
Solicitar diagnósticoPreguntas frecuentes
Necesito siempre consentimiento para tratar datos personales?
No. El consentimiento es solo una de las bases de licitud. Muchos tratamientos se apoyan en otra base, como la ejecucion de un contrato o el cumplimiento de una obligacion legal, y en esos casos no necesitas pedir consentimiento. Pedirlo cuando corresponde otra base es un error frecuente.
Que hace valido al consentimiento bajo la Ley 21.719?
Para ser valido, el consentimiento debe ser libre, informado, especifico e inequivoco. Ademas, siempre es revocable: la persona puede retirarlo en cualquier momento, y hacerlo debe ser tan facil como haberlo otorgado. Un consentimiento generico, ambiguo o con casillas premarcadas no cumple estos requisitos.
Necesito consentimiento para tratar datos sensibles?
Como regla general, si: para los datos sensibles el consentimiento del titular es la base principal, y debe cumplir con los requisitos de validez. La ley contempla excepciones, pero son acotadas y conviene interpretarlas de forma restrictiva, documentando con cuidado la base de cada tratamiento.
Como registro la base de licitud de cada tratamiento?
En el Registro de Actividades de Tratamiento (RAT). Para cada actividad debes indicar la finalidad, las categorias de datos y la base de licitud que la sostiene. Si la base es el consentimiento, conserva el respaldo de como se obtuvo; si es el interes legitimo, deja constancia de la ponderacion frente a los derechos del titular.