Guía de implementación de la Ley 21.719 o Ley de Protección de Datos Personales para empresas en Chile

Resumen ejecutivo

La Ley 21.719 regula la protección y el tratamiento de datos personales en Chile y crea la Agencia de Protección de Datos Personales. Para las empresas, el cambio principal es pasar de una lógica de “tener una política de privacidad” a una lógica de gestión, trazabilidad y responsabilidad.

En términos prácticos, una empresa debe poder responder preguntas como:

  • Qué datos personales recolecta.
  • De quiénes son esos datos.
  • Para qué los usa.
  • Cuál es la base legal del tratamiento.
  • Dónde se almacenan.
  • Quién tiene acceso.
  • Con qué proveedores se comparten.
  • Cuánto tiempo se conservan.
  • Cómo puede una persona ejercer sus derechos.
  • Qué medidas de seguridad existen.
  • Qué ocurre si hay una vulneración o incidente.

Para directores comerciales, marketing, fundadores y CEOs, la Ley 21.719 tiene un impacto directo en la forma en que se generan leads, se usan formularios, se activan campañas, se configuran cookies, se gestiona el CRM, se automatizan comunicaciones y se trabaja con proveedores tecnológicos.


Qué es la Ley 21.719

La Ley 21.719 es la nueva regulación chilena sobre protección y tratamiento de datos personales. Su objetivo es establecer reglas más claras sobre cómo las empresas, organizaciones y organismos públicos recolectan, usan, almacenan, comunican, transfieren y protegen datos personales de personas naturales.

Esta ley moderniza el marco de protección de datos en Chile y eleva el estándar de cumplimiento para las empresas.

En simple: si tu empresa captura datos mediante formularios, sitio web, campañas, cookies, CRM, plataformas de email, e-commerce, reservas, WhatsApp, chatbots, encuestas, eventos o herramientas de automatización, esta ley es relevante para tu operación.


Por qué esta ley importa para CEOs, fundadores y gerentes

Muchas empresas van a mirar la Ley 21.719 como un problema legal. Ese es un error.

La implementación real no ocurre sólo en un documento. Ocurre en el sitio web, en los formularios, en el CRM, en las campañas, en los proveedores, en el equipo comercial, en el equipo de marketing y en los flujos de atención.

Para una empresa, esta ley toca cinco dimensiones críticas:

1. Riesgo reputacional

Una mala gestión de datos personales puede afectar la confianza de clientes, prospectos, usuarios y aliados.

2. Riesgo comercial

Si los formularios, campañas, CRM o procesos de venta no están bien documentados, la empresa puede tener problemas para justificar cómo trata los datos que usa para vender.

3. Riesgo operativo

La ley exige procesos. No basta con tener una política publicada. Hay que poder responder solicitudes, gestionar oposiciones, retirar consentimientos, revisar proveedores y documentar tratamientos.

4. Riesgo tecnológico

Las empresas usan cada vez más plataformas externas: Google Analytics, Meta Pixel, HubSpot, Brevo, Mailchimp, Salesforce, WhatsApp, Calendly, Typeform, Hotjar, Clarity, herramientas de IA y motores de reserva. Todo eso puede implicar tratamiento de datos personales.

5. Oportunidad de confianza

Las empresas que implementen bien esta ley podrán usar la transparencia como ventaja competitiva. Un sitio que explica bien qué datos usa, para qué los usa y cómo protege a las personas genera más confianza.


La idea central: no se trata sólo de cumplir, se trata de ordenar

La pregunta no debería ser únicamente:

“¿Tenemos una política de privacidad?”

La pregunta correcta es:

“¿Nuestro sitio web, formularios, CRM, cookies, campañas, proveedores y procesos internos dicen y hacen lo mismo?”

Ahí está el verdadero desafío.

Muchas empresas tienen una política publicada, pero esa política no refleja lo que realmente ocurre en sus herramientas digitales. Por ejemplo:

  • El sitio usa Meta Pixel, pero la política no menciona tracking ni marketing.
  • El formulario pide teléfono y empresa, pero no explica la finalidad.
  • El CRM guarda leads antiguos sin criterio de conservación.
  • El newsletter no tiene una baja clara.
  • El equipo comercial usa bases de contactos sin trazabilidad.
  • El sitio usa proveedores internacionales, pero no informa transferencias.
  • El chatbot captura datos, pero no explica cómo se tratan.
  • Las campañas hacen remarketing, pero el usuario no recibe información suficiente.

