La Ley 21.719 —la nueva Ley de Protección de Datos Personales de Chile— ya está publicada, y su vigencia plena es el 1 de diciembre de 2026. La mayoría de los equipos de marketing del país están, sin saberlo, un paso fuera de cumplimiento — no por mala intención, sino porque las prácticas digitales que se aprendieron hace una década se construyeron sobre un marco legal que ya no existe.
En los diagnósticos que se han completado con PrivacyCheck, el patrón se repite: 9 de cada 10 empresas evaluadas presenta al menos una brecha crítica. Pixel de seguimiento sin consentimiento, bases de email compradas o heredadas, CRM con datos de terceros sin trazabilidad, formularios que no cumplen los requisitos mínimos.
El riesgo real: infracciones que van desde 5.000 hasta 20.000 UTM según su gravedad —el tramo superior ronda los $1.400 millones de pesos chilenos con el valor UTM de julio de 2026—, más el daño reputacional que no tiene precio (ver el detalle completo de multas y sanciones).
Aquí van las 7 prácticas más comunes — y más riesgosas.
1El Meta Pixel instalado sin banner de consentimiento real
El píxel de Meta es uno de los scripts más instalados en sitios chilenos. Permite remarketing, medir conversiones y construir audiencias. También es, en la mayoría de las implementaciones actuales, ilegal bajo la nueva ley.
La Ley 21.719 exige consentimiento previo, libre, informado y específico para el tratamiento de datos personales. Un banner que solo dice "este sitio usa cookies" no es suficiente. Se requiere:
- Un banner con opciones reales: aceptar todo, rechazar, o elegir por categoría.
- Que el píxel NO se active hasta recibir el consentimiento.
- Que el usuario pueda retirar ese consentimiento en cualquier momento.
2Las bases de email "heredadas" o compradas
¿Cuándo verificaste por última vez el origen de cada contacto en tu lista de email marketing? La Ley 21.719 establece que el consentimiento es personal e intransferible:
- Una lista comprada a un tercero no tiene base legal, aunque el vendedor asegure que son datos "opt-in".
- Una lista heredada de una empresa absorbida requiere reverificación del consentimiento.
- El consentimiento para un propósito no aplica para otro: descargar un ebook no equivale a aceptar newsletters promocionales.
3Formularios de captura sin cláusula de consentimiento
Revisa cualquier formulario de tu sitio: contacto, demo, descarga de contenido. ¿Dice exactamente para qué usarás los datos? ¿Menciona a qué plataformas los enviarás? ¿Incluye un checkbox de consentimiento no premarcado? Lo que exige la ley en cada formulario:
- Identidad del responsable del tratamiento.
- Finalidad específica ("para enviarte comunicaciones comerciales sobre nuestros servicios").
- Derechos del titular y cómo ejercerlos.
- Checkbox de consentimiento no premarcado.
- Mención de terceros que recibirán los datos (CRM, email, analytics).
4Retargeting y audiencias sin autorización expresa
El retargeting requiere transferir datos de tus usuarios a plataformas de terceros como Meta o Google. Bajo la Ley 21.719, eso es una cesión de datos a terceros que exige consentimiento explícito para esa transferencia específica y un contrato de encargado de tratamiento con la plataforma (los DPA de Meta y Google lo cubren, pero deben estar activos).
5El CRM con datos de prospectos sin origen claro
Es el problema más frecuente y más difícil de resolver: el CRM que acumula años de contactos cargados desde tarjetas de visita, Excel, o bases externas. La ley establece el principio de licitud — todo tratamiento necesita una base legal, y "interés legítimo" no es una llave maestra para cualquier caso.
6La política de privacidad desactualizada
Con alta probabilidad, la política de privacidad de tu sitio menciona la ley anterior y no describe los nuevos derechos ARCOP. Bajo la Ley 21.719, debe incluir identidad del responsable, finalidades de cada tratamiento, destinatarios de los datos, plazos de conservación y cómo ejercer derechos — no una plantilla genérica sin adaptar.
7No tener mapeado qué datos tienes ni quién los trata
El problema detrás de todos los anteriores: la mayoría de las empresas no sabe qué datos personales tiene, dónde están, quién los accede y cuándo se eliminan. La ley exige poder demostrar el cumplimiento — eso implica un Registro de Actividades de Tratamiento (RAT) que mapee scripts instalados, plataformas que reciben datos, flujos entre sistemas y tiempos de conservación.
¿Por dónde empezar?
- Audita tus scripts: lista todos los de terceros en tu sitio y qué datos recopilan.
- Actualiza tus formularios: agrega el texto legal y el checkbox de consentimiento.
- Implementa un banner de cookies funcional: que bloquee scripts hasta recibir consentimiento.
- Actualiza tu política de privacidad con asesoría legal si es necesario.
- Haz un diagnóstico de tu ecosistema digital antes de tomar medidas más profundas.
El error más frecuente en la industria es tratar el cumplimiento normativo como un obstáculo para el marketing. La realidad es al revés: los usuarios que conscientemente optan por recibir tus comunicaciones son más valiosos que diez contactos capturados por default. La Ley 21.719 no es el fin del marketing digital — es el fin del marketing digital descuidado.
¿Cuántas de estas 7 prácticas tiene tu empresa?
PrivacyCheck evalúa tu ecosistema digital completo en 5 minutos y te dice exactamente en cuáles de estas áreas estás expuesto, con un plan de acción priorizado.
🔍 Iniciar diagnóstico sin costo