¿Qué es Consentimiento Informado para Cruce de Datos?
Este concepto representa la manifestación de voluntad del titular de los datos que valida legalmente la interconexión de plataformas informáticas en el ecosistema moderno. Para que el consentimiento sea considerado "informado", la organización que lo solicita no puede recurrir a cláusulas genéricas, confusas u ocultas en contratos de adhesión extensos. El usuario debe recibir información clara, en un lenguaje sencillo y accesible, sobre qué datos exactos se van a cruzar (por ejemplo, el historial de facturación del SII con el saldo de su cuenta corriente bancaria), qué entidades participarán en la transferencia, para qué fines específicos se utilizará esa correlación y cuál será el periodo de vigencia de dicha autorización. Bajo los estándares actuales de protección de datos y el marco de las finanzas abiertas, el consentimiento es eminentemente específico y granular, lo que significa que otorgar permiso para un fin determinado (como evaluar un riesgo crediticio) no faculta a la empresa para usar ese cruce de datos en campañas de marketing digital o venta cruzada.
Ejemplo:
Un cliente selecciona una casilla de verificación independiente en una aplicación fintech para autorizar explícitamente que el software lea su historial de DTE del SII con el fin de calcular un cupo de financiamiento.
Consejos de aplicación
Diseña los flujos de experiencia de usuario (UX) en tus plataformas de manera que las autorizaciones de cruce de datos se presenten de forma separada a los términos y condiciones generales, permitiendo al cliente aceptar de manera diferenciada cada uso de su información.Diferencias relevantes
El Consentimiento Informado para Cruce de Datos requiere una acción proactiva del usuario para unificar bases de datos de distintas procedencias bajo un fin específico, mientras que la Aceptación de Términos y Condiciones Generales es el contrato marco obligatorio que rige el uso básico e interno de un software o servicio.Normativas asociadas
Ley N° 19.628 (Sobre Protección de la Vida Privada - Artículos 4° y 9°): Es el pilar legal básico que mandata la obligatoriedad de la autorización en Chile. Estipula de forma taxativa que el tratamiento y la comunicación cruzada de datos personales solo pueden efectuarse cuando la ley lo autorice o el titular consienta expresamente en ello. Este consentimiento debe ser por escrito, libre, informado y específico respecto a las finalidades y las terceras entidades con las que se compartirá la información. Nueva Ley de Protección de Datos Personales (Ley N° 21.697 / Estándar GDPR): Redefine y endurece drásticamente las características del consentimiento para el cruce de datos masivo o automatizado. Esta reforma legal elimina la validez del consentimiento tácito o por omisión (como las casillas pre-marcadas en plataformas web), exigiendo que la autorización sea una manifestación de voluntad inequívoca, específica, informada y mediante una acción afirmativa clara, otorgando además el derecho a revocar dicho consentimiento de manera tan fácil como fue concedido.Preguntas frecuentes
¿Qué características debe tener el consentimiento para ser legalmente válido?
Bajo las normativas modernas de privacidad, el consentimiento debe ser previo (antes de que ocurra el cruce), expreso (manifestado mediante una acción inequívoca), libre (sin presiones ni coacciones), informado (con pleno conocimiento de los fines) y específico para la actividad declarada.
¿Un usuario puede revocar el consentimiento de cruce de datos después de haberlo aceptado?
Sí. El derecho a retractarse o revocar la autorización es una garantía legal e irrevocable. Las plataformas tecnológicas están obligadas a proveer un mecanismo digital que sea igual de sencillo y rápido para desactivar el cruce de datos que el utilizado para autorizarlo originalmente.
¿Se considera válido el consentimiento si las casillas de aceptación vienen pre-marcadas por defecto?
No. Las casillas pre-marcadas o el silencio del usuario constituyen un consentimiento tácito o inactivo, el cual está prohibido por las regulaciones vigentes de protección de datos. El usuario siempre debe realizar una acción afirmativa (como hacer clic o deslizar un botón) para que la autorización sea válida.
Ver video demos