Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

8 de mayo de 2026

Datos sensibles en la Ley 21.719: qué son y cómo tratarlos

Datos sensibles en la Ley 21.719: qué son y cómo tratarlos

La Ley 21.719 sobre Protección de Datos Personales no trata igual a todos los datos. Algunos requieren una protección reforzada porque revelan información íntima sobre las personas. Si tu empresa trata datos sensibles sin cumplir la ley, enfrentas multas de hasta 2.400 UF (casi $100 millones) y daño reputacional. Esta guía te explica qué son, por qué están protegidos y cómo cumplir sin perder funcionalidad operacional.

¿Qué son los datos sensibles en Chile?

El artículo 5 de la Ley 21.719 define los datos sensibles como aquellos que afecten la dignidad, intimidad o derechos fundamentales de una persona. No son todos los datos, sino categorías específicas que merecen blindaje legal. El legislador fue explícito: cierta información es tan íntima que simplemente no puede tratarse por cualquier motivo.

Los datos sensibles incluyen:

  • Salud: diagnósticos, medicamentos, historiales médicos, resultados de exámenes
  • Origen racial o étnico: descendencia, comunidad indígena, nacionalidad de origen
  • Opiniones políticas: afiliación partidaria, preferencias electorales, activismo
  • Creencias religiosas o filosóficas: fe, iglesia, práctica espiritual
  • Vida sexual: orientación, prácticas, preferencias, identidad de género
  • Datos biométricos: huella dactilar, reconocimiento facial, iris, voz
  • Datos genéticos: análisis de ADN, predisposiciones hereditarias
  • Afiliación sindical: membresía en sindicatos o asociaciones gremiales
  • Datos económicos sensibles: referencias crediticias, historial de mora, insolvencia

¿Por qué la ley limita su tratamiento?

El motivo es simple: estos datos, en manos equivocadas, pueden usarse para discriminar, extorsionar o violar derechos fundamentales. Un empleador que descubre que un trabajador tiene una enfermedad crónica podría despedirlo. Un acreedor que accede a datos de insolvencia puede perseguir legalmente. Una institución política que obtiene información sobre creencias religiosas puede dirigirse a ese grupo para manipular.

Por eso la ley no prohíbe el tratamiento de datos sensibles (eso sería irreal), sino que lo condiciona a bases legales sólidas y controles técnicos reforzados. La finalidad es equilibrio: permitir operaciones legítimas (un hospital debe tener tu diagnóstico), pero evitar abuso.

Bases legales para tratar datos sensibles

No todos los datos sensibles se tratan igual. El artículo 6 de la Ley 21.719 establece cuándo sí puedes procesarlos:

1. Consentimiento explícito

Es la base más exigente. Requiere consentimiento escrito, voluntario, informado e inequívoco. No vale pre-tildado ni genérico. Si un gimnasio quiere tratar datos biométricos (huella para acceso), debe pedir consentimiento específico antes de recopilar. En PrivacTech, esto significa documentar el consentimiento y mantenerlo disponible para auditorías.

2. Interés vital

Aplica cuando tratar datos sensibles protege la vida o salud de la persona. Un hospital trata datos de salud sin pedir consentimiento previo en emergencias. Una línea de suicidio accede a información psicológica para intervenir. Esto es estrecho y debe justificarse.

3. Obligación legal

Si la ley obliga, no necesitas consentimiento. Las clínicas deben reportar diagnósticos a organismos públicos. Las AFP necesitan datos de afiliación sindical para descuentos. Pero debes tener copia de la norma que lo ordena.

Ejemplos prácticos por sector

Sector salud: Una clínica trata datos de diagnósticos (salud). Base legal: consentimiento explícito al firmar contrato de atención. Control técnico: cifrado de historiales, acceso restringido por rol, auditoría de accesos.

Sector financiero: Un banco revisa historial de mora (dato económico sensible). Base legal: obligación legal (Ley de Bancos) y consentimiento para uso adicional (marketing). Control técnico: encriptación de datos crediticios, acceso solo a áreas autorizadas.

Sector laboral: Un sindicato mantiene listado de afiliados. Base legal: consentimiento explícito al afiliarse. Control técnico: base de datos segregada, acceso solo a delegados, contraseña fuerte.

Doble capa de protección técnica requerida

La ley no solo exige base legal, sino controles técnicos y organizacionales especiales para datos sensibles. Significa dos cosas:

Primera capa (cifrado): Los datos deben estar encriptados en reposo (en servidores) y en tránsito (al transportarlos). No es opcional, es mandatorio. Si robaran tu base de datos, los datos sensibles deben ser ilegibles.

Segunda capa (acceso): Solo personas con necesidad operacional deben acceder. Un recepcionista no necesita ver diagnósticos completos. Un ejecutivo de ventas no necesita datos de afiliación sindical. Implementa roles granulares y audita accesos mensualmente.

Conclusión: cumple sin complicarte

Los datos sensibles no son enemigos de tu negocio, son derechos de tus clientes y empleados que merecen protección. Cumplir es simple si identificas qué datos tienes, qué base legal aplicará y qué controles necesitas.

Si manejas datos sensibles en tu PyME o empresa, analiza hoy mismo tu compliance de protección de datos. PrivacTech te ayuda a mapear datos sensibles, definir bases legales automáticamente y activar controles técnicos sin complejidad. Haz tu análisis gratis en privactech.com y asegura tu negocio en 15 minutos.