Qué son los datos personales sensibles bajo la Ley 21.719 y cómo protegerlos

La Ley 21.719, publicada el 13 de diciembre de 2024, moderniza el marco chileno de protección de datos y entra en fiscalización plena el 1 de diciembre de 2026. Inspirada en el estándar europeo del GDPR, recoge una distinción que muchas organizaciones todavía no han internalizado: ciertos datos, por su potencial de daño, reciben un nivel de protección superior al resto. Si quieres el panorama legal completo, parte por la guía definitiva de la Ley 21.719.

Si tu empresa trata datos de salud, biometría, situación socioeconómica o información de menores, esta categoría te afecta directamente. A continuación revisamos qué datos son sensibles, por qué el estándar es más exigente y cómo gestionarlos sin frenar tu operación.

Qué son los datos personales sensibles

Los datos personales sensibles son aquellos que se refieren a aspectos especialmente íntimos de una persona o que, si se usan de forma indebida, pueden dar lugar a discriminación o a un daño grave. La Ley 21.719 los separa del resto de los datos personales precisamente porque su mal uso tiene consecuencias más profundas para la dignidad y los derechos del titular.

La lógica es simple: filtrar la dirección de correo de un cliente es un problema; filtrar su diagnóstico médico, su orientación sexual o su nivel de endeudamiento puede marcarlo por mucho tiempo. Por eso la ley eleva las exigencias para tratar esta categoría y reduce los supuestos en que se permite hacerlo sin consentimiento.

Qué categorías considera sensibles la Ley 21.719

Siguiendo el estándar europeo en el que se inspira, la norma reconoce un conjunto de categorías que reciben este tratamiento especial. Conviene conocerlas en detalle, porque muchas aparecen en procesos cotidianos de recursos humanos, salud ocupacional, marketing o evaluación de clientes sin que la empresa lo advierta.

Un rasgo propio del caso chileno es que la situación socioeconómica del titular también se considera un dato sensible. Esto es relevante para banca, retail, fintech, cobranza, seguros y cualquier organización que segmente o evalúe a personas según su capacidad de pago o nivel de ingresos.

• Datos de salud, incluidos antecedentes médicos, diagnósticos y condición física o psíquica.
• Perfil biológico y datos biométricos usados para identificar de forma única a una persona, como huella, rostro o iris.
• Origen racial o étnico.
• Afiliación sindical, política o gremial.
• Convicciones religiosas o filosóficas.
• Vida sexual y orientación sexual.
• Situación socioeconómica, rasgo distintivo del caso chileno frente a otros marcos.

Por qué tienen un estándar más exigente

Tratar datos sensibles no está prohibido, pero sí sujeto a condiciones más estrictas. La regla general es que necesitas el consentimiento del titular, y ese consentimiento debe ser libre, informado e inequívoco: la persona tiene que saber con claridad qué dato sensible vas a tratar y para qué. Las excepciones que permiten prescindir del consentimiento son acotadas y conviene interpretarlas de forma restrictiva.

Además del consentimiento, la ley apunta a medidas de seguridad reforzadas, coherentes con el mayor riesgo que implica esta información. Y por ese mismo nivel de riesgo, los tratamientos de datos sensibles suelen ameritar una Evaluación de Impacto en Protección de Datos (EIPD), el ejercicio que permite anticipar riesgos y documentar cómo los mitigas antes de iniciar el tratamiento.

Todo esto se enmarca en el principio de responsabilidad proactiva: no basta con cumplir, hay que poder demostrarlo. Frente a la Agencia de Protección de Datos Personales, la organización debe poder acreditar las bases de licitud, las medidas de seguridad y las decisiones que tomó.

• Base de licitud: el consentimiento es la regla; las excepciones son limitadas y conviene justificarlas.
• Seguridad reforzada: controles de acceso, cifrado, minimización y trazabilidad acordes al riesgo.
• EIPD: evaluación previa del impacto cuando el tratamiento puede entrañar un riesgo alto para los derechos del titular.
• Documentación: capacidad de demostrar el cumplimiento ante la Agencia en cualquier momento.

Protección reforzada de niños, niñas y adolescentes

Los datos de niños, niñas y adolescentes (NNA) reciben una protección especialmente reforzada. La premisa es que los menores son particularmente vulnerables y no siempre comprenden las consecuencias de entregar su información, por lo que el estándar de cuidado de la organización debe ser más alto que con un adulto.

En la práctica, esto significa que el interés superior del menor debe orientar cada decisión de tratamiento, que la información dirigida a NNA o a sus representantes tiene que ser clara y comprensible para su edad, y que el consentimiento debe gestionarse considerando el papel de quienes ejercen su cuidado. Colegios, plataformas educativas, apps, servicios de salud pediátrica y marcas que se dirigen a público joven deben prestar atención particular a esta categoría.

