La nueva ley que entra en vigencia el 1 de diciembre de 2026 cambia para siempre cómo las empresas pueden usar tu información.
La mayoría de las bases chilenas fueron construidas con opt-in implícito, suscripciones al comprar sin checkbox separado, o listas compradas. Todo eso deja de ser válido.
En Chile es común agregar números a grupos, enviar catálogos masivos o usar tools no oficiales. Nada de eso tiene consentimiento documentado.
El pixel de Meta/Google se activa al entrar al sitio sin preguntar. El usuario queda en audiencias de remarketing sin saber ni consentir.
La mayoría de los CRMs chilenos no tienen campo "origen del consentimiento". Nadie sabe de dónde vino el contacto, qué aceptó, ni cuándo.
En Europa y Brasil, las bases cayeron 40–70% al sanearse. Pero el ROI de email subió 2–3x porque las listas resultantes eran de personas que realmente querían recibir comunicaciones.
Las marcas que construyeron datos propios (registro, fidelización, encuestas, contenido de valor) antes del cambio tuvieron ventaja competitiva duradera en sus mercados.
En todos los mercados, las empresas que esperaron hasta el último momento hicieron cambios de emergencia con mayor costo y mayor riesgo de error. Adaptarse toma entre 6 y 18 meses.
En mercados maduros post-GDPR, los consumidores valoran la transparencia. Las marcas que la comunican activamente tienen mejores tasas de conversión y mayor lealtad.
La ley refuerza la tendencia global de depender menos de cookies de terceros. Las empresas que construyan una base de datos propia, bien consentida y bien gestionada, tendrán ventaja competitiva desde 2026.
Las cookies no esenciales (analíticas, marketing, personalización) requieren consentimiento previo. El banner debe:
Una CMP (Consent Management Platform) como Cookiebot, OneTrust o Axeptio, compatible con IAB TCF 2.2, que registre consentimientos con fecha, hora y versión de política.
GA4 recopila datos de comportamiento que son datos personales (IP, identificadores). Requiere consentimiento.
Herramientas como Hotjar, Clarity o Lucky Orange pueden constituir tratamiento de datos personales, especialmente si captura contenido ingresado en formularios.
Cualquier script que recopile datos del usuario (Pixels, scripts de chat, Intercom, HubSpot, etc.) debe controlarse con el sistema de consentimiento.
Si el script "le avisa a alguien más" sobre el comportamiento del usuario, necesita consentimiento. Si solo funciona en tu propio servidor, puede tener base de interés legítimo.
1. CMP integrada con GTM · 2. Google Consent Mode v2 · 3. Política de privacidad actualizada · 4. Formularios con checkboxes explícitos · 5. Auditoría de scripts de terceros.
La Ley N° 21.719, publicada el 13 de diciembre de 2024, es la reforma más profunda a la regulación de datos personales en la historia de Chile. Reemplaza completamente la Ley N° 19.628 de 1999 y moderniza el marco jurídico para proteger los datos en el mundo digital.
Un conjunto de normas que regula cómo las empresas pueden recopilar, almacenar, usar y compartir información personal de los ciudadanos chilenos.
La ley anterior (1999) fue diseñada antes de internet, redes sociales y smartphones. Era insuficiente frente al volumen de datos que hoy manejan apps y plataformas digitales.
El derecho de las personas a controlar su información: quién la tiene, cómo se usa, para qué fines y por cuánto tiempo. Especial protección para datos sensibles.
A toda empresa u organización que maneje datos de chilenos, sin importar su tamaño: ecommerce, agencias, clínicas, bancos, apps y plataformas digitales.
Publicada en el Diario Oficial: 13 dic 2024 · Vigencia plena: 1 dic 2026 · Período de gracia para PYMEs: hasta dic 2027.
Cualquier información que identifique o permita identificar a una persona: nombre, RUT, correo, teléfono, dirección, IP, historial de compras, foto, ubicación GPS.
