🛡️
PrivacyCheckby SWELL
Diagnosticar →
Riesgos comunes

7 prácticas de marketing digital que hoy son ilegales bajo la Ley 21.719

Si tu empresa opera en Chile, tiene un sitio web, envía emails de marketing, usa Meta Ads o Google Ads, o simplemente guarda datos de clientes en un CRM, esto te afecta.

6 min de lecturaActualizado julio 2026

La Ley 21.719 —la nueva Ley de Protección de Datos Personales de Chile— ya está publicada, y su vigencia plena es el 1 de diciembre de 2026. La mayoría de los equipos de marketing del país están, sin saberlo, un paso fuera de cumplimiento — no por mala intención, sino porque las prácticas digitales que se aprendieron hace una década se construyeron sobre un marco legal que ya no existe.

En los diagnósticos que se han completado con PrivacyCheck, el patrón se repite: 9 de cada 10 empresas evaluadas presenta al menos una brecha crítica. Pixel de seguimiento sin consentimiento, bases de email compradas o heredadas, CRM con datos de terceros sin trazabilidad, formularios que no cumplen los requisitos mínimos.

El riesgo real: infracciones que van desde 5.000 hasta 20.000 UTM según su gravedad —el tramo superior ronda los $1.400 millones de pesos chilenos con el valor UTM de julio de 2026—, más el daño reputacional que no tiene precio (ver el detalle completo de multas y sanciones).

Aquí van las 7 prácticas más comunes — y más riesgosas.

1El Meta Pixel instalado sin banner de consentimiento real

El píxel de Meta es uno de los scripts más instalados en sitios chilenos. Permite remarketing, medir conversiones y construir audiencias. También es, en la mayoría de las implementaciones actuales, ilegal bajo la nueva ley.

La Ley 21.719 exige consentimiento previo, libre, informado y específico para el tratamiento de datos personales. Un banner que solo dice "este sitio usa cookies" no es suficiente. Se requiere:

2Las bases de email "heredadas" o compradas

¿Cuándo verificaste por última vez el origen de cada contacto en tu lista de email marketing? La Ley 21.719 establece que el consentimiento es personal e intransferible:

3Formularios de captura sin cláusula de consentimiento

Revisa cualquier formulario de tu sitio: contacto, demo, descarga de contenido. ¿Dice exactamente para qué usarás los datos? ¿Menciona a qué plataformas los enviarás? ¿Incluye un checkbox de consentimiento no premarcado? Lo que exige la ley en cada formulario:

4Retargeting y audiencias sin autorización expresa

El retargeting requiere transferir datos de tus usuarios a plataformas de terceros como Meta o Google. Bajo la Ley 21.719, eso es una cesión de datos a terceros que exige consentimiento explícito para esa transferencia específica y un contrato de encargado de tratamiento con la plataforma (los DPA de Meta y Google lo cubren, pero deben estar activos).

5El CRM con datos de prospectos sin origen claro

Es el problema más frecuente y más difícil de resolver: el CRM que acumula años de contactos cargados desde tarjetas de visita, Excel, o bases externas. La ley establece el principio de licitud — todo tratamiento necesita una base legal, y "interés legítimo" no es una llave maestra para cualquier caso.

6La política de privacidad desactualizada

Con alta probabilidad, la política de privacidad de tu sitio menciona la ley anterior y no describe los nuevos derechos ARCOP. Bajo la Ley 21.719, debe incluir identidad del responsable, finalidades de cada tratamiento, destinatarios de los datos, plazos de conservación y cómo ejercer derechos — no una plantilla genérica sin adaptar.

7No tener mapeado qué datos tienes ni quién los trata

El problema detrás de todos los anteriores: la mayoría de las empresas no sabe qué datos personales tiene, dónde están, quién los accede y cuándo se eliminan. La ley exige poder demostrar el cumplimiento — eso implica un Registro de Actividades de Tratamiento (RAT) que mapee scripts instalados, plataformas que reciben datos, flujos entre sistemas y tiempos de conservación.

¿Por dónde empezar?

El error más frecuente en la industria es tratar el cumplimiento normativo como un obstáculo para el marketing. La realidad es al revés: los usuarios que conscientemente optan por recibir tus comunicaciones son más valiosos que diez contactos capturados por default. La Ley 21.719 no es el fin del marketing digital — es el fin del marketing digital descuidado.

¿Cuántas de estas 7 prácticas tiene tu empresa?

PrivacyCheck evalúa tu ecosistema digital completo en 5 minutos y te dice exactamente en cuáles de estas áreas estás expuesto, con un plan de acción priorizado.

🔍 Iniciar diagnóstico sin costo