Compliance

Consentimiento de Datos Personales: Formularios y Mejores Prácticas

10 min de lectura

¿Qué es el consentimiento de datos personales según la Ley 21.719?

El consentimiento de datos personales es la manifestación de voluntad mediante la cual el titular autoriza el tratamiento de su información personal. Bajo la Ley 21.719, el consentimiento deja de ser una formalidad burocrática para convertirse en una de las piedras angulares del sistema de protección de datos en Chile.

El artículo 12 de la Ley 21.719 define el consentimiento como una declaración o acción afirmativa clara del titular, otorgada de forma libre, informada, específica e inequívoca, por la cual acepta el tratamiento de sus datos personales para una o varias finalidades determinadas. Esta definición marca un antes y un después: ya no bastan las casillas premarcadas, los silencios interpretados como aceptación ni los contratos genéricos donde el consentimiento se esconde entre cláusulas ilegibles.

Para las empresas chilenas, entender qué constituye un consentimiento válido —y qué lo invalida— es crítico. Un consentimiento defectuoso equivale a tratar datos sin base de licitud, lo que puede derivar en multas de hasta 20.000 UTM (~$1.430 millones CLP) por infracción gravísima. Este artículo te explica exactamente cómo obtener, gestionar y documentar el consentimiento conforme a la ley.

---

Los 4 requisitos del consentimiento válido (Art. 12)

La Ley 21.719 exige que el consentimiento cumpla cuatro requisitos copulativos —es decir, deben cumplirse todos simultáneamente— para ser considerado válido. Si falta cualquiera de ellos, el consentimiento es nulo y el tratamiento de datos carece de base legal.

1. Libre

El consentimiento debe otorgarse sin coerción, presión indebida ni condicionamientos abusivos. Esto significa que:

  • No puedes condicionar la prestación de un servicio al consentimiento para tratamientos de datos que no son necesarios para ese servicio. Por ejemplo, una tienda online no puede exigir que el cliente acepte recibir publicidad como condición para completar una compra.
  • No puedes utilizar diseños manipulativos (dark patterns) que dirijan al usuario hacia la aceptación como única opción razonable.
  • El desequilibrio de poder entre las partes puede viciar la libertad del consentimiento. Si un empleador pide consentimiento a un trabajador para tratar datos no relacionados con la relación laboral, la libertad de ese consentimiento es cuestionable.
Error frecuente: Incluir el consentimiento para marketing dentro de los términos y condiciones generales del servicio, sin opción de rechazarlo independientemente.

2. Informado

Antes de otorgar su consentimiento, el titular debe conocer al menos:

  • La identidad del responsable del tratamiento y sus datos de contacto.
  • La finalidad específica para la que se tratarán sus datos.
  • Los tipos de datos que se recopilarán.
  • Si los datos serán comunicados o transferidos a terceros, y a quiénes.
  • El período de conservación de los datos o los criterios para determinarlo.
  • La existencia de sus derechos ARCO (acceso, rectificación, cancelación, oposición, portabilidad y bloqueo) y cómo ejercerlos.
  • Si se realizarán decisiones automatizadas, incluido el perfilamiento.
  • Si los datos serán transferidos internacionalmente y a qué países.

Esta información debe proporcionarse en un lenguaje claro, sencillo y accesible, no en jerga jurídica incomprensible. El artículo 12 de la Ley 21.719 es explícito: la información debe ser fácilmente comprensible para el titular promedio.

Error frecuente: Presentar la información en un documento de 30 páginas de términos legales que nadie lee. Eso no cumple con el requisito de "informado".

3. Específico

El consentimiento debe referirse a una finalidad determinada y explícita. Los consentimientos genéricos, vagos o que abarcan finalidades futuras indeterminadas son inválidos. Esto implica:

  • Si tratas datos para múltiples finalidades, necesitas consentimiento separado para cada una (consentimiento granular).
  • No puedes obtener un consentimiento "en blanco" que diga "acepto que traten mis datos para cualquier fin que la empresa considere conveniente".
  • Si cambia la finalidad del tratamiento, debes obtener un nuevo consentimiento para la nueva finalidad.
Ejemplo práctico: Un consultorio médico que recopila datos de salud para atención clínica necesita un consentimiento separado si quiere usar esos mismos datos para investigación científica.

4. Inequívoco

El consentimiento debe manifestarse mediante una acción afirmativa clara del titular. No se admiten:

  • Casillas premarcadas (pre-ticked boxes).
  • El silencio o la inacción como forma de consentimiento.
  • La mera navegación por un sitio web como consentimiento implícito para cookies no esenciales.
  • Consentimientos inferidos de la "continuación del uso" de un servicio.

El titular debe realizar un acto positivo: marcar una casilla, firmar un formulario, hacer clic en un botón, seleccionar una opción, o cualquier otra acción que no deje lugar a dudas sobre su voluntad.

> 💡 Consejo práctico: Documenta siempre la acción concreta que realizó el titular para otorgar su consentimiento: fecha, hora, IP, versión del formulario, texto exacto al que consintió. Con datOK puedes automatizar este registro y generar evidencia auditable de cada consentimiento obtenido.

---

¿Cuándo NO necesitas consentimiento? Las otras bases de licitud

Un error muy común es creer que todo tratamiento de datos requiere consentimiento. La Ley 21.719 reconoce múltiples bases de licitud además del consentimiento, y en muchos casos la base legal correcta es otra. Usar consentimiento cuando no corresponde es tan problemático como no tenerlo, porque genera obligaciones innecesarias (como el derecho a retirarlo en cualquier momento).

Bases de licitud alternativas al consentimiento

| Base de licitud | Artículo | Cuándo aplica | Ejemplo |

|---|---|---|---|

| Ejecución de un contrato | Art. 13 | Cuando el tratamiento es necesario para celebrar o ejecutar un contrato con el titular | Procesar datos de envío para entregar un producto comprado |

| Obligación legal | Art. 13 | Cuando una ley exige el tratamiento de ciertos datos | Retención de datos tributarios por el SII; registros laborales exigidos por la DT |

| Interés legítimo | Art. 13 bis | Cuando el responsable tiene un interés legítimo que no prevalece sobre los derechos del titular | Prevención de fraude, seguridad de redes, marketing directo a clientes existentes (con matices) |

| Protección de intereses vitales | Art. 13 | Cuando es necesario para proteger la vida o integridad del titular o de un tercero | Tratamiento de datos de salud en una emergencia médica |

| Interés público | Art. 13 | Cuando el tratamiento es necesario por razones de interés público | Tratamiento de datos para fines de salud pública, investigación científica o estadísticas |

¿Cómo saber qué base de licitud usar?

La regla general es: usa consentimiento solo cuando no exista otra base de licitud más apropiada. El consentimiento no es la base "por defecto" ni la más segura, porque puede ser retirado en cualquier momento y entonces pierdes tu base legal para tratar esos datos.

Antes de solicitar consentimiento, hazte estas preguntas:

  • ¿El tratamiento es necesario para ejecutar un contrato con el titular? → Usa ejecución contractual.
  • ¿Una ley me obliga a tratar estos datos? → Usa obligación legal.
  • ¿Tengo un interés legítimo que no perjudica al titular? → Evalúa el test de ponderación del interés legítimo.
  • ¿Ninguna de las anteriores aplica? → Entonces sí, necesitas consentimiento.

Documentar correctamente la base de licitud para cada actividad de tratamiento es obligatorio bajo el artículo 34 (registro de actividades de tratamiento).

---

Consentimiento para datos sensibles: requisitos reforzados

Los datos personales sensibles —definidos en el artículo 16 bis de la Ley 21.719— incluyen información sobre origen racial o étnico, estado de salud, vida sexual, orientación sexual, datos biométricos, opiniones políticas, afiliación sindical, creencias religiosas y datos genéticos.

Para el tratamiento de datos sensibles, la ley exige un consentimiento expreso, lo que significa:

  • Debe ser explícito y específico para el tratamiento de la categoría de datos sensibles en cuestión.
  • No puede obtenerse de forma agrupada con otros consentimientos. El titular debe consentir al tratamiento de datos sensibles de forma independiente y separada.
  • El responsable debe informar de manera destacada que se trata de datos sensibles y las implicancias de su tratamiento.
  • Debe quedar documentado por escrito o mediante un mecanismo que permita acreditar inequívocamente la voluntad del titular.

Excepciones al consentimiento para datos sensibles

Existen situaciones limitadas donde se pueden tratar datos sensibles sin consentimiento expreso:

  • Cuando el titular ha hecho manifiestamente públicos sus datos sensibles.
  • Cuando el tratamiento es necesario para la vida del titular o de un tercero y este no puede prestar consentimiento.
  • Cuando una ley especial autoriza expresamente el tratamiento (por ejemplo, la normativa laboral respecto a datos de salud para licencias médicas).
  • Cuando es necesario para el ejercicio o defensa de derechos ante tribunales de justicia.
  • Cuando el tratamiento es realizado por organizaciones sin fines de lucro con finalidad política, filosófica, religiosa o sindical, respecto de sus miembros.

> ⚠️ Dato clave: El tratamiento de datos sensibles sin consentimiento expreso válido constituye una infracción gravísima bajo la Ley 21.719, sancionable con multas de hasta 20.000 UTM (~$1.430 millones CLP). No hay margen para la improvisación.

---

Consentimiento de menores de edad

La Ley 21.719 establece reglas especiales para el tratamiento de datos de niños, niñas y adolescentes (NNA), reconociendo su especial vulnerabilidad:

  • Menores de 14 años: Se requiere el consentimiento del padre, madre o representante legal. El menor no puede consentir por sí mismo.
  • Adolescentes entre 14 y 18 años: Pueden otorgar consentimiento por sí mismos, siempre que la información se les proporcione en un lenguaje adecuado a su edad y madurez, y que el tratamiento no perjudique sus derechos.
  • En todos los casos, el tratamiento debe respetar el interés superior del niño como principio rector.

Buenas prácticas para consentimiento de menores

  • Implementa mecanismos de verificación de edad en tus formularios y plataformas digitales.
  • Usa un lenguaje simple y visual adaptado a la edad del usuario cuando solicites consentimiento a adolescentes.
  • Permite que el representante legal revoque el consentimiento otorgado en nombre de un menor en cualquier momento.
  • Minimiza la recopilación de datos: recoge solo lo estrictamente necesario y nunca con fines de marketing dirigido a menores.

---

Consentimiento granular: no todo en un solo paquete

La granularidad del consentimiento es uno de los cambios más significativos que introduce la Ley 21.719. El concepto es simple: cada finalidad de tratamiento necesita su propio consentimiento separado.

¿Qué significa en la práctica?

Si tu empresa recopila datos para tres finalidades —(1) prestación del servicio contratado, (2) envío de comunicaciones comerciales, y (3) análisis de comportamiento para personalización— necesitas ofrecer al titular la posibilidad de aceptar o rechazar cada una independientemente.

Ejemplo de formulario granular correcto

Un formulario de consentimiento bien diseñado debería verse así:

  • Acepto el tratamiento de mis datos para la prestación del servicio contratado (obligatorio para el servicio).
  • Acepto recibir comunicaciones comerciales y promociones por correo electrónico.
  • Acepto que mis datos de navegación sean analizados para personalizar mi experiencia en la plataforma.

Cada casilla debe poder marcarse o desmarcarse de forma independiente. Ninguna debe estar premarcada.

Ejemplo de formulario incorrecto (inválido)

  • Acepto los términos y condiciones, la política de privacidad, recibir publicidad y el uso de mis datos para cualquier fin (premarcado, genérico, no granular).

Este tipo de consentimiento agrupado y premarcado es nulo bajo la Ley 21.719.

---

Registro y documentación del consentimiento

Obtener el consentimiento no basta: debes poder demostrarlo. El principio de responsabilidad (accountability) del artículo 7° de la Ley 21.719 exige que el responsable sea capaz de acreditar que cuenta con una base de licitud válida para cada tratamiento.

¿Qué debes documentar?

Para cada consentimiento obtenido, tu registro debe incluir:

  • Identidad del titular que otorgó el consentimiento (nombre, RUT o identificador único).
  • Fecha y hora exactas en que se otorgó el consentimiento.
  • Medio utilizado (formulario web, documento físico, app móvil, llamada telefónica grabada).
  • Texto exacto de la cláusula de consentimiento que el titular aceptó, incluyendo la versión del formulario.
  • Finalidad(es) específica(s) para las que se otorgó el consentimiento.
  • Evidencia de la acción afirmativa (log de clic, firma, grabación, etc.).
  • Si se otorgó consentimiento para datos sensibles, documentación adicional que acredite el carácter expreso.

¿Cuánto tiempo conservar estos registros?

Los registros de consentimiento deben conservarse durante todo el período en que se traten los datos y, como mínimo, durante el plazo de prescripción de las infracciones (que la ley establece en función de la gravedad). La recomendación práctica es conservarlos al menos 5 años después de finalizado el tratamiento.

> 💡 Consejo práctico: Gestionar manualmente los registros de consentimiento de cientos o miles de clientes es inviable. datOK automatiza el registro de cada consentimiento con trazabilidad completa: fecha, versión del formulario, finalidades aceptadas y rechazadas, y todo almacenado con integridad auditable.

---

Retiro del consentimiento: el derecho a decir "ya no"

El artículo 12 de la Ley 21.719 es claro: el titular tiene derecho a retirar su consentimiento en cualquier momento, sin necesidad de expresar causa. El retiro del consentimiento debe ser tan fácil como otorgarlo.

Obligaciones del responsable ante el retiro

  • Cesar el tratamiento de los datos cuya base era el consentimiento retirado, sin dilación indebida.
  • No penalizar al titular por retirar su consentimiento. No puedes degradar el servicio, cobrar más o restringir funcionalidades como represalia.
  • Informar al titular que el retiro del consentimiento no afecta la licitud del tratamiento realizado antes del retiro.
  • Si los datos fueron comunicados a terceros con base en el consentimiento, notificarles del retiro.

Mecanismos de retiro que debes implementar

  • Un enlace de desuscripción claro y funcional en cada comunicación comercial por correo electrónico.
  • Un panel de configuración de privacidad en tu sitio web o aplicación donde el usuario pueda gestionar sus consentimientos.
  • Un formulario o canal de contacto para solicitudes de retiro de consentimiento que no puedan gestionarse de forma autónoma.
  • Los cambios deben hacerse efectivos dentro de un plazo razonable, idealmente en 48 horas o menos.

---

Banners de cookies y formularios de consentimiento: buenas prácticas

Banners de cookies

Con la Ley 21.719, los banners de cookies genéricos que dicen "Este sitio usa cookies. Aceptar" dejan de ser suficientes. Un banner de cookies conforme a la ley debe:

  • Clasificar las cookies por categoría: esenciales (no requieren consentimiento), analíticas, de marketing, de personalización.
  • Permitir al usuario aceptar o rechazar cada categoría por separado (granularidad).
  • Funcionar con un modelo de opt-in: las cookies no esenciales no deben activarse hasta que el usuario las acepte explícitamente.
  • Incluir un enlace a la política de cookies o privacidad completa.
  • Ofrecer un botón de "Rechazar todo" igual de visible y accesible que el de "Aceptar todo".
  • No usar dark patterns: nada de colores apagados para "Rechazar", tamaños de botón desiguales o flujos que requieran 5 clics para rechazar y solo 1 para aceptar.

Formularios de registro y contacto

Los formularios web donde se recopilan datos personales deben:

  • Incluir una cláusula informativa visible antes de la acción de envío, indicando quién es el responsable, la finalidad del tratamiento y los derechos del titular.
  • Tener casillas de consentimiento separadas para cada finalidad adicional (newsletter, marketing, perfilamiento).
  • No premascar ninguna casilla.
  • Enlazar a la política de privacidad completa.
  • Si se recopilan datos sensibles, incluir un consentimiento expreso y destacado específico para esos datos.

Consentimiento en apps móviles

Las aplicaciones móviles deben solicitar consentimiento de forma contextual: en el momento en que se necesita acceder al dato, no todo al inicio. Por ejemplo:

  • Solicitar acceso a la geolocalización cuando el usuario active una función que la requiera, no al instalar la app.
  • Solicitar acceso a la cámara solo cuando el usuario quiera escanear un documento, no de forma preventiva.
  • Implementar un centro de permisos donde el usuario pueda revisar y modificar sus consentimientos en cualquier momento.

---

Errores que invalidan el consentimiento

Evita estos errores que pueden hacer que tu consentimiento sea declarado nulo por la Agencia de Protección de Datos Personales:

  • Casillas premarcadas: Viola el requisito de "inequívoco" porque no hay acción afirmativa.
  • Consentimiento agrupado: Mezclar múltiples finalidades en un solo "Acepto" viola el requisito de "específico".
  • Consentimiento condicionado: Exigir consentimiento para fines de marketing como condición para acceder al servicio viola el requisito de "libre".
  • Información insuficiente: No detallar las finalidades, los destinatarios o los derechos del titular viola el requisito de "informado".
  • Sin mecanismo de retiro: No ofrecer una forma fácil de retirar el consentimiento viola el artículo 12.
  • No documentar: No guardar evidencia del consentimiento otorgado viola el principio de responsabilidad (Art. 7°).
  • Consentimiento obtenido bajo engaño: Presentar la información de forma deliberadamente confusa para inducir la aceptación.
  • No renovar tras cambios: Cambiar las finalidades del tratamiento sin solicitar nuevo consentimiento.

---

Gestiona el consentimiento con datOK

La gestión del consentimiento bajo la Ley 21.719 requiere precisión, trazabilidad y automatización. No basta con poner una casilla en tu formulario web: necesitas un sistema que registre, documente, permita el retiro y genere evidencia de cumplimiento para cada consentimiento obtenido.

datOK es la plataforma chilena diseñada para resolver exactamente este problema:
  • Formularios de consentimiento granular listos para incrustar en tu sitio web, con casillas separadas por finalidad.
  • Registro automatizado de cada consentimiento: fecha, hora, versión, finalidades aceptadas/rechazadas, evidencia de la acción afirmativa.
  • Centro de preferencias para que tus usuarios gestionen y retiren consentimientos de forma autónoma.
  • Banner de cookies conforme a la Ley 21.719, con clasificación por categorías y modelo opt-in.
  • Alertas automáticas cuando un consentimiento es retirado, para que tu equipo actúe dentro de plazo.
  • Plan gratuito para PYMEs: comienza a cumplir sin inversión inicial.

No esperes a que la Agencia de Protección de Datos toque tu puerta. Crea tu cuenta gratuita en datOK →

---

Conclusión

El consentimiento de datos personales bajo la Ley 21.719 es mucho más que una casilla de verificación. Es un acto jurídico que debe cumplir cuatro requisitos simultáneos —libre, informado, específico e inequívoco— y que exige mecanismos de gestión robustos: registro documental, retiro fácil, granularidad por finalidad y protección reforzada para datos sensibles y menores de edad.

Con la entrada en vigencia plena de la ley el 1 de diciembre de 2026, las empresas que sigan usando consentimientos genéricos, premarcados o mal documentados se exponen a multas de hasta $1.430 millones CLP. La buena noticia es que adecuarse no tiene por qué ser complicado ni costoso.

datOK te entrega las herramientas para gestionar el consentimiento de forma correcta, automatizada y con evidencia auditable. Empieza gratis hoy. Comienza gratis en datok.cl →

❓ Preguntas Frecuentes

¿Listo para cumplir la Ley 21.719?

datOK te guía paso a paso. Registra tratamientos, gestiona derechos ARCO, notifica brechas y más. Plan gratuito disponible.

Crear cuenta gratis

📖 Artículos Relacionados