El 1 de diciembre de 2026 entra en plena vigencia la Ley 21.719 de Protección de Datos Personales en Chile. Con ella, la Agencia de Protección de Datos Personales (APDP) queda con facultad plena para fiscalizar, sancionar y recibir reclamaciones de ciudadanos contra empresas que no cumplan la normativa.
No es un cambio menor. Es el reemplazo de una ley de 1999 —de cuando el ecommerce era una novedad y las redes sociales no existían— por un marco moderno, cercano al estándar GDPR europeo, que regula prácticamente todo lo que hace hoy un equipo de marketing digital.
La buena noticia: queda tiempo para prepararse. La menos buena: ese tiempo es más corto de lo que parece.
¿Qué cambia exactamente con esta ley?
En términos simples, la Ley 21.719 establece que los datos personales de tus clientes, prospectos y usuarios web son de ellos, no tuyos. Tu empresa los puede usar, pero bajo condiciones específicas: con una razón legal válida, para el propósito declarado, y mientras el titular lo permita.
Hay tres cambios que impactan directamente el día a día del marketing digital:
1. El consentimiento pasa a ser la regla, no la excepción
No basta con que el usuario no haya dicho que no. Ahora necesitas que diga activamente que sí, de forma informada y específica para cada propósito. Eso afecta formularios, banners de cookies, bases de email y prácticamente cada punto de captación de datos que tienes.
2. Los titulares tienen derechos concretos y exigibles
Cualquier persona puede pedirte que le digas qué datos tienes sobre ella, que los corrijas, que los elimines o que dejes de usarlos (los derechos ARCOP — ver la guía completa). El plazo general de respuesta es de 30 días hábiles, prorrogable por una sola vez hasta 30 días hábiles más. Es razonable, pero exige tener un proceso documentado.
3. Ya no basta con no hacer daño: hay que poder demostrar que cumples
La ley establece el principio de responsabilidad proactiva. Si llega una inspección, la carga de la prueba es tuya. Necesitas tener documentado qué datos tienes, de dónde vienen, para qué los usas y con quién los compartes.
Por qué esto golpea especialmente al marketing digital
El marketing digital moderno se construyó sobre los datos. Cada píxel instalado en un sitio, cada base de email, cada audiencia de retargeting, cada integración entre el CRM y la plataforma de ads es, técnicamente, tratamiento de datos personales. Muchas de esas prácticas —hoy estándar en cualquier equipo— no cumplen con el nuevo marco legal.
Los puntos de mayor riesgo que se repiten en la mayoría de los ecosistemas digitales chilenos:
- Meta Pixel y Google Analytics 4 sin consentimiento previo. Si esos scripts se cargan apenas entra el usuario, sin que haya aceptado explícitamente, hay tratamiento sin base legal. Aplica igual a Hotjar, Clarity, TikTok Pixel y cualquier herramienta de terceros.
- Bases de email sin origen verificado. ¿Sabes cuándo y cómo cada contacto autorizó recibir tus comunicaciones? Listas compradas, heredadas o construidas sin checkbox explícito no son válidas bajo la nueva ley.
- Formularios sin texto legal ni consentimiento explícito. Un campo de email más un botón "Enviar" ya no es suficiente. Hay que especificar para qué se usarán los datos, con quién se compartirán, y un checkbox que el usuario active voluntariamente.
- Retargeting sin autorización expresa. Subir una lista de contactos a Meta o Google para Customer Match es una cesión de datos a terceros. Requiere que los contactos hayan autorizado ese uso específico.
- CRM con contactos de origen incierto. Prospectos cargados desde tarjetas de visita, Excel o bases externas necesitan una base legal documentada. "Siempre lo hemos hecho así" no es una respuesta válida ante una fiscalización.
Estas no son excepciones raras — son exactamente las brechas que aparecen una y otra vez, sin importar el tamaño de la empresa ni la madurez de su equipo de marketing.
Checklist mínimo antes del 1 de diciembre
- Audita qué scripts de terceros están instalados en tu sitio y qué datos recopilan.
- Implementa un banner de cookies que realmente bloquee los scripts hasta recibir consentimiento — no uno solo informativo.
- Agrega el texto legal y el checkbox de consentimiento (no premarcado) en cada formulario de captación.
- Revisa el origen de tu base de email: identifica contactos sin consentimiento verificable.
- Confirma que tus campañas de retargeting tengan autorización explícita para compartir datos con Meta o Google.
- Define un proceso documentado para responder solicitudes ARCOP dentro de los 30 días hábiles.
Una mirada honesta: ¿por qué actuar ahora y no en noviembre?
Porque hacerlo a último momento siempre sale más caro. Ajustar el banner de cookies cuando el sitio ya tiene 200 landing pages, limpiar una base de 50.000 contactos en dos semanas, o documentar el origen de 5 años de contactos en el CRM — todo eso es manejable con tiempo, y un problema real bajo presión, con la Agencia ya operando y una reclamación en curso.
Hay además un argumento de negocio que se pasa por alto: los usuarios que eligen darte sus datos de forma consciente son mejores clientes. Mejores tasas de apertura, menor tasa de baja, mayor conversión. El marketing construido sobre confianza rinde más que el construido sobre inercia.
¿Cuál es la exposición real de tu empresa?
PrivacyCheck es un diagnóstico gratuito que evalúa tu ecosistema digital en 7 áreas clave de la Ley 21.719: sitio web, formularios, publicidad digital, email marketing, CRM, proveedores y datos internos. En menos de 5 minutos obtienes tu score de riesgo, una exposición estimada en CLP y las acciones más urgentes para tu caso.
🔍 Iniciar diagnóstico sin costo