Consentimiento Digital bajo la Ley 21.719: Requisitos y Buenas Prácticas

El consentimiento del titular es una de las bases de licitud más utilizadas para el tratamiento de datos personales, y también una de las más exigentes bajo la Ley 21.719. La nueva ley eleva significativamente el estándar respecto a la antigua Ley 19.628, alineándose con las mejores prácticas internacionales. Para las empresas con presencia digital, esto implica rediseñar formularios, banners de cookies, flujos de registro y políticas de comunicación.

Los 6 requisitos del consentimiento válido

1. Libre

El consentimiento no puede ser obtenido bajo coacción, presión o como condición para acceder a un servicio que no requiere ese tratamiento de datos. Por ejemplo, no puedes condicionar la descarga de un whitepaper a que el usuario acepte recibir publicidad indefinidamente. El titular debe tener una opción real de negarse sin consecuencias desproporcionadas.

2. Informado

Antes de otorgar el consentimiento, el titular debe conocer claramente: quién es el responsable del tratamiento, qué datos se recopilarán, con qué finalidad específica, a quién se comunicarán los datos, cuánto tiempo se conservarán y qué derechos tiene. Esta información debe presentarse en un lenguaje claro, accesible y sin tecnicismos innecesarios.

3. Específico

Cada finalidad de tratamiento requiere un consentimiento separado. No es válido un consentimiento genérico que autorice «todo uso» de los datos. Si recopilas datos para prestar un servicio y también quieres usarlos para marketing, necesitas dos consentimientos diferenciados. El bundling (agrupar múltiples finalidades en un solo checkbox) está prohibido.

4. Inequívoco

El consentimiento debe manifestarse mediante una acción afirmativa clara: marcar una casilla, hacer clic en un botón, firmar un formulario o realizar una declaración verbal grabada. Las casillas pre-marcadas, el silencio, la inacción o el simple hecho de seguir navegando no constituyen consentimiento válido.

5. Demostrable

El responsable debe poder probar que obtuvo el consentimiento válidamente. Esto implica registrar cuándo se otorgó, qué información se mostró al titular, qué finalidades se autorizaron y cómo se manifestó la voluntad. Sin este registro, en caso de controversia, se presume que no hubo consentimiento.

6. Revocable

El titular puede retirar su consentimiento en cualquier momento, sin justificar motivos y sin que ello le genere consecuencias negativas. El proceso de revocación debe ser tan sencillo como el de otorgamiento. Si el consentimiento se dio con un clic, la revocación debe poder hacerse con un clic, no mediante un formulario de 5 páginas o una llamada telefónica.

Forma del consentimiento: ya no solo escrito

La Ley 21.719 moderniza la forma del consentimiento respecto a la ley anterior. Ahora puede otorgarse:

• Por escrito: Formularios físicos o digitales firmados

• Oralmente: Grabaciones verificables de declaraciones verbales

• Por medios electrónicos: Clics, toggles, gestos en interfaces digitales

Lo importante no es la forma sino que se cumplan los 6 requisitos anteriores y que exista prueba de ello.

Dark patterns: prácticas prohibidas

La ley prohíbe implícitamente los dark patterns o patrones oscuros de diseño que manipulan al usuario para obtener su consentimiento de forma engañosa. Estas son las prácticas que tu empresa debe eliminar:

Casillas pre-marcadas: Los checkboxes de consentimiento deben estar desmarcados por defecto. El usuario debe activarlos conscientemente.

Cookie walls: Bloquear completamente el acceso al sitio si el usuario no acepta todas las cookies. Debes ofrecer opciones granulares y permitir el acceso básico sin cookies no esenciales.

Confusión visual: Usar diseño engañoso donde el botón de «Aceptar todo» es grande y colorido mientras que «Rechazar» es pequeño, gris o difícil de encontrar. Ambas opciones deben tener la misma prominencia visual.

Fatiga del usuario: Obligar al usuario a pasar por múltiples pantallas o configuraciones complejas para rechazar cookies, mientras que aceptar requiere un solo clic.

Lenguaje manipulador: Usar frases como «Al continuar navegando, aceptas nuestras cookies» o redacciones que culpabilicen al usuario por rechazar (por ejemplo: «No, prefiero no mejorar mi experiencia»).

Recolección disfrazada: Presentar el consentimiento de marketing como parte del registro al servicio, sin diferenciarlo claramente.

Implementación práctica: banners de cookies

Un banner de cookies conforme a la Ley 21.719 debe incluir:

• Información clara sobre qué tipos de cookies se usan y para qué

• Botón de «Aceptar todo» y botón de «Rechazar todo» con igual visibilidad

• Opción de configuración granular por categoría (esenciales, analíticas, marketing, funcionales)

• Enlace a la política de cookies/privacidad completa

• Las cookies no esenciales no deben activarse hasta que el usuario otorgue su consentimiento

• Recordar la preferencia del usuario sin pedirle consentimiento repetidamente cada visita

Implementación práctica: formularios de registro

En formularios de registro o contacto que recopilan datos personales:

• Incluir un enlace visible a la política de privacidad antes del botón de envío

• Separar el checkbox de aceptación de términos del checkbox de autorización de marketing

• Explicar en lenguaje simple para qué se usarán los datos ingresados

• No condicionar el registro a la aceptación de comunicaciones comerciales

• Registrar la versión de la política de privacidad que el usuario aceptó y la marca de tiempo

Gestión del consentimiento: herramientas técnicas

Para gestionar el consentimiento de forma escalable, considera implementar una Consent Management Platform (CMP) que permita:

• Recopilar y almacenar pruebas de consentimiento con marcas de tiempo

• Gestionar preferencias de los usuarios de forma granular

• Facilitar la revocación con un clic

• Generar reportes de auditoría para demostrar cumplimiento ante la Agencia

• Integrar con tus herramientas de marketing y analítica para respetar las preferencias automáticamente

Herramientas como Cookiebot, OneTrust, Didomi o soluciones open source como Klaro pueden adaptarse a los requisitos de la ley chilena.

Consentimiento de menores de edad

La Ley 21.719 establece reglas diferenciadas para menores:

• Menores de 14 años: Se requiere consentimiento del padre, madre o representante legal para cualquier tratamiento de datos personales

• Entre 14 y 18 años: Se aplican las reglas generales para datos no sensibles. Para datos sensibles de menores de 16 años, se requiere consentimiento del representante legal

Si tu plataforma puede ser usada por menores de edad, debes implementar mecanismos de verificación de edad y obtención de consentimiento parental cuando corresponda.

Consecuencias de un consentimiento inválido

Tratar datos personales con un consentimiento que no cumple los requisitos legales equivale a tratar datos sin base de licitud. Esto constituye una infracción grave sancionable con multas de hasta 10.000 UTM (~$700 millones CLP). Si involucra datos sensibles, la infracción puede ser calificada como gravísima con multas de hasta 20.000 UTM.

Además, todos los datos recopilados bajo un consentimiento inválido deben ser eliminados, lo que puede implicar la pérdida de bases de datos de clientes construidas durante años.

En StrixSoft ayudamos a empresas a auditar sus flujos de consentimiento actuales, diseñar interfaces conformes a la ley e implementar soluciones técnicas de gestión de consentimiento. Si necesitas revisar cómo tu sitio web o aplicación recopila datos, agenda una consultoría sin costo.