• Pon el interés superior del menor en el centro de cada tratamiento.
• Entrega información clara y adecuada a la edad, también a madres, padres o representantes.
• Limita la recolección a lo estrictamente necesario y evita perfilados intrusivos.
• Refuerza la seguridad y los controles cuando el servicio se dirige a menores.

Cómo identificarlos en el RAT

No puedes proteger lo que no sabes que tienes. Por eso el primer paso es mapear tus tratamientos en el Registro de Actividades de Tratamiento (RAT) y marcar de forma explícita dónde hay datos sensibles. El RAT es el inventario que describe qué datos tratas, con qué finalidad, sobre qué base de licitud, con quién los compartes y por cuánto tiempo los conservas.

Al levantar el RAT, revisa cada actividad y pregúntate si en ella aparece alguna de las categorías sensibles, aunque sea de forma indirecta. Una ficha de postulación que pide afiliación a una isapre revela datos de salud; un formulario que pregunta por restricciones alimentarias puede revelar convicciones religiosas; una evaluación crediticia trata situación socioeconómica. Marcar estos puntos te permite priorizar el riesgo y decidir dónde aplicar consentimiento reforzado, seguridad adicional o una EIPD.

• Inventaria todos los flujos donde recolectas, almacenas o compartes datos personales.
• Marca de forma destacada las actividades que incluyen alguna categoría sensible.
• Registra la base de licitud aplicada, normalmente el consentimiento, para cada tratamiento sensible.
• Identifica también las transferencias internacionales de datos sensibles, por su mayor exposición.

Cómo protegerlos en tu organización

Con los datos sensibles ya identificados, la protección se construye combinando medidas legales, técnicas y organizativas. El objetivo es doble: reducir la probabilidad de un incidente y estar en condiciones de demostrar diligencia si la Agencia lo solicita o si ocurre una brecha que debas notificar.

Conviene apoyar este trabajo en las figuras y mecanismos que la propia ley contempla. Designar un Delegado de Protección de Datos (DPO) cuando corresponda, ordenar la relación entre responsable y encargado del tratamiento, preparar el deber de notificar brechas y tener procesos para atender los derechos ARSOP (Acceso, Rectificación, Supresión o Cancelación, Oposición y Portabilidad) son piezas que sostienen el cumplimiento en el día a día.

• Aplica el principio de minimización: recolecta solo el dato sensible imprescindible para la finalidad.
• Refuerza la seguridad: cifrado, control de accesos por rol, registros de auditoría y respaldo seguro.
• Realiza una EIPD para los tratamientos sensibles de mayor riesgo y documenta las medidas adoptadas.
• Gestiona el consentimiento de forma trazable y facilita el ejercicio de los derechos ARSOP.
• Prepara tu protocolo de notificación de brechas, considerando que un incidente con datos sensibles es más grave.

Qué arriesgas si no los proteges

A partir del 1 de diciembre de 2026 la fiscalización es plena y la Agencia de Protección de Datos Personales puede aplicar sanciones según la gravedad de la infracción: multas de hasta 5.000 UTM por infracciones leves, hasta 10.000 UTM por las graves y hasta 20.000 UTM por las gravísimas. Por el daño potencial que implica, el tratamiento indebido de datos sensibles es de las situaciones que más conviene prevenir.

Más allá de la multa, una brecha o un uso indebido de datos sensibles erosiona la confianza de clientes, trabajadores y socios, y puede tener un costo reputacional difícil de revertir. Anticiparse no es solo evitar una sanción: es construir confianza inteligente y sostener la relación con quienes te entregan su información más íntima.

Preguntas frecuentes

¿Cuáles son los datos personales sensibles según la Ley 21.719?

Son, entre otros, los datos de salud, el perfil biológico y los datos biométricos, el origen racial o étnico, la afiliación sindical, política o gremial, las convicciones religiosas o filosóficas, y la vida sexual y orientación sexual. En el caso chileno también se considera sensible la situación socioeconómica del titular.

¿Por qué los datos sensibles tienen un estándar más exigente?

Porque su uso indebido puede causar discriminación o un daño grave a la persona. Por eso la regla general para tratarlos es el consentimiento libre, informado e inequívoco, se esperan medidas de seguridad reforzadas y los tratamientos de mayor riesgo suelen requerir una Evaluación de Impacto en Protección de Datos (EIPD).

¿Necesito siempre consentimiento para tratar datos sensibles?

Como regla general, sí: el consentimiento del titular es la base de licitud principal para los datos sensibles. La ley contempla excepciones, pero son acotadas y conviene interpretarlas de forma restrictiva, por lo que es recomendable documentar bien la base de licitud de cada tratamiento.

¿Cómo protejo los datos de niños, niñas y adolescentes?

Tratándolos con protección reforzada: pon el interés superior del menor en el centro de cada decisión, entrega información clara y adecuada a su edad y a sus representantes, limita la recolección a lo necesario y aplica controles de seguridad más estrictos. Es especialmente relevante para colegios, plataformas educativas, apps y servicios dirigidos a menores.