“Para que estas prácticas cumplan con su promesa de crear valor, la colaboración entre gobiernos, empresas y sociedad civil es...
La Corte Suprema y los datos biométricos
“¿En qué momento el consentimiento libre e informado valida la recolección de datos, y qué ocurre cuando la persona afectada no puede o no debe consentir? Con la inminente implementación de la Ley Nº 21.719 y el rol de la Agencia de Protección de Datos, Chile se prepara para una etapa en que el tratamiento de información confidencial, especialmente la biométrica, estará bajo una lupa cada vez más rigurosa”.
Karina Soto y Pablo Contreras - 21 enero, 2025
En los últimos años, la discusión sobre la protección de datos personales ha cobrado especial relevancia en Chile, impulsada por avances tecnológicos y el creciente uso de herramientas que recopilan información delicada. Un caso paradigmático se ha dado con Worldcoin SpA, compañía que ofrece escanear el iris de las personas a cambio de criptomonedas. Dos sentencias recientes de la Corte Suprema —con resultados opuestos— ilustran la complejidad jurídica que rodea al tratamiento de datos biométricos y, a su vez, anticipan los desafíos que impondrá la nueva regulación contenida en la Ley Nº 21.719, la cual reformará sustancialmente la Ley Nº 19.628 sobre protección de datos personales.
Pablo ContrerasEl primer caso se originó a partir de una fundación que alegó ante la justicia que Worldcoin SpA había recopilado datos biométricos sin respetar las garantías constitucionales relacionadas con el desarrollo científico y tecnológico (artículo 19 N° 1), la vida privada (artículo 19 N° 4) y el derecho de propiedad (artículo 19 N° 24). El recurso de protección pretendía que se declarara la ilegalidad de dicha recolección y el riesgo de que datos confidenciales fuesen tratados arbitrariamente. Sin embargo, la Corte de Apelaciones de Valparaíso rechazó el recurso, fallo que fue posteriormente confirmado por la Corte Suprema.
¿Por qué se desestimó la acción? Principalmente, por el consentimiento informado y voluntario que prestó el recurrente. Al solicitar explícitamente una hora para el escaneo de su iris, este firmó o aceptó las condiciones explicadas, recibiendo a cambio una compensación en criptomonedas.
Según el criterio de los tribunales, no se evidenciaron actos ilegales o arbitrarios que pusieran en riesgo sus garantías fundamentales, pues la “amenaza” alegada no cumplía con los estándares requeridos para que procediera la cautela del recurso de protección. Así, los jueces estimaron que la controversia debía ventilarse en el procedimiento específico previsto en el artículo 16 de la Ley Nº 19.628, ya que lo reclamado era más una materia de fondo relativa a la protección de datos personales que un asunto de urgencia constitucional.
En ese mismo proceso surgieron otros dos puntos interesantes. Primero, la legitimación activa de la fundación recurrente —Kamanau—, puesto que no es ella quien entregó sus datos biométricos. La Corte recordó que el recurso de protección puede ser ejercido por cualquier persona o institución que estime lesionadas garantías fundamentales, aun cuando los datos no sean propios. Segundo, la legitimación pasiva del Grupo Optimistic SpA y Tools For Humanity Corporation (TFH), empresas supuestamente sucesoras de Worldcoin SpA. Pese a los alegatos de que su rol se limitaba a informar usuarios y no controlar la base de datos, la Corte determinó que la continuidad de actividades —es decir, el escaneo de rostros e iris mediante el “Orb”— las hacía sujetos pasivos de la acción.
Karina SotoEl segundo caso exhibe un desenlace opuesto. Se trata de la recolección de datos biométricos de una menor de edad, hija de un abogado que interpuso el recurso de protección en su representación. El tribunal de primera instancia rechazó la acción con base en un certificado que acreditaría la supuesta eliminación de datos. No obstante, la Corte Suprema revocó esta sentencia y acogió el recurso, sosteniendo que el documento no cumplía con la normativa chilena y que no garantizaba de forma fehaciente la inexistencia o supresión de la información.
El máximo tribunal estimó vulnerados los derechos de la menor a la integridad física y psíquica, a la vida privada y a una protección reforzada de sus datos sensibles, por tratarse de información biométrica. En consecuencia, ordenó a la empresa entregar pruebas confiables, bajo estándares internacionales de seguridad, de que la supresión de los datos fue efectiva y total, para así salvaguardar las garantías consagradas en los artículos 19 N° 1 y N° 4 de la Constitución.
Este contraste de decisiones anticipa las discusiones que se intensificarán con la entrada en vigencia de la reforma a la Ley Nº 19.628, prevista para el 1 de diciembre de 2026. La nueva regulación clasifica los datos biométricos como “datos personales sensibles” en su artículo 16 Ter, protegiéndolos de manera reforzada. De hecho, por regla general, su tratamiento requiere un consentimiento expreso —ya sea escrito, verbal o equivalente—, y se contemplan excepciones limitadas vinculadas a salud y perfil biológico. Adicionalmente, la ley establece una categoría especial para el tratamiento de datos de niños, niñas y adolescentes en el artículo 16 quáter, reconociendo la importancia del interés superior del menor y su autonomía progresiva.
Un aspecto clave es la sancionatoria: el artículo 34 quáter cataloga como infracción gravísima la violación del deber de secreto o la comunicación de datos sensibles sin autorización, con multas de hasta 20.000 UTM (USD 1.344.000). Este esquema punitivo, unido a la creación de la Agencia de Protección de Datos Personales, debería reforzar la vigilancia y el cumplimiento en materia de tratamientos de alta exposición, como el escaneo de iris. En definitiva, la jurisprudencia emanada de la Corte Suprema deja ver el delicado balance entre la libertad individual de disponer de los propios datos y la protección reforzada que merecen los datos de menores de edad.
Para el mundo jurídico, el doble veredicto plantea un punto crucial: ¿en qué momento el consentimiento libre e informado valida la recolección de datos, y qué ocurre cuando la persona afectada no puede o no debe consentir? Con la inminente implementación de la Ley Nº 21.719 y el rol de la Agencia de Protección de Datos, Chile se prepara para una etapa en que el tratamiento de información confidencial, especialmente la biométrica, estará bajo una lupa cada vez más rigurosa. De las resoluciones recientes, queda claro que la frontera entre lo voluntario y lo ilícito puede ser difusa si no se cumplen los requisitos formales y materiales que la nueva normativa impondrá.
Pablo Contreras es director del doctorado en Derecho de la Universidad Central de Chile y Karina Soto Maturana es consultora asociada de DataCompliance.
También te puede interesar:
— Nueva ley de datos personales: lecciones desde el viejo continente
— Shanghai Data Leak: la mayor exposición de datos personales de la historia
— El trabajo vía plataformas digitales en Chile. Ahora es cuándo