Tratamiento de datos personales y control de cláusulas en la contratación por adhesión

Columna de opinión publicada en LWYR – La nueva cara del derecho, por la académica de Derecho UACh Valdivia, Dra. María Elisa Morales 

El tratamiento de datos personales en contratos de adhesión se ha convertido en uno de los principales desafíos regulatorios en la actual economía digital. El creciente uso de cláusulas predispuestas que autorizan el uso, almacenamiento y cesión de datos por parte de proveedores obliga a repensar los criterios de validez y eficacia de este tipo de estipulaciones, particularmente cuando se insertan en condiciones generales que rara vez son objeto de negociación individual.

La entrada en vigencia de la Ley N° 21.719 —prevista para 2026— modifica sustancialmente el marco aplicable. Esta norma introduce requisitos más estrictos en materia de consentimiento, transparencia y cesión de datos, y crea una nueva institucionalidad fiscalizadora. No obstante, mientras dicho régimen no comience a regir, siguen vigentes tanto la Ley N° 19.628 sobre protección de la vida privada como la Ley N° 19.496 sobre protección de los derechos de los consumidores, esta última con su cláusula general de abusividad del artículo 16 letra g) que es particularmente relevante en estas materias. Así, aplicando la mencionada norma, la jurisprudencia de la Corte Suprema ha comenzado a anticipar algunas de las exigencias del nuevo régimen, a través de un control sustantivo de ciertas cláusulas contractuales.

Es el caso del fallo en la causa BBVA, donde se impugnó una cláusula que permitía compartir datos con entidades del grupo empresarial y terceros no individualizados. La Corte Suprema consideró abusiva la autorización genérica para la cesión de datos a terceros sin especificación de fines ni destinatarios (véase Momberg y Morales, 2019). En términos similares, en el caso Ticketmaster, el tribunal invalidó una cláusula que facultaba al proveedor para utilizar y comunicar a terceros los datos recolectados durante la compraventa de entradas, incluyendo preferencias de consumo e intereses. Se concluyó que dicha cláusula excedía los fines propios del contrato principal y que su aceptación no podía entenderse como manifestación válida del consentimiento (De la Maza y Momberg, 2017; 2018).

La Ley N° 21.719 incorpora herramientas más precisas para el análisis de estas situaciones. Por ejemplo, define el consentimiento como una manifestación de voluntad libre, específica e informada, excluyendo las autorizaciones genéricas o forzadas en contextos contractuales donde el tratamiento no sea estrictamente necesario (artículos 2 letra p) y 12). Además, establece que es el proveedor quien debe acreditar la licitud del tratamiento (art. 14) y regula expresamente la cesión de datos a terceros, exigiendo nuevos consentimientos si la cesión no fue prevista inicialmente (art. 15).

Otra nueva disposición importante bajo este contexto es aquella que establece la presunción de que el consentimiento no ha sido libremente otorgado cuando se recaba en el marco de un contrato o servicio en que no es necesario tratar datos personales, salvo que dicha autorización sea la única contraprestación (art. 12, inc. 2°). Esta hipótesis es especialmente significativa en los denominados contratos de cloud storage, donde los datos constituyen el eje del intercambio económico, aun cuando el contrato parezca gratuito (Severin, 2020). En este escenario, el consentimiento solo puede considerarse válido cuando se otorga sobre la base de información clara y comprensible, que permita al adherente prever razonablemente los efectos del contrato (De la Maza y Momberg, 2018).

Por otra parte, tanto en el régimen actualmente vigente como bajo la futura aplicación de la Ley N° 21.719, continuará operando la posibilidad de declarar como abusivas las cláusulas relativas al tratamiento de datos personales, conforme al artículo 16 letra g) de la Ley del Consumidor (ex artículo 2 bis de la Ley Nº19.496). Tal como ha sido sostenido en la doctrina, este tipo de estipulaciones suele generar un desequilibrio relevante en perjuicio del adherente, al permitir al proveedor ampliar unilateralmente el alcance del contrato y obtener ventajas económicas adicionales sin una contraprestación proporcional (Momberg y Morales, 2019; Frigerio, 2018).

En este contexto, el rol del Servicio Nacional del Consumidor (SERNAC) sigue siendo central. Aunque la Ley N° 21.719 no le otorga competencias sancionatorias directas en materia de datos personales y deroga el actual artículo 15bis, su mandato de velar por el cumplimiento de todas las normas que inciden en los derechos de los consumidores permanece plenamente vigente. Esto le permite fiscalizar, iniciar procedimientos voluntarios colectivos (PVC) y ejercer acciones judiciales cuando las cláusulas contractuales que regulan el tratamiento de datos puedan configurarse como abusivas.

Bibliografía y leyes citadas

• Benussi, C. (2020). Obligaciones de seguridad en el tratamiento de datos personales en Chile. RChDT, 9(1), 227–279.
• Bozzo, S. (2020). Sobreendeudamiento y protección de datos personales. R. Derecho PUCV, 55, 99–130.
• De la Maza, I. & Momberg, R. (2017). Términos y condiciones y tratamiento de datos personales en sitios web. RChDT, 6(2), 25–55.
• De la Maza, I. & Momberg, R. (2018). Transparencia como mecanismo de tutela de la privacidad. RChDT, 7(2), 81–111.
• Frigerio, C. (2018). Mecanismos de regulación de datos personales desde el análisis económico del derecho. RChDT, 7(2), 45–80.
• Momberg, R. & Morales, M.E. (2019). Cláusulas relativas al tratamiento de datos personales y art. 16 letra g). RChDT, 8(2), 157–180.
• Severin, G. (2020). Contratos de cloud storage y cláusulas de privacidad. RChDT, 9(1), 121–150.
• Ley N° 19.496 sobre protección de los derechos de los consumidores.
• Ley N° 19.628 sobre protección de la vida privada.
• Ley N° 21.719 sobre protección de datos personales.