La privacidad ya no es un componente opcional de la estrategia de negocio, sino un eje fundamental para generar confianza y cumplir un marco regulatorio cada vez más exigente. Con la inminente entrada en vigor de la Ley 21.719 y la creación de la Agencia de Protección de Datos Personales, ninguna organización chilena puede darse el lujo de improvisar: cada dato que se recolecte y utilice debe reposar sobre una base de licitud clara.
Esta guía conecta las bases legales con ejemplos reales y recorre, paso a paso, cómo verificar el cumplimiento antes, durante y después de poner en marcha un tratamiento de datos personales.
1. Las bases de licitud, con ejemplos de la vida diaria
El primer filtro para saber si puedes tratar un dato es identificar la base que lo habilita. Piensa en estas bases como “permisos” otorgados por la ley; si no encuentras uno válido, es mejor detenerte y rediseñar el proyecto. A continuación, revisamos las siete bases más frecuentes y las acompañamos con situaciones concretas que probablemente ya estén ocurriendo en tu organización.
Consentimiento informado
Imagina que tu startup de educación en línea quiere enviar un boletín semanal con novedades. Para hacerlo de forma lícita, incluyes una casilla voluntaria y desmarcada —“Acepto recibir el newsletter”— y, tras el clic, envías un correo de confirmación. Solo cuando el usuario valida esa dirección, activas los envíos. Este acto expreso y reversible es la esencia del consentimiento válido.
Ejecución de un contrato
Si vendes zapatillas en un e‑commerce, necesitarás la dirección del comprador para despachar el producto. La ley te autoriza a usar ese dato porque es indispensable para cumplir el contrato de compraventa. No necesitas una casilla extra de consentimiento para la entrega: la propia transacción lo legitima.
Obligación legal
Un banco chileno reporta ciertas operaciones sospechosas a la Unidad de Análisis Financiero siguiendo la normativa de prevención de lavado de activos. Aquí el banco no consulta al titular; simplemente cumple la ley, y esa obligación es suficiente para legitimar el tratamiento.
Interés legítimo
Un retail instala cámaras de videovigilancia (CCTV) en los accesos para evitar robos. Tras un análisis de equilibrio —la grabación se limita a espacios comunes y se avisa con señalética— concluye que su interés en la seguridad no vulnera los derechos de los clientes. Puede usar las imágenes sin pedir consentimiento individual siempre que documente esa evaluación.
Fuente de acceso público
Una proptech que ayuda a agilizar ventas revisa el Conservador de Bienes Raíces en línea para verificar la titularidad de inmuebles. Dado que estos registros son públicos, la ley permite su consulta y tratamiento, siempre que la empresa respete la finalidad declarada y no combine los datos para fines incompatibles.
Protección de la vida o la salud
En una emergencia, una clínica comparte el historial de un paciente inconsciente con el SAMU para estabilizarlo durante el traslado. Aquí no hay tiempo para formularios: la base de licitud se activa automáticamente porque lo que está en juego es la vida del titular.
2. Cinco momentos clave para tu “licitud check”
Tener claro el fundamento legal es solo el inicio: la licitud debe acompañar todo el ciclo de vida del dato. Te propongo cinco hitos —si los recorres cada vez que lances un proyecto, reducirás casi a cero el riesgo de sanciones y fortalecerás la confianza de quienes comparten su información contigo.
Define la finalidad con lupa
Pregunta “¿para qué?” hasta que la respuesta sea concreta. Por ejemplo, “quiero los correos para enviar invitaciones a nuestros webinars de analítica”, no “para acciones de marketing variadas”. Cuanto más específico el objetivo, menor la probabilidad de desvíos indebidos.
Escoge la base legal adecuada
Una vez claro el para qué, elige el permiso correcto: newsletter → consentimiento; despacho → contrato; videos de seguridad → interés legítimo. Si ninguna base encaja, replantéalo: sin permiso, no hay tratamiento.
Aplica la regla de minimización
Recoge solo los datos imprescindibles y define un plazo de conservación razonable. Si gestionas un webinar, pide nombre y correo, no la profesión ni la dirección postal. Y elimina registros de usuarios inactivos tras 18 meses, a menos que una norma exija guardarlos más tiempo.
Informa con transparencia
Diseña una política de privacidad escrita en lenguaje cotidiano. Ofrece un resumen visible (preguntas frecuentes o un aviso emergente) y enlaza la versión completa. Explica quién eres, por qué necesitas los datos, cuánto tiempo los guardarás y cómo se pueden ejercer los derechos de acceso, rectificación o eliminación.
Documenta y revisa
Ningún proyecto termina al hacer clic en “publicar”. Mantén un Registro de Actividades de Tratamiento (RAT) donde anotes finalidad, base legal, plazo de retención y responsables. Programa auditorías anuales o cuando cambie el proceso. Si incorporas IA o nuevos destinos para los datos, actualiza la documentación y, si es necesario, realiza una Evaluación de Impacto en Protección de Datos antes de escalar.
El consentimiento claro es tu mejor aliado
Nada erosiona más la confianza que la letra chica. Evita casillas premarcadas, textos kilométricos y jerga legal. Opta por frases sencillas, resalta lo esencial y proporciona un botón visible para revocar la autorización. Si revocar es tan fácil como otorgar, tus usuarios sentirán control y tú demostrarás cumplimiento proactivo.
Cumplir no se trata de llenar papeles
Es construir una relación de respeto con las personas detrás de los datos. Define un propósito claro, elige la base legal correcta, aplica la minimización, sé transparente y documenta. Así blindas tu reputación, evitas multas millonarias y conviertes la privacidad en ventaja competitiva.
Glosario de siglas
CCTV:Closed‑Circuit Television (circuito cerrado de cámaras de video).
DPO:Data Protection Officer o Delegado de Protección de Datos.
RAT:Registro de Actividades de Tratamiento.
SAMU:Servicio de Atención Médica de Urgencia.