Un marco legal que llevaba 25 años sin actualizarse
Chile tuvo durante más de dos décadas una ley de protección de datos que ya no daba abasto con la realidad digital: la Ley 19.628, de 1999, cuando el ecommerce era una novedad y las redes sociales no existían. En ese vacío regulatorio, el tratamiento de datos personales en campañas de marketing, CRMs y plataformas de automatización operó durante años sin un marco claro.
La Ley 21.719 —publicada el 13 de diciembre de 2024— cambia ese escenario de forma definitiva. Actualiza el marco legal chileno a un estándar comparable al GDPR europeo, establece derechos explícitos para los titulares de datos, y crea la Agencia de Protección de Datos Personales como organismo autónomo de fiscalización.
Chile es uno de los primeros países de América Latina en tener un marco de esta envergadura. Y buena parte del ecosistema empresarial —especialmente el mundo del marketing digital— todavía no está preparado.
La fecha que importa: 1 de diciembre de 2026
La ley contempla un período de implementación gradual desde su publicación. Su vigencia plena es el 1 de diciembre de 2026: desde ese día, todas las obligaciones —incluida la fiscalización activa de la Agencia— son plenamente exigibles.
¿Qué implica para las empresas que gestionan datos de clientes?
En términos prácticos, la Ley 21.719 impacta a cualquier organización que recopile, almacene, procese, comparta o analice datos de personas naturales. En Chile, eso incluye a prácticamente todas las empresas con presencia digital.
El cambio conceptual más importante: ya no basta con no hacer daño. Las empresas deben poder demostrar activamente que tratan los datos correctamente — el principio de responsabilidad proactiva, que transforma el cumplimiento de una declaración de intenciones en un sistema de evidencia real.
Los nuevos derechos de tus clientes
La ley otorga a los titulares de datos un conjunto de derechos —conocidos como ARCOP— que las empresas están obligadas a respetar y facilitar:
| Derecho | En qué consiste |
|---|---|
| Acceso | Saber qué datos tienes sobre una persona, cómo los usas y con quién los compartes. |
| Rectificación | Exigir que corrijas datos inexactos o desactualizados. |
| Cancelación | Pedir que borres sus datos si ya no existe base legal para tratarlos. |
| Oposición | Oponerse al tratamiento de sus datos, incluso cuando hubo consentimiento previo. |
| Portabilidad | Solicitar una copia de sus datos en formato digital para llevárselos a otro proveedor. |
El plazo general para responder es de 30 días hábiles, prorrogable por una única vez hasta 30 días hábiles adicionales cuando hay justificación. No responder a tiempo es en sí mismo una infracción sancionable.
Las obligaciones operativas concretas
Más allá de los derechos de los titulares, la ley impone obligaciones directas a las empresas:
- Mantener un Registro de Actividades de Tratamiento (RAT): inventario documentado de todos los flujos de datos personales de la organización.
- Implementar medidas de seguridad técnicas y organizativas proporcionales al riesgo.
- Reportar brechas de seguridad a la Agencia dentro de las 72 horas de conocerlas.
- Designar un encargado de protección de datos (DPO) en ciertos casos.
- Realizar evaluaciones de impacto para tratamientos de alto riesgo.
El impacto directo en marketing digital
El marketing digital moderno se construyó sobre la recopilación y el análisis de datos. Cada clic, cada conversión, cada apertura de email, cada audiencia segmentada es, en términos legales, tratamiento de datos personales. La ley no prohíbe estas prácticas — las regula. Y esa regulación cambia buena parte del stack de herramientas que usa hoy un equipo de marketing:
- Cookies y scripts de terceros: Meta Pixel, GA4, Hotjar y similares recopilan datos personales de los visitantes. Sin un sistema de consentimiento que bloquee estos scripts hasta recibir autorización, el tratamiento carece de base legal.
- Bases de email: el consentimiento debe ser específico, documentado y revocable. Una lista comprada, heredada o construida antes de la ley requiere reverificación.
- Retargeting y Customer Match: compartir datos de usuarios con Meta o Google para audiencias publicitarias es una cesión a terceros que exige consentimiento explícito.
- Formularios de captación: cada punto de captura necesita identidad del responsable, finalidad específica, derechos del titular y un checkbox de consentimiento no premarcado.
- CRM y datos de prospectos: todo contacto necesita una base legal documentada y trazable.
La privacidad de datos no es un obstáculo: es una ventaja competitiva
Las empresas que miran la Ley 21.719 como un costo operativo van a cumplir lo mínimo, tarde y sin estrategia. Las que la entienden como una oportunidad van a construir algo más valioso: la confianza de sus clientes.
Los consumidores chilenos, como los de cualquier mercado maduro, están cada vez más atentos a cómo las empresas usan sus datos. Un banner de cookies real, un proceso de solicitud de derechos que funcione y una política de privacidad honesta no son solo exigencias legales — son señales de que una empresa respeta a sus clientes. Y esa confianza se traduce en números concretos: mejores tasas de apertura, menor cancelación de suscripción, mayor calidad de audiencias y un CAC más eficiente.
El tiempo de preparación se acaba el 1 de diciembre de 2026. La pregunta no es si tu empresa va a tener que cumplir con la Ley 21.719 — es si va a llegar preparada o no.
Empieza por saber dónde estás parado
PrivacyCheck es un diagnóstico gratuito que evalúa tu ecosistema digital en 7 áreas clave de la Ley 21.719 y te entrega, en 5 minutos, un score de riesgo, una exposición estimada en CLP y un plan de acción priorizado.
🔍 Iniciar diagnóstico sin costo