La Ley 21.719 obliga a cerrar esa brecha entre lo que la empresa declara y lo que realmente hace.


Qué debe implementar una empresa: mapa general

Una implementación seria debería considerar al menos diez áreas:

  1. Gobierno de datos.
  2. Inventario de datos personales.
  3. Sitio web y formularios.
  4. Política de tratamiento de datos personales.
  5. Cookies, píxeles y tracking.
  6. CRM, marketing automation y ventas.
  7. Proveedores y encargados de tratamiento.
  8. Derechos de titulares.
  9. Seguridad e incidentes.
  10. Capacitación y mejora continua.

A continuación revisamos cada una.


1. Gobierno de datos: quién se hace cargo

La implementación debe partir con una decisión de gestión: alguien debe hacerse responsable del proyecto.

No necesariamente tiene que ser una persona dedicada a tiempo completo en una primera etapa, pero sí debe existir un responsable interno que coordine áreas.

Roles que deberían participar

  • Gerencia general.
  • Marketing.
  • Ventas.
  • Tecnología.
  • Legal.
  • Operaciones.
  • Atención al cliente.
  • Recursos humanos.
  • Finanzas, si hay pagos, cobranzas o datos comerciales.
  • Proveedores externos relevantes.

Preguntas iniciales

  • ¿Quién decide cómo se usan los datos?
  • ¿Quién administra el sitio web?
  • ¿Quién administra el CRM?
  • ¿Quién configura campañas y píxeles?
  • ¿Quién responde solicitudes de usuarios?
  • ¿Quién revisa proveedores?
  • ¿Quién aprueba cambios legales o técnicos?
  • ¿Quién documenta el cumplimiento?

Resultado esperado

Un responsable interno del proyecto y una lista clara de áreas involucradas.


2. Inventario de datos personales

Antes de corregir textos, formularios o políticas, la empresa debe saber qué datos tiene.

Este inventario no debe partir como un documento legal complejo. Puede partir como una matriz simple.

Qué debe incluir el inventario

  • Tipo de dato.
  • Fuente del dato.
  • Titular del dato.
  • Finalidad.
  • Base legal.
  • Sistema donde se almacena.
  • Personas que acceden.
  • Proveedores involucrados.
  • País donde puede almacenarse o procesarse.
  • Plazo de conservación.
  • Riesgo asociado.

Ejemplos de datos comunes

  • Nombre.
  • Email.
  • Teléfono.
  • Empresa.
  • Cargo.
  • RUT.
  • Dirección.
  • IP.
  • Identificadores de dispositivo.
  • Cookies.
  • Historial de navegación.
  • Datos de compra.
  • Datos de reserva.
  • CV.
  • Datos de salud.
  • Datos de menores.
  • Geolocalización.
  • Información financiera o comercial.

Pregunta clave

¿Podemos explicar por qué tenemos cada dato y para qué lo usamos?

Si la respuesta es no, hay una brecha.


3. Sitio web: el primer lugar donde se ve el cumplimiento

Para muchas empresas, el sitio web será el punto más visible de cumplimiento.

Un sitio preparado para la Ley 21.719 debería informar de forma clara:

  • Quién es el responsable de los datos.
  • Qué datos recolecta.
  • Para qué los recolecta.
  • Qué base legal usa.
  • Con quién los comparte.
  • Cuánto tiempo los conserva.
  • Cómo protege los datos.
  • Cómo ejercer derechos.
  • Si usa cookies, tracking o remarketing.
  • Si usa proveedores internacionales.
  • Si hay decisiones automatizadas o perfilamiento.

Lo mínimo que debería tener el sitio

  • Política de Tratamiento de Datos Personales.
  • Política de Cookies.
  • Avisos de privacidad en formularios.
  • Canal para ejercer derechos.
  • Opción de baja u oposición a marketing.
  • Información sobre terceros y proveedores.
  • Información sobre transferencias internacionales.
  • Información sobre plazos de conservación.
  • Información sobre medidas de seguridad.
  • Footer con enlaces legales visibles.

Error frecuente

Publicar una política genérica copiada de otro sitio.

Eso no resuelve el problema, porque la política debe reflejar la operación real de la empresa.


4. Formularios: donde empieza gran parte del riesgo

Los formularios son uno de los puntos más importantes de la implementación.

Cada vez que una persona deja sus datos en un formulario, la empresa debe explicar qué hará con esa información.

