Datos personales y datos sensibles: diferencias según la normativa chilena

Cristóbal
Datos personales y datos sensibles: diferencias según la normativa chilena

Nombre, correo electrónico, dirección IP, historial de navegación y antecedentes de salud no reciben necesariamente el mismo tratamiento. Entender la diferencia entre datos personales y datos sensibles permite revisar con mayor criterio formularios, cookies, CRM y herramientas de marketing. En este artículo aprenderás cómo distinguirlos según la normativa chilena y aplicarlo a la operación real de un sitio web.

¿Cuál es la diferencia entre datos personales y datos sensibles?

Los datos personales son aquellos que se refieren a una persona natural identificada o identificable. Los datos sensibles son una categoría de datos personales vinculada con aspectos especialmente protegidos de su vida privada, intimidad o determinadas características personales.

En términos simples, todo dato sensible es un dato personal, pero no todo dato personal es sensible. El nombre de un cliente puede ser un dato personal, mientras que un antecedente sobre su estado de salud pertenece a una categoría que requiere mayores cuidados.

La distinción importa porque permite definir qué información necesita realmente la empresa, qué medidas de seguridad son apropiadas y bajo qué condiciones puede utilizarse. También ayuda a evitar que formularios, campañas o integraciones recolecten más información de la necesaria.

¿Qué se considera un dato personal en Chile?

La Ley N.º 19.628 sobre protección de la vida privada define los datos personales como información concerniente a personas naturales identificadas o identificables. La referencia a personas naturales es importante: los datos puramente corporativos de una empresa no son necesariamente datos personales, aunque sí pueden serlo los antecedentes de sus representantes, trabajadores o contactos.

Algunos ejemplos habituales son:

  • Nombre, RUT, domicilio y número de teléfono.
  • Correo electrónico asociado a una persona.
  • Datos de una cuenta de usuario o perfil de cliente.
  • Dirección de despacho e historial de compras.
  • Dirección IP, identificadores de dispositivo o cookies cuando permiten distinguir o relacionar la actividad con una persona identificable.
  • Registros de acceso, interacciones y acciones realizadas dentro de una plataforma.

Un dato no necesita mostrar el nombre para ser personal. Si puede combinarse razonablemente con otra información para identificar a alguien, sigue existiendo una relación con una persona. Por eso, reemplazar el nombre por un código interno no siempre convierte los registros en anónimos.

¿Qué se considera un dato sensible?

Los datos sensibles son datos personales que se refieren a características físicas o morales, o a hechos y circunstancias de la vida privada o intimidad. La normativa vigente menciona, entre otros, los hábitos personales, el origen racial, las ideologías, las opiniones políticas, las creencias religiosas, los estados de salud físicos o psíquicos y la vida sexual.

Estos datos pueden aparecer en lugares evidentes, como la ficha de una clínica, pero también dentro de campos abiertos. Por ejemplo, un formulario de contacto que solo solicita nombre, correo y mensaje podría recibir voluntariamente información sobre una enfermedad, una afiliación sindical o una situación personal delicada.

La Ley N.º 19.628 restringe el tratamiento de datos sensibles y contempla determinadas situaciones en que puede realizarse, como la existencia de consentimiento del titular, una autorización legal o los casos vinculados con beneficios de salud previstos por la norma. Por ello, una empresa debería evitar solicitar información sensible por costumbre o sin una finalidad claramente definida.

¿Qué cambia con la Ley 21.719 desde diciembre de 2026?

La Ley N.º 21.719 sobre protección y tratamiento de datos personales fue publicada en diciembre de 2024 y sus principales modificaciones entrarán en vigencia el 1 de diciembre de 2026. Hasta entonces continúa aplicándose el régimen vigente de la Ley N.º 19.628.

La nueva regulación define como dato personal cualquier información vinculada o referida a una persona natural identificada o identificable. También precisa que la identificación puede ser directa o indirecta, considerando elementos como el nombre, la cédula de identidad y componentes de la identidad física, genética, psíquica, económica, cultural o social.

La enumeración de datos sensibles se vuelve más detallada e incorpora expresamente categorías como:

  • Origen étnico o racial.
  • Afiliación política, sindical o gremial.
  • Situación socioeconómica.
  • Convicciones ideológicas, filosóficas o religiosas.
  • Datos de salud, perfil biológico humano y datos biométricos.
  • Vida sexual, orientación sexual e identidad de género.

Además, el consentimiento expreso será la regla general para tratar datos personales sensibles, sin perjuicio de las excepciones establecidas por la propia ley. Para conocer el cambio regulatorio con mayor amplitud, puedes revisar la comparación entre la Ley 19.628 y la Ley 21.719 publicada por CookieSent.

Ejemplos en sitios web, formularios, ecommerce, SaaS y CRM

Formulario de contacto

Nombre, correo y teléfono son datos personales cuando se relacionan con una persona. Si el campo de mensaje recibe antecedentes médicos, religiosos o políticos, el formulario también podría terminar almacenando datos sensibles, aunque esos campos no estuvieran previstos originalmente.

Ecommerce

Un ecommerce trata datos personales al gestionar una compra, una dirección de despacho o un historial de pedidos. Si vende productos vinculados con condiciones de salud y relaciona esas compras con un cliente, el contexto podría revelar información que merece una evaluación más cuidadosa.

SaaS y CRM

Una plataforma SaaS puede registrar cuentas, direcciones IP, actividad, permisos y solicitudes de soporte. Cuando estos registros llegan al CRM, pueden combinarse con formularios, llamadas, campañas y notas comerciales. Esa combinación puede aumentar la capacidad de identificar y perfilar a una persona.

Analítica y publicidad digital

Una herramienta de analítica puede medir páginas vistas y conversiones, mientras un píxel publicitario crea audiencias o atribuye resultados. Aunque marketing vea identificadores y eventos en lugar de nombres, la información puede seguir siendo personal si permite reconocer, diferenciar o relacionar la actividad de un usuario.

Cookies, píxeles y analítica: ¿tratan datos personales o sensibles?

Una cookie no es automáticamente un dato personal o sensible. Para evaluarla es necesario revisar qué información contiene, qué permite hacer, con qué otros datos se combina y quién recibe los resultados.

Una cookie técnica puede limitarse a mantener una sesión o recordar un carrito. Una cookie analítica puede asignar un identificador al navegador y registrar eventos. Un píxel publicitario puede comunicar que una persona visitó una página, completó un formulario o realizó una compra. Estas finalidades son distintas y no deberían analizarse como si fueran equivalentes.

La revisión debería considerar:

  • El identificador utilizado y su duración.
  • Las páginas, eventos y acciones registrados.
  • La posibilidad de asociar la actividad con una cuenta, lead o cliente.
  • Los proveedores y plataformas que reciben información.
  • Las inferencias o perfiles que pueden generarse.

El contexto es decisivo. Visitar una página genérica no equivale a revelar un dato sensible. Sin embargo, el seguimiento de una persona identificable a través de contenidos sobre enfermedades, creencias u orientación sexual podría permitir inferir información especialmente protegida.

Para profundizar en la revisión técnica, consulta la guía sobre cómo identificar las cookies y píxeles que carga un sitio web. También puedes revisar qué aspectos considerar al configurar Google Analytics 4, cookies y consentimiento.

Cómo revisar y clasificar los datos que utiliza tu empresa

La clasificación no debería quedar solamente en manos del área legal. Marketing, desarrollo, ventas, soporte y administración suelen conocer partes distintas del recorrido de la información. Una revisión práctica puede seguir estos pasos:

  1. Inventariar los puntos de recolección: formularios, registros, checkout, chat, soporte, encuestas y áreas privadas.
  2. Identificar datos técnicos: cookies, píxeles, direcciones IP, eventos, logs y almacenamiento local.
  3. Mapear los destinos: CRM, plataformas publicitarias, analítica, email marketing y proveedores externos.
  4. Definir la finalidad: explicar por qué se necesita cada dato y evitar pedir información excesiva.
  5. Detectar datos sensibles: revisar tanto campos estructurados como textos libres, archivos adjuntos e inferencias.
  6. Revisar acceso y conservación: determinar quién puede consultar los datos y durante cuánto tiempo se mantienen.
  7. Alinear la comunicación: actualizar formularios, política de privacidad y gestión de preferencias según el funcionamiento real.

El checklist de CookieSent para preparar un sitio web puede ayudarte a conectar esta clasificación con cookies, políticas, CRM y procesos internos.

Errores frecuentes al distinguir estas categorías

  • Creer que solo el nombre y el RUT son datos personales.
  • Suponer que cualquier información confidencial de una empresa es un dato sensible.
  • Considerar anónima una base solo porque se eliminaron los nombres.
  • Clasificar todas las cookies como sensibles o, en el extremo contrario, asumir que ninguna trata datos personales.
  • Pedir información sensible en formularios sin una necesidad definida.
  • Pensar que instalar un banner resuelve por sí solo toda la gestión de datos personales.

Un banner cumple una función específica dentro de un trabajo más amplio. La empresa también debe revisar formularios, integraciones, finalidades, accesos, proveedores y procesos para atender las solicitudes de los titulares.

Preguntas frecuentes sobre datos personales y sensibles

¿Un correo electrónico es un dato personal?

Puede serlo cuando identifica o permite identificar a una persona, como ocurre con una dirección que incluye su nombre. Un correo genérico como contacto@empresa.cl no necesariamente se refiere a una persona natural, aunque su uso posterior podría vincularlo con una.

No siempre. Depende de si permiten identificar directa o indirectamente a una persona o relacionar distintas acciones con ella. Deben evaluarse junto con la cuenta de usuario, los eventos, la información disponible para el proveedor y otros identificadores.

¿Todos los datos financieros son sensibles?

No corresponde clasificarlos automáticamente de esa forma. La nueva Ley N.º 21.719 incluye expresamente la situación socioeconómica dentro de los datos sensibles, pero cada antecedente debe analizarse según la información que revela y el contexto de tratamiento.

¿Los datos de una empresa son datos personales?

La protección se refiere a personas naturales. La razón social de una empresa no es, por sí sola, un dato personal. Sí pueden serlo el nombre, correo, teléfono y cargo de una persona que trabaja o representa a esa organización.

Conclusión

La diferencia fundamental es sencilla: los datos personales permiten identificar o hacer identificable a una persona, mientras que los datos sensibles forman parte de esa categoría y revelan aspectos que requieren una protección especial. Aplicar esta distinción exige mirar más allá de las bases de clientes e incluir formularios, cookies, píxeles, analítica, CRM y proveedores externos.

Si no sabes qué tecnologías están recogiendo información en tu sitio, CookieSent puede ayudarte a detectar cookies y rastreadores, ordenar categorías y gestionar las preferencias de los usuarios. Puedes contactar al equipo de CookieSent y solicitar una revisión inicial de tu sitio web.

Cristóbal