En conversación con Actualidad Jurídica: El Blog de DOE, la profesora de Derecho Civil y directora de Vinculación con el Medio de la Facultad de Ciencias Jurídicas y Sociales de la Universidad Austral de Chile, María Elisa Morales, analizó el impacto de la nueva legislación sobre protección de datos personales.
En su reflexión, abordó la interacción entre esta nueva normativa y la Ley del Consumidor, así como la necesidad urgente de fortalecer los mecanismos de fiscalización en entornos digitales. A su juicio, el consentimiento informado, específico y activo se consolidará como el nuevo estándar que permitirá dejar atrás las cláusulas abusivas en contratos de adhesión, elevando los niveles de protección para los usuarios y consumidores.
En tu exposición abordaste los contratos de adhesión y el uso abusivo de cláusulas en torno a los datos personales. ¿Qué rol jugará la nueva ley para revertir esa práctica?
La Ley N° 21.719 representa un cambio estructural en el enfoque normativo sobre el tratamiento de datos personales en contratos. Esta nueva legislación viene a corregir una práctica ampliamente extendida: la inclusión de cláusulas predispuestas, poco transparentes y escritas en lenguaje técnico que dificultaban la comprensión por parte de las personas usuarias.
A partir de ahora, los contratos deberán cumplir con requisitos mucho más exigentes en términos de consentimiento, finalidad, transparencia y cesión de datos. La norma establece que el consentimiento debe ser libre, informado, específico e inequívoco. Además, obliga a que cualquier cesión de datos personales cumpla con exigencias formales claras. Esto significa que muchas cláusulas que anteriormente pasaban inadvertidas o que eran difíciles de impugnar por falta de regulación específica, ahora serán consideradas ilegales de manera directa, y, por tanto, podrán ser sancionadas. Es un paso importante hacia una protección real y efectiva de los derechos de las personas en entornos contractuales.
El consentimiento adquiere una nueva dimensión con esta normativa. ¿Qué tan preparados están los actores del mercado para cumplir con estos requisitos más exigentes?
El nuevo marco legal redefine el consentimiento como una manifestación de voluntad activa, lo que implica la eliminación completa del consentimiento tácito o inferido por el solo uso de una plataforma o sitio web. En la práctica, esto obliga a las empresas a replantear la forma en que obtienen, gestionan y justifican el tratamiento de datos personales.
En muchos casos, los modelos de negocio actuales están basados en prácticas que no cumplen con los principios de transparencia ni de legalidad que ahora impone la ley. Aun cuando la normativa aún no entra plenamente en vigencia, ya es evidente que una parte importante del mercado no está preparada para enfrentar este nuevo estándar.
Especialmente preocupante es la situación de aquellas empresas que han construido su operación sobre contratos de adhesión con cláusulas genéricas o ambiguas, que no resistirían un análisis legal bajo esta nueva legislación. La transición requerirá no solo ajustes contractuales, sino también un cambio cultural en cómo se entiende el consentimiento y la protección de datos.
¿Cómo dialogan la Ley 21.719 y la Ley del Consumidor en la protección de los datos de las personas? ¿Hay un riesgo de superposición o se complementan?
Ambas normas se complementan de manera armónica. La Ley N° 21.719 establece un régimen especializado y detallado sobre el tratamiento de datos personales, introduciendo principios y obligaciones específicas que antes no existían. Sin embargo, no regula de forma directa la abusividad contractual, lo que sigue siendo competencia de la Ley del Consumidor.
El artículo 16 letra g) de la Ley del Consumidor seguirá siendo plenamente aplicable para impugnar cláusulas abusivas sobre datos personales en contratos de adhesión, especialmente cuando estas vayan en contra de los principios de transparencia o de equilibrio contractual. Además, el artículo 2 bis de esa misma ley establece que, en lo no previsto por leyes especiales, se aplicará su normativa general.
Por tanto, lo que vemos es un marco normativo complementario, donde la ley especial y la ley general se articulan para reforzar la protección de los derechos de las personas consumidoras. Este diálogo entre ambas leyes permitirá una fiscalización y judicialización más robusta en materia de tratamiento indebido de datos.
¿Qué enseñanzas dejan casos como BBVA o Ticketmaster sobre el uso y cesión de datos sin información clara ni fines determinados?
Los casos de BBVA y Ticketmaster son muy ilustrativos del vacío normativo que existía y del tipo de prácticas que la nueva ley busca erradicar. En el caso de BBVA, la Corte Suprema determinó que no era justificable entregar datos personales a terceros sin una finalidad claramente establecida ni la identificación de los destinatarios. En el caso de Ticketmaster, se declaró abusiva la obtención de consentimiento por el mero uso del sitio web, sin que existiera una acción afirmativa por parte del usuario.
Estos fallos evidenciaron la fragilidad del marco regulatorio anterior, en el que se dependía en gran medida de la interpretación judicial para corregir prácticas cuestionables. Con la entrada en vigor de la Ley N° 21.719, este tipo de situaciones pasarán a ser no solo abusivas, sino derechamente ilegales. La nueva normativa establece con claridad los requisitos para una cesión válida de datos, y en consecuencia, conductas como las observadas en estos casos serán sancionadas por la autoridad administrativa competente. Lo que antes requería largos procesos judiciales ahora podrá ser abordado con mayor eficiencia a través de la fiscalización directa.
¿Cuáles son las cláusulas más comunes que quedarían automáticamente fuera de norma con esta nueva legislación?
Varias cláusulas que hoy se encuentran en contratos de adhesión quedarán fuera de norma bajo la nueva legislación. Entre las más comunes están aquellas que permiten la cesión de datos a terceros sin identificar al destinatario ni establecer una finalidad concreta; también las que obtienen el consentimiento de forma tácita, es decir, por el simple uso del sitio web, sin que exista una manifestación activa de voluntad.
Asimismo, serán inválidas las cláusulas que condicionan la prestación de un servicio a la entrega de datos personales que no son estrictamente necesarios para su ejecución. Por ejemplo, solicitar el número de teléfono para descargar un documento que no requiere contacto posterior, o exigir el RUT para acceder a promociones sin justificación legítima. La Ley N° 21.719 exige un consentimiento que sea expreso, informado y específico, y prohíbe el tratamiento de datos para fines distintos de los informados, salvo que exista un nuevo consentimiento para ese uso. Estas disposiciones elevan significativamente el estándar y ponen fin a muchas prácticas invasivas.
¿Cómo debiera fortalecerse la fiscalización en plataformas digitales que hacen un uso intensivo de los datos de usuarios sin entregar suficientes garantías?
La creación de la Agencia de Protección de Datos Personales, contemplada en la nueva ley, es un avance significativo. Esta entidad contará con facultades fiscalizadoras y sancionatorias, lo que permitirá abordar de forma más sistemática las infracciones. Sin embargo, la efectividad de la fiscalización no dependerá solo de su existencia formal, sino de que cuente con los recursos técnicos, humanos y operativos suficientes para desempeñar su labor en un entorno digital altamente dinámico.
Además, es crucial que exista coordinación interinstitucional. Organismos como el SERNAC, que ya tienen competencias en la protección de los derechos de los consumidores, deberán trabajar de manera articulada con la nueva agencia. La fiscalización no debe ser únicamente reactiva, sino también preventiva y estratégica, identificando patrones de riesgo y anticipándose a las prácticas abusivas. Solo con una institucionalidad fuerte y coordinada podremos garantizar una protección efectiva de los datos personales en el entorno digital actual.