Autor: Rodrigo Moyano
Managing Director | Martech & Media
Si gestionas marketing digital en Chile —o cualquier estrategia que implique recopilar datos de clientes—, lo que te voy a contar en los próximos minutos te afecta directamente.
Desde el 1 de diciembre de 2026, la Ley 21.719 de Protección de Datos Personales entra en plena vigencia en Chile. Con ella, se crea la Agencia de Protección de Datos, el organismo que tendrá la facultad de fiscalizar, sancionar y recibir reclamaciones de ciudadanos contra empresas que no cumplan la normativa.
No estamos hablando de un cambio menor. Es el reemplazo de una ley que data de 1999 —cuando Google tenía un año de vida y Facebook no existía— por un marco moderno, más cercano al GDPR europeo, que regula prácticamente todo lo que hacemos en marketing digital hoy.
La buena noticia: queda tiempo para prepararse. La menos buena: ese tiempo es más corto de lo que parece, y la mayoría de las empresas chilenas aún no ha tomado acción.
¿Tu empresa está preparada? Haz el diagnóstico gratuito en 10 minutos.
→ privacycheck.cl
¿Qué cambia exactamente con esta ley?
En términos simples, la Ley 21.719 establece que los datos personales de tus clientes, prospectos y usuarios web son de ellos, no tuyos. Tu empresa los puede usar, pero bajo condiciones muy específicas: con una razón legal válida, para el propósito que declaraste y mientras el titular lo permita.
Hay tres cambios que impactan directamente el día a día del marketing digital:
- El consentimiento pasa a ser la regla, no la excepción. No basta con que el usuario no haya dicho que no. Ahora necesitas que diga activamente que sí, de forma informada y específica para cada propósito. Eso afecta formularios, banners de cookies, bases de email y prácticamente cada punto de captación de datos que tienes.
- Los titulares tienen derechos concretos y exigibles. Cualquier persona puede pedirte que le digas qué datos tienes sobre ella, que los corrijas, que los elimines o que dejes de usarlos. Y tienes 30 días corridos para responder (prorrogables por una sola vez hasta 30 días más). Es un plazo razonable, pero requiere tener un proceso documentado.
- Ya no es suficiente con no hacer daño: debes poder demostrar que cumples. La ley establece el principio de responsabilidad proactiva. Si te llega una inspección, la carga de la prueba es tuya. Debes tener documentado qué datos tienes, de dónde vienen, para qué los usas y con quién los compartes.
🗓️ Marca esta fecha en tu calendario:
1 de diciembre de 2026 — entrada en plena vigencia de la Ley 21.719. Desde esa fecha, la Agencia de Protección de Datos puede fiscalizar, recibir reclamaciones y aplicar sanciones. Las multas llegan hasta 5.000 UTM para infracciones leves, 10.000 UTM para graves y 20.000 UTM para gravísimas (equivalente a ~US$1,2 millones o ~$1.340 millones de pesos al valor actual).
¿Por qué esto golpea especialmente al marketing digital?
Porque el marketing digital moderno se construyó sobre los datos. Cada píxel instalado en un sitio web, cada base de email, cada audiencia de retargeting, cada integración entre el CRM y la plataforma de ads es, técnicamente, tratamiento de datos personales.
Y muchas de esas prácticas, que hoy son estándar en cualquier equipo de marketing, no cumplen con el nuevo marco legal.
Estos son los puntos de mayor riesgo que vemos en prácticamente todos los ecosistemas digitales que auditamos:
- El Meta Pixel y Google Analytics 4 instalados sin consentimiento previo. Si esos scripts se cargan apenas entra el usuario al sitio, sin que haya aceptado explícitamente, estás recopilando datos sin base legal. Aplica igual a Hotjar, Clarity, TikTok Pixel y cualquier herramienta de terceros.
- Bases de email sin origen verificado. ¿Sabes cuándo y cómo cada contacto de tu lista autorizó recibir tus comunicaciones? Si la respuesta es ‘no del todo’, tienes un problema. Las listas compradas, heredadas o construidas sin checkbox explícito no son válidas bajo la nueva ley.
- Formularios de captación sin texto legal ni consentimiento explícito. Un campo de email más un botón ‘Enviar’ ya no es suficiente. Necesitas especificar para qué usarás los datos, con quién los compartirás y un checkbox que el usuario active voluntariamente.
- Retargeting y audiencias personalizadas sin autorización expresa. Subir una lista de contactos a Meta Ads o Google para hacer Customer Match es una cesión de datos a terceros. Requiere que tus contactos hayan autorizado ese uso específico.
- CRM con contactos de origen incierto. Los prospectos ingresados manualmente desde tarjetas de visita, importados de Excel o cargados desde bases externas necesitan una base legal documentada. ‘Siempre lo hemos hecho así’ no es una respuesta válida ante una inspección.
En SWELL hemos auditado docenas de ecosistemas digitales de empresas chilenas y estas son exactamente las brechas que encontramos, una y otra vez, sin importar el tamaño de la empresa ni la madurez de su equipo de marketing.
Las acciones concretas que tu equipo debe tomar antes del 1 de diciembre
La buena noticia es que la mayoría de estos problemas tienen solución. No todas requieren meses de trabajo ni presupuestos enormes. Lo que sí requieren es decisión de empezar.
Aquí el checklist mínimo que todo equipo de marketing debería revisar antes de fin de año:
Qué hacer | Por qué importa bajo la nueva ley |
|---|---|
Implementar un banner de cookies funcional | No uno informativo: uno que bloquee los scripts de terceros (Pixel, Analytics, etc.) hasta recibir consentimiento. Herramientas como Cookiebot o CookieYes hacen esto sin tocar el código del sitio. |
Auditar todos los formularios de captación | Agregar texto legal que especifique finalidad y responsable del tratamiento + checkbox de consentimiento no premarcado. Aplica a landing pages, formularios de contacto, descargas de contenido y registros de eventos. |
Revisar el origen de tu base de email | Segmentar por fecha y origen. Los contactos sin consentimiento documentado necesitan una campaña de re-opt-in o ser eliminados de la lista activa antes de diciembre. |
Actualizar la política de privacidad del sitio | Debe mencionar la Ley 21.719, identificar al responsable del tratamiento, detallar las finalidades y describir los derechos del titular y cómo ejercerlos. |
Documentar la base legal de los datos en el CRM | Para los contactos activos: ¿cuál es la base legal del tratamiento? Consentimiento, relación contractual o interés legítimo (este último tiene requisitos específicos). |
Revisar los contratos con agencias y plataformas | Toda empresa que procese datos de tus clientes en tu nombre (agencia de medios, CRM, plataforma de email, etc.) debe tener un contrato de encargado de tratamiento vigente. |
Establecer un proceso para atender solicitudes de derechos | ¿Qué pasa si mañana un cliente te pide que elimines todos sus datos? Necesitas un proceso documentado que garantice respuesta en 30 días corridos. |
¿Quieres saber cuál es la exposición real de tu empresa?
Desde SWELL desarrollamos PrivacyCheck, una herramienta de diagnóstico gratuita que evalúa el ecosistema digital de tu empresa en 7 áreas clave de la Ley 21.719: sitio web, formularios, publicidad digital, email marketing, CRM, proveedores y datos internos.
En menos de 10 minutos obtienes un reporte con tu nivel de riesgo por área, una puntuación general de cumplimiento y las recomendaciones más urgentes para tu caso específico.
No reemplaza una asesoría legal. Pero te da lo que necesitas para tomar decisiones informadas: saber exactamente dónde estás parado.