Cuando compras online y dejas tu nombre, correo y dirección, esos son datos personales. También lo es tu IP cuando navegas por el sitio.
Datos que merecen especial protección: origen racial/étnico, opiniones políticas, creencias religiosas, estado de salud, datos biométricos (huella, reconocimiento facial), orientación sexual, geolocalización en tiempo real y datos de menores.
La ficha médica de una clínica son datos sensibles. Para compartirla con una aseguradora necesitan tu permiso explícito y por escrito.
Cualquier operación con datos personales: recopilar, almacenar, organizar, usar, enviar, publicar, bloquear o eliminar. Guardar un correo en CRM es tratamiento. Enviar un email publicitario también.
Cuando un banco guarda tus datos al abrir una cuenta, los usa para evaluar un crédito, los comparte con una aseguradora o los elimina al cerrar tu cuenta — todo es "tratamiento de datos".
La autorización que tú das para que una empresa use tus datos. Debe ser libre (sin presión), informado (sabes para qué), específico (qué datos y para qué fin), inequívoco (acción positiva, no silencio) y revocable (puedes retirarlo).
Una casilla de newsletter premarcada NO es consentimiento válido. Tú debes marcarla voluntariamente, después de leer qué recibirás.
Si la empresa no responde o rechaza injustificadamente, puedes reclamar ante la Agencia de Protección de Datos.
| Tema | 🔴 Ley 19.628 (actual) | 🟢 Ley 21.719 (nueva) |
|---|---|---|
| Consentimiento | Tácito o implícito. El silencio podía interpretarse como aceptación. | Explícito, informado, específico, inequívoco y revocable. No vale silencio ni casillas premarcadas. |
| Derechos | Solo ARCO básico (Acceso, Rectificación, Cancelación, Oposición). | ARCO+ portabilidad, bloqueo y derecho a no ser objeto de decisiones automatizadas. |
| Sanciones | Multas de hasta 50 UTM (~$3,5M CLP). Sin gradación de infracciones. | Hasta 20.000 UTM (~$1.400M CLP). En reincidencia 4% de ingresos. 3 niveles de infracción. |
| Datos sensibles | Categoría reducida. Sin normas especiales para menores o geolocalización. | Categoría ampliada: salud, biometría, geolocalización, menores de edad y datos de IA. |
| Fiscalización | Sin autoridad especializada. Fiscalización dispersa e ineficiente. | Agencia de Protección de Datos (APDP) autónoma con poder de investigar y sancionar. |
| Transf. internacional | Sin restricciones. No se exigían garantías. | Requiere garantías: contratos de encargo, cláusulas de protección o nivel equivalente. |
| Responsabilidad | Reactiva: solo cuando había denuncia o demanda. | Proactiva: las empresas deben demostrar cumplimiento. Modelos de prevención certificados. |
| Seguridad | Sin requisitos técnicos específicos. | Medidas técnicas obligatorias acordes al riesgo. Evaluaciones de impacto (DPIA). |
| Brechas | Sin obligación de notificar incidentes. | Notificación obligatoria a la Agencia y afectados, idealmente en 72 horas. |
| Privacy by Design | No existe este concepto. | Obligación de incorporar protección de datos desde el diseño de productos y sistemas. |
¿Qué es? Una entidad autónoma del Estado, especializada en protección de datos. Puede investigar de oficio, dictar normas técnicas, imponer multas y publicar sanciones.
¿Por qué importa? Por primera vez Chile tendrá un "policía de datos" real. Hoy no existe un organismo específico que fiscalice el uso de datos en el sector privado.
Si una empresa de retail vende tu base de datos sin permiso, la Agencia puede investigar de oficio, multar y publicar el nombre de la empresa en el Registro Nacional de Sanciones.
3 niveles: leve hasta 5.000 UTM, grave hasta 10.000 UTM, gravísima hasta 20.000 UTM (~$1.400M CLP). En reincidencia, el 4% de los ingresos anuales si eso resulta mayor.