Formularios que deben revisarse

  • Contacto.
  • Cotización.
  • Agenda de reunión.
  • Descarga de guía o lead magnet.
  • Newsletter.
  • Registro de usuario.
  • Compra.
  • Reserva.
  • Demo.
  • Postulación laboral.
  • Reclamos.
  • Soporte.
  • Encuestas.
  • Chatbots.
  • Formularios conectados a WhatsApp.

Qué debe revisar la empresa

  • Qué campos pide.
  • Si todos los campos son necesarios.
  • Qué finalidad se informa.
  • Si existe link a la política.
  • Si hay consentimiento cuando corresponde.
  • Si el consentimiento está separado.
  • Si el checkbox no está premarcado.
  • Si el usuario puede retirar consentimiento.
  • Si se informa el uso comercial posterior.
  • Si los datos van al CRM.
  • Si se envían a terceros.
  • Si se usan para automatización o campañas.

Ejemplo de aviso simple para formulario de contacto

“Usaremos tus datos para responder tu solicitud y gestionar una eventual relación comercial. Puedes revisar nuestra Política de Tratamiento de Datos Personales y ejercer tus derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo mediante nuestro canal de privacidad.”

Error frecuente

Usar un único texto tipo “acepto términos y condiciones” para todo.

La ley exige especificidad. No todos los tratamientos son iguales.


5. Cookies, píxeles y herramientas de tracking

Las cookies, píxeles y herramientas de medición son claves para marketing, pero también pueden implicar tratamiento de datos personales.

Esto afecta a sitios que usan herramientas como:

  • Google Analytics.
  • Google Tag Manager.
  • Meta Pixel.
  • LinkedIn Insight Tag.
  • TikTok Pixel.
  • Microsoft Clarity.
  • Hotjar.
  • HubSpot.
  • Brevo.
  • Mailchimp.
  • Salesforce.
  • Intercom.
  • Drift.
  • Crisp.
  • Calendly.
  • Typeform.
  • YouTube embeds.
  • Vimeo embeds.
  • Google Maps.

Qué debe implementar la empresa

  • Política de cookies.
  • Banner de cookies.
  • Preferencias granulares.
  • Botón aceptar.
  • Botón rechazar.
  • Botón configurar.
  • Posibilidad de revocar preferencias.
  • Clasificación de cookies.
  • Información sobre terceros.
  • Información sobre finalidades.
  • Coherencia con Google Tag Manager o herramienta equivalente.

Categorías recomendadas

  • Cookies necesarias.
  • Cookies analíticas.
  • Cookies de marketing.
  • Cookies de personalización.
  • Cookies de terceros.

Error frecuente

Tener un banner que sólo dice “aceptar” y no permite rechazar o configurar.

Ese tipo de experiencia ya no responde a las expectativas actuales de transparencia y control del usuario.


6. CRM, ventas y marketing automation

La Ley 21.719 impacta directamente a los equipos comerciales y de marketing.

No basta con revisar el sitio. Hay que revisar qué pasa después de que el usuario envía el formulario.

Preguntas para marketing y ventas

  • ¿Dónde llega el lead?
  • ¿Qué equipo puede verlo?
  • ¿Qué automatizaciones se activan?
  • ¿Se envían emails comerciales?
  • ¿Se asigna un score?
  • ¿Se sincroniza con audiencias publicitarias?
  • ¿Se usa para remarketing?
  • ¿Se comparte con vendedores externos?
  • ¿Se combina con fuentes públicas o enriquecimiento?
  • ¿Cuánto tiempo queda en el CRM?
  • ¿Cómo se elimina si la persona lo solicita?
  • ¿Cómo se registra la oposición a marketing?

Riesgos comunes

  • Bases antiguas sin fuente documentada.
  • Leads duplicados en planillas.
  • Contactos importados sin trazabilidad.
  • Correos comerciales sin baja clara.
  • Workflows que siguen activos aunque la persona se opuso.
  • Enriquecimiento de datos sin informar adecuadamente.
  • Audiencias publicitarias creadas desde bases no revisadas.
  • Falta de integración entre CRM y preferencias de consentimiento.

Qué implementar

  • Campos de fuente de lead.
  • Fecha de captura.
  • Finalidad.
  • Base legal.
  • Estado de consentimiento.
  • Estado de oposición.
  • Preferencias de comunicación.
  • Historial de baja.
  • Política de conservación.
  • Procedimiento de eliminación o anonimización.
  • Reglas para campañas y automatizaciones.

7. Marketing directo y derecho de oposición

El marketing directo es uno de los temas más relevantes para empresas B2B, e-commerce, turismo, educación, inmobiliarias, SaaS, salud, servicios profesionales y retail.

Una persona debe poder oponerse al tratamiento de sus datos para fines de marketing directo cuando corresponda.

Qué debe revisar la empresa

  • Emails comerciales.
  • Newsletters.
  • Secuencias automatizadas.
  • Campañas de nurturing.
  • Remarketing.
  • Audiencias personalizadas.
  • WhatsApp comercial.
  • SMS.
  • Bases de prospección.
  • Bases de eventos.
  • Formularios de descarga.
  • Formularios de cotización.

Buenas prácticas

  • Incluir baja visible en emails.
  • Registrar la baja en el CRM.
  • No volver a contactar desde otra herramienta.
  • Separar comunicaciones transaccionales de comunicaciones comerciales.
  • Informar si habrá marketing posterior.
  • No usar datos para finalidades distintas sin base adecuada.
  • Revisar bases históricas antes de reactivarlas.

Error frecuente

Dar de baja a una persona en la plataforma de email, pero mantenerla activa en el CRM comercial o en audiencias de remarketing.


8. Proveedores tecnológicos y terceros

La mayoría de las empresas no trata datos sola. Usa proveedores.

Eso incluye:

  • Hosting.
  • CRM.
  • Email marketing.
  • Plataformas de automatización.
  • Analytics.
  • Ads.
  • Pasarelas de pago.
  • Motores de reserva.
  • Agencias.
  • Call centers.
  • Software de soporte.
  • Chatbots.
  • Herramientas de IA.
  • Plataformas de formularios.
  • Herramientas de agenda.
  • Herramientas de encuestas.
  • Proveedores cloud.

Qué debe revisar la empresa

  • Qué proveedores tratan datos personales.
  • Qué datos reciben.
  • Para qué los usan.
  • Si actúan como encargados o responsables.
  • Si pueden subcontratar.
  • Si almacenan datos fuera de Chile.
  • Qué medidas de seguridad tienen.
  • Qué pasa cuando termina el servicio.
  • Qué contratos o anexos existen.
  • Si la política informa su existencia.

Resultado esperado

Un mapa de proveedores y una revisión de contratos o anexos de tratamiento.


9. Transferencias internacionales

Muchas herramientas digitales procesan datos fuera de Chile.

Esto puede ocurrir con CRM, email marketing, hosting, analytics, publicidad, IA, formularios, pagos, agenda o soporte.

Qué debe revisar la empresa

  • Qué proveedores están fuera de Chile.
  • En qué países se procesan datos.
  • Qué garantías existen.
  • Qué contratos aplican.
  • Si la política informa transferencias internacionales.
  • Si hay cláusulas contractuales o mecanismos de protección.
  • Si se usan herramientas de IA con datos personales.
  • Si se transfieren datos de clientes, leads, trabajadores o postulantes.

Error frecuente

Asumir que “como es una herramienta conocida, no hay problema”.

El problema no es usar herramientas internacionales. El problema es no saber qué datos se transfieren, para qué, bajo qué condiciones y con qué garantías.


10. Derechos de los titulares

La ley reconoce derechos que las personas pueden ejercer sobre sus datos.

Una empresa debe tener canales y procedimientos para responder.

Derechos que deben considerarse

  • Acceso.
  • Rectificación.
  • Supresión.
  • Oposición.
  • Portabilidad.
  • Bloqueo.
  • Retiro del consentimiento cuando corresponda.

Qué debe implementar la empresa

  • Correo o formulario de privacidad.
  • Página para ejercer derechos.
  • Procedimiento interno.
  • Responsable de respuesta.
  • Plantillas de respuesta.
  • Registro de solicitudes.
  • Validación de identidad.
  • Trazabilidad de respuestas.
  • Coordinación entre sitio, CRM, email marketing y proveedores.

Pregunta clave

Si una persona pide que eliminemos sus datos, ¿sabemos en qué sistemas están?

Si la respuesta es no, el problema no es sólo legal. Es operativo.


11. Seguridad e incidentes

La empresa debe adoptar medidas de seguridad proporcionales al tipo de datos, volumen, finalidad y riesgo.

Medidas básicas

  • HTTPS.
  • Control de accesos.
  • Roles y permisos.
  • Contraseñas seguras.
  • Doble factor cuando corresponda.
  • Respaldo.
  • Cifrado o seudonimización cuando aplique.
  • Gestión de usuarios.
  • Baja de accesos de excolaboradores.
  • Confidencialidad de equipo y proveedores.
  • