Por Raúl Arrieta Cortés*
La controversia generada a raíz de las restricciones impuestas por el Ministerio de Educación (Mineduc) a la entrega de bases de datos de postulantes PAES a las Universidades ha sido presentada, por algunas instituciones de educación superior, como un problema operativo grave: una suerte de “ceguera” que les impediría contactar a potenciales alumnos. Sin embargo, esta mirada reduce el problema a una cuestión instrumental y omite lo esencial. Lo que está ocurriendo no es un simple ajuste administrativo, sino la manifestación concreta de un cambio de paradigma jurídico largamente anunciado en materia de protección de datos personales.
La reacción de algunas Universidades, que reclaman la imposibilidad de acceder a teléfonos, correos electrónicos y antecedentes de los postulantes para efectos de difusión y captación, choca frontalmente con el marco normativo vigente y, en particular, con una interpretación estricta del principio de finalidad que hoy resulta ineludible. En este contexto, la entrada en vigor de la Ley N° 21.719 no inaugura una restricción arbitraria, sino que cierra definitivamente una zona gris en la que, durante años, se normalizó el uso de datos personales con fines que excedían su justificación legal original.
Durante años, el sistema de admisión operó bajo una lógica de “datos abiertos de facto”. La información entregada por los estudiantes al rendir la prueba de selección fluía, casi automáticamente, hacia las Universidades, que la utilizaban no solo para fines de postulación, sino también para campañas de difusión, estrategias de marketing y acciones de captación temprana. Esta práctica se asentó más por inercia que por un análisis jurídico riguroso de su licitud.
El problema es que esa lógica nunca estuvo realmente alineada con la Ley N° 19.628. Hoy, con mayor razón, resulta incompatible con el estándar reforzado que introduce la Ley N° 21.719 que entra en vigor en diciembre de 2026. El artículo 20 de la Ley N° 19.628, en su versión modificada, es categórico: los organismos públicos solo pueden tratar y ceder datos personales cuando ello sea necesario para el cumplimiento de sus funciones legales. Y la función del Mineduc es clara: organizar y garantizar el acceso al sistema de educación superior, no actuar como intermediario de bases de datos para facilitar actividades comerciales, incluso cuando estas provengan de instituciones públicas en su dimensión competitiva.
Desde esta perspectiva, el argumento de la “ceguera” pierde fuerza. No se trata de que el sistema haya dejado de funcionar; se trata de que el sistema dejó de tolerar usos jurídicamente injustificados de datos personales.
Así, el punto central del debate está en el consentimiento. Bajo la práctica histórica, se asumía una suerte de autorización implícita, tácita o, derechamente, forzada: si el estudiante rendía la prueba, sus datos pasaban a formar parte de un circuito informacional amplio y poco delimitado. Esa lógica hoy es insostenible.
La Ley N° 21.719 introduce modificaciones sustantivas al artículo 22 de la Ley N° 19.628, reforzando una exigencia que ya estaba presente, pero que ahora adquiere un carácter operativo ineludible: la cesión de datos personales a entidades privadas, o a organismos públicos fuera de su competencia legal directa, requiere autorización expresa, libre, informada y específica del titular.
Esto implica un cambio cultural profundo. El estudiante deja de ser concebido como un “lead” disponible en una base de datos estatal y recupera su condición de titular de datos. Si un estudiante no ha postulado activamente a una Universidad determinada, dicha institución no tiene título jurídico alguno para acceder a su correo electrónico o número telefónico, salvo que exista un opt-in claro, inequívoco y verificable.
La consecuencia es evidente: la captación ya no puede descansar en la explotación pasiva de bases de datos públicas, sino en la decisión activa del propio estudiante de iniciar una relación informada con la institución.
Conviene subrayarlo: las restricciones actuales no son una ocurrencia reciente ni una sobrerreacción normativa. Son la consolidación de un criterio que la Contraloría General de la República ha sostenido de manera consistente durante más de una década. Ya en el Dictamen N° 61.480 de 2009, el órgano contralor advirtió expresamente que la División de Educación Superior no podía solicitar ni tratar datos personales más allá de lo estrictamente necesario para fines estadísticos o para el cumplimiento de funciones legales expresamente asignadas.
La doctrina administrativa ha sido clara en un punto fundamental: la competencia de un órgano público no es un cheque en blanco para disponer de los datos personales de los ciudadanos. El hecho de que el Estado recolecte información en el marco de un proceso regulado no habilita, por sí solo, su reutilización para finalidades distintas.
En la misma línea, el Consejo para la Transparencia ha reiterado, en sus recomendaciones, que el principio de finalidad obliga a que los datos personales se utilicen únicamente para los fines que justificaron su recolección. Rendir una prueba de selección universitaria y recibir campañas de marketing institucional son, desde el punto de vista jurídico, finalidades distintas, que requieren habilitaciones normativas igualmente distintas.
Las universidades deben asumir que la “ceguera” que hoy denuncian no es un retroceso, sino un avance en términos de derechos fundamentales. Lo que se está protegiendo no es una formalidad burocrática, sino la autonomía informativa del estudiante. Insistir en volver a prácticas anteriores no solo resulta conceptualmente errado, sino que podría exponer tanto a las instituciones como a los órganos públicos involucrados a responsabilidades relevantes bajo el nuevo régimen sancionatorio que administrará la futura Agencia de Protección de Datos.
El desafío es otro. Ya no se trata de acceder masivamente a datos ajenos, sino de construir propuestas académicas suficientemente atractivas y transparentes para que sea el propio estudiante quien, de manera voluntaria, entregue su información. Ese giro no debilita al sistema; lo fortalece. Sustituye una lógica de explotación de bases de datos estatales por una relación basada en la confianza, la licitud y el respeto efectivo por los derechos de las personas.
Y ese, conviene decirlo sin ambigüedades, es exactamente el sentido profundo del nuevo derecho de protección de datos personales en Chile.
*Raúl Arrieta Cortés
GA-Abogados