Un ecommerce que sufre una brecha y no notifica puede recibir una multa gravísima. Si ya fue sancionado antes, le aplican el 4% de sus ventas anuales totales.
Las empresas deben demostrar que cumplen, no solo cumplir. Esto implica registros de tratamientos, políticas internas, bitácoras de consentimientos y procedimientos documentados.
Si la Agencia te fiscaliza y pregunta "¿cómo recopilaste el consentimiento de esta base?", debes mostrar registros con fecha, hora, IP y texto que leyó el usuario. Un "lo tenemos en el sistema" no basta.
Los productos, apps y procesos deben incorporar la protección de datos desde su diseño, no como parche posterior. Por defecto, los sistemas deben configurarse para recopilar el mínimo de datos.
Una app de delivery no puede pedir acceso permanente a tu ubicación si solo necesita la dirección al momento del pedido. La configuración por defecto debe ser la menos invasiva.
Cuando ocurre una brecha (hackeo, filtración, pérdida de datos), la empresa debe notificar a la Agencia y a los afectados sin dilación indebida, idealmente en 72 horas. Ocultarlo agrava la sanción.
Un banco sufre un hackeo y se filtran datos de 50.000 clientes. Tiene ~72 horas para informar a la Agencia y contactar a cada cliente afectado.
Enviar datos a servidores o empresas fuera de Chile requiere garantías. Sin contratos de encargo (DPA) con proveedores internacionales, cada integración SaaS puede ser una infracción grave.
Una agencia usa HubSpot (servidores en EE.UU.) con datos de clientes chilenos. Necesita firmar el Data Processing Agreement (DPA) con HubSpot para cumplir la nueva ley.
Para tratamientos de alto riesgo (IA, perfilamiento masivo, datos sensibles a gran escala) se debe realizar una DPIA que documente los riesgos y medidas para mitigarlos, antes de lanzar el producto o función.
Una fintech que lanza un sistema de scoring crediticio con IA debe hacer una DPIA antes de ponerlo en producción, documentando qué datos usa y cómo se puede impugnar una decisión automatizada.
Portabilidad: Derecho a recibir tus datos en formato digital y llevarlos a otra empresa (Open Finance, salud, telecomunicaciones).
No decisión automatizada: Las decisiones que te afecten significativamente (créditos, seguros, empleos) no pueden ser tomadas exclusivamente por algoritmos. Puedes exigir revisión humana.
Un banco rechaza tu crédito por sistema automatizado. Bajo la nueva ley, puedes exigir que un humano revise la decisión y que te expliquen los factores que la determinaron.
Tus datos te pertenecen. Puedes saber qué tiene una empresa sobre ti, pedir que lo corrija, que lo borre o que deje de usarlo para publicidad. Si no responden en 30 días, puedes reclamar ante la Agencia.
| Base Legal | Descripción | Ejemplo marketing | Consenti- miento |
|---|---|---|---|
| Consentimiento | La persona autoriza explícitamente. | Newsletter, email, WhatsApp, SMS marketing. | ✓ Sí |
| Contrato | Necesario para cumplir lo contratado. | Confirmación de compra, aviso de despacho. | Implícito |
| Obligación legal | La ley exige mantener ciertos datos. | Facturas y registros tributarios. | Legal |
| Interés legítimo | Interés razonable que no perjudica. Debe evaluarse y documentarse. | Análisis web, seguridad, mejora de productos. Publicidad a clientes existentes en ciertos casos. | Evaluar |
En cualquier momento, sin justificación. El proceso debe ser tan fácil como darlo.
Si declaraste un período específico y terminó, el consentimiento expiró.
Si usas el correo de una boleta para publicidad, necesitas un nuevo consentimiento.
Fecha y hora · texto exacto del aviso · canal (web, app) · IP o identificador del dispositivo · versión de la política de privacidad vigente · acción realizada por el usuario.
Campo de email + checkbox SIN marcar: "Acepto recibir comunicaciones de marketing de [Empresa] según su Política de Privacidad". Al hacer clic en "Descargar", se registra en el CRM: email, fecha/hora, texto del checkbox, versión de la política, IP y URL de la landing.
No informar correctamente. Incumplir plazos de respuesta ARCO-P.
Tratar datos sin base legal. Incumplir medidas de seguridad. Transferir datos sin garantías.
Datos sensibles sin consentimiento. No notificar brechas. Obstaculizar a la Agencia.
Si una empresa ya fue sancionada y reincide, la multa puede ser el 4% de los ingresos anuales del año anterior, o el triple de la multa original, lo que sea mayor.
Situación: Una tienda online compra 50.000 emails y envía una campaña masiva.
Infracción: Tratar datos sin base legal. Los destinatarios no dieron consentimiento a esa empresa.
Riesgo: Infracción grave. Hasta 10.000 UTM (~$700M). El proveedor "seguro" no exime a la empresa compradora.
Solución: Construir base propia con opt-in. Si se compra, verificar y documentar el consentimiento con contratos.
Situación: Una clínica entrega un listado de pacientes con diabetes a un laboratorio farmacéutico.
Infracción: Tratamiento de datos sensibles sin consentimiento expreso. Cesión a tercero no autorizado.
Riesgo: Infracción gravísima. Hasta 20.000 UTM (~$1.400M). El laboratorio también puede ser sancionado.
Solución: Obtener consentimiento específico firmado para ese propósito. Establecer contrato de encargo.
Situación: Una fintech sufre un hackeo de 10.000 cuentas y decide no informar para "no alarmar a los clientes".
Infracción: Omisión de notificación de brecha a la Agencia y a los titulares.
Riesgo: Infracción gravísima. En reincidencia, 4% de ingresos anuales. Más responsabilidad civil.
Solución: Plan de respuesta a incidentes con notificaciones automáticas en 72 horas.
Situación: Una tienda usa el historial de su app para crear audiencias en Meta Ads sin haber pedido consentimiento explícito.
Infracción: Uso de datos para finalidades distintas a las informadas.
Riesgo: Infracción grave. Hasta 10.000 UTM. Impacto reputacional si la Agencia investiga de oficio.
Solución: Solicitar consentimiento específico para publicidad personalizada con terceros, en checkbox independiente.
Las empresas "de menor tamaño" (Ley 20.416) tienen 12 meses de gracia desde el 1 dic 2026: pueden recibir amonestaciones escritas en lugar de multas para infracciones leves o graves. Las gravísimas no tienen gracia.
La Ley 21.719 entra en vigencia el 1 de diciembre de 2026. No es opcional ni aplica solo a grandes empresas.
El consentimiento tácito ya no sirve. Debe ser explícito, informado, específico y revocable.
Las multas son reales: hasta 20.000 UTM o el 4% de los ingresos anuales en reincidencia.
La Agencia de Protección de Datos tendrá poder real para investigar, sancionar y publicar infractores.
Las empresas deben demostrar cumplimiento, no solo cumplirlo. El accountability es proactivo.
Los proveedores internacionales (SaaS, cloud, CRM) requieren contratos de encargo válidos.
El marketing digital cambia: cookies, pixels, listas y audiencias necesitan consentimiento previo.
Las brechas deben notificarse a la Agencia y afectados en idealmente 72 horas. Ocultarlas agrava.
El First-Party Data (datos propios, bien consentidos) es el activo más valioso del marketing digital.
Prepararse bien no solo evita multas, sino que genera confianza y ventaja competitiva.
La Ley 21.719 no es solo una obligación legal: es una oportunidad. Las empresas que la aborden con seriedad construirán relaciones más honestas con sus clientes. En un mundo donde la privacidad es cada vez más valorada, la confianza se convierte en ventaja competitiva. El plazo para prepararse es ahora.