"El fallo no inaugura una regla nueva, pero sí expone una falla estructural: si el tiempo solo obliga al administrado,...
Una vez más sobre la relación entre el derecho de los datos personales y el de consumo
“La relevancia de comprender la interrelación entre ambas materias será clave para que las organizaciones tomen una postura proactiva de gestión de riesgos y adopten las acciones que permitan cumplir con sus obligaciones, tanto en su rol de proveedor como responsables en el tratamiento de datos personales”.
Francisca Barrientos Camus / Juan Pablo González - 28 noviembre, 2025
Hace días se conoció a través de la prensa chilena que una empresa automotriz habría sufrido una brecha de seguridad, exponiendo varios datos personales de consumidores.
Más allá de todos los puntos interesantes que puede presentar esta nueva negociación colectiva que se abrió mediante un procedimiento voluntario colectivo, en términos que se aceptó una denuncia fundada de las asociaciones de consumidores, cuando algunas de ellas tuvieron que incluso llegar a la Contraloría por este tema, o que aparezca de inmediato el tema en la prensa; en realidad en esta columna queremos reforzar la conexión entre el derecho del consumo y el derecho de los datos personales, que puede impactar a toda la región latinoamericana ya que las agencias y las fuentes normativas se parecen bastante.
Francisca Barrientos CamusYa lo habíamos escrito antes: “no nos olvidemos del derecho del consumidor” cuando se trata de analizar el régimen de cumplimiento de los datos personales. En Chile, esto constituye una señal potente, puesto que una vez más este mismo año el Servicio Nacional del Consumidor abrió un procedimiento voluntario colectivo sobre las filtraciones de datos personales y no lo hace solo fundado en el artículo 15 bis, que solo representará una derogación formal cuando entre en vigor la reforma a la Ley de datos Nº 21.719 y modifique la Ley Nº 19.628.
Por disposición expresa de el artículo 2 bis y 3 inciso final de la ley de consumo, los temas de los derechos de los consumidores que impactan en los procesos y gestiones relacionados con datos personales seguirán siendo de competencia de este órgano defensor de los derechos de los consumidores que negocia, ejerce acciones colectivas, fiscaliza, dicta circulares, pero que no sanciona con multas a beneficio fiscal, sino que solo puede denunciarlas.
Los medios de prensa han comentado que casi 400.000 datos de personas circulan en la deep web y hay sospechas de un proveedor relacionado con el ámbito automotriz. En la resolución que da inicio al procedimiento voluntario colectivo que, valga la redundancia, se inicia por una denuncia fundada de una importante organización de consumidores, se establecen como posiblemente infringidas las reglas contenidas en “los artículos 3 inciso 1° letras d) y e), 15 bis y 23 de la Ley N° 19.496, y demás normativa legal o reglamentaria que resulte pertinente y aplicable en la especie”. Entonces, como es posible apreciar, simplemente se cita el artículo 15 bis de una manera referencial.
Por ello, hay que considerar las reglas que aluden a la seguridad en el consumo, materializado en este caso por la filtración de datos personales (artículo 3 inciso primero letra d), el derecho a una reparación o compensación en su favor (artículo 3 inciso primero letra e), junto con el señalamiento al deber de profesionalidad contenido en el artículo 23 de la ley es el marco normativo básico y esencial desde el punto de vista de la ley del consumidor.
De nuevo “no nos olvidemos del derecho del consumidor”. Este es un claro ejemplo de cómo la normativa de consumo converge con otra área del derecho. Mucho se discute en Chile sobre este tema mediante el recurso a la especialidad versus supletoriedad o diálogo de fuentes, pero más allá de eso, en este caso desde la vereda del consumidor, la filtración de datos personales constituye una posible brecha a la seguridad en el consumo, regulado como un derecho irrenunciable de forma anticipada para los consumidores.
Además, se hace referencia en la resolución que inicia el procedimiento voluntario colectivo al deber de profesionalidad del artículo 23 de la ley de consumidor, que constituye un elemento importante a tener en consideración, por los deberes que se imponen a ciertos proveedores más allá de las obligaciones asociadas al entorno físico, abordando algunas operaciones en sistemas informáticos (propios o de terceros).
Juan Pablo González GutiérrezEsas son las formas en que se cristaliza la protección al consumidor, mediante reparaciones, cese de la publicidad engañosa, nulidad de cláusulas abusivas, correcciones de conductas, etc. Por eso, todo lo relacionado con los datos personales de las personas podrá revisarse al amparo de esta ley.
Desde el punto de vista de la naturaleza del resguardo de las libertades y derechos de los titulares de los datos personales contenidos en la ley de datos, el proveedor podrá ser sancionado al cese de la conducta por la misma Agencia, y además condenado a pagar multas a beneficio fiscal, con sumas que tendrán un gran efecto disuasorio por sus elevados quantum, tal como lo hace la regulación europea, principal fuente en Latinoamérica. Sin embargo, los remedios civiles como la reparación, compensación o nulidad muy posiblemente se ventilen bajo la normativa sobre consumidor, pese a la referencia que establece la normativa de protección de datos personales.
De allí que el llamado será comprender el rol relevante que tendrá la normativa y jurisprudencia en materia de consumidor para un correcto entendimiento de los límites entre estas normas, a fin de lograr un correcto resguardo de los derechos de los titulares de datos personales en sus relaciones de consumo, que, como se ha mencionado anteriormente, va más allá del artículo 15 bis de la Ley Nº 19.496; y que, en algunas situaciones como la reseñada líneas más arriba, será complejo articular.
Incluso, desde el punto de vista de las relaciones entre estas agencias, más que promover una concurrencia de competencias entre el Servicio Nacional del Consumidor y la futura Agencia de Protección de Datos Personales, creemos que será necesario que ellas puedan coordinarse en la dictación de normativas; y, cuando la Agencia multe, podría derivar los antecedentes al SERNAC, para efectos de ver las posibles acciones colectivas o negociaciones a través de procedimientos voluntarios colectivos, acciones de interés general o fiscalizaciones.
Extendiendo el tema un poco más allá, si la materia compete a lo financiero, hacer lo propio con la Comisión para el Mercado Financiero o si se trata de temas de ciberseguridad, con la Agencia Nacional de Ciberseguridad. En nuestra región el asunto es similar; algunos países separan las agencias y otros ven todo esto como más libre competencia o propiedad intelectual.
En conclusión, la relevancia de comprender la interrelación entre ambas materias será clave para que las organizaciones tomen una postura proactiva de gestión de riesgos y adopten las acciones que permitan cumplir con sus obligaciones, tanto en su rol de proveedor como responsables en el tratamiento de datos personales.
Sin duda, la coordinación de la Agencia de Protección de Datos Personales con el Servicio Nacional del Consumidor y otras instituciones permitirá reducir la duplicidad de esfuerzos en este desafío de cumplir.
Francisca Barrientos Camus es profesora investigadora IDD de la Facultad de Derecho de la Universidad Autónoma de Chile y of counsel en GA abogados.
Juan Pablo González Gutiérrez es director del área de protección de datos personales en HD Group.
También te puede interesar:
— La garantía legal en el proyecto de ley “pro consumidor”