Casi todo lo que tu empresa hace con datos —guardarlos, usarlos para facturar, mandar promociones, compartirlos con un proveedor— es "tratamiento". La ley de tratamiento de datos personales en Chile no prohíbe usarlos: prohíbe usarlos sin permiso y sin reglas. Entender qué está permitido te evita la multa y te ahorra rehacer procesos.
Qué es el tratamiento de datos personales y qué permite la ley
La Ley 21.719 entiende por tratamiento de datos personales cualquier operación que se realice sobre ellos: recolectarlos, almacenarlos, organizarlos, usarlos, comunicarlos, transferirlos, modificarlos o eliminarlos. Si tu empresa hace alguna de esas acciones con datos de personas, está tratando datos y debe cumplir la ley.
Lo permitido se define por una regla central: todo tratamiento necesita una base de licitud. No puedes tratar datos "porque sí". Antes de recolectarlos, debes poder responder dos preguntas: ¿con qué finalidad? y ¿bajo qué base legal? Si no tienes respuesta a la segunda, el tratamiento es ilícito.
Las bases legales que permiten tratar datos
La ley reconoce varias bases que legitiman el tratamiento. Estas son las principales que usará una empresa:
| Base legal | Cuándo aplica | Ejemplo |
|---|---|---|
| Consentimiento | El titular autoriza de forma libre, específica, informada e inequívoca | Suscripción voluntaria a un newsletter |
| Ejecución de contrato | El dato es necesario para cumplir un contrato con el titular | Procesar el despacho de una compra online |
| Obligación legal | Una ley exige tratar el dato | Guardar datos tributarios para el SII |
| Interés vital | Proteger la vida o integridad de una persona | Datos médicos en una emergencia |
| Interés legítimo | El responsable tiene un interés que no vulnera los derechos del titular | Prevención de fraude |
Cuando se trata de datos sensibles (salud, biometría, creencias), la regla general se endurece: normalmente se exige consentimiento explícito y, en muchos casos, una evaluación de impacto previa.
Qué está prohibido o requiere cuidado especial
Saber qué no puedes hacer es tan importante como saber qué sí:
- Tratar datos sin base legal. Es la infracción más básica y se considera grave.
- Usar los datos para un fin distinto al informado al recolectarlos (principio de finalidad).
- Pedir más datos de los necesarios para el fin declarado (principio de proporcionalidad).
- Casillas premarcadas o consentimientos genéricos. Ya no son un mecanismo válido de consentimiento.
- Compartir datos con proveedores sin un contrato de encargo que cumpla los requisitos legales.
Responsable y encargado: quién responde
La ley distingue dos roles. El responsable decide para qué y cómo se tratan los datos (tu empresa). El encargado los trata por cuenta del responsable (tu proveedor SaaS, el call center, la empresa de TI externa). Ambos tienen obligaciones, y entre ellos debe existir un contrato de encargo (DPA) que regule qué puede hacer el encargado con los datos. Si tu proveedor falla, tu empresa también puede responder.
Conclusión
El tratamiento de datos personales bajo la Ley 21.719 está permitido siempre que tengas una base legal, una finalidad clara y respetes los principios de la ley. El error más común y caro es tratar datos "por costumbre" sin justificación. Puedes revisar qué bases legales respaldan los tratamientos de tu empresa acá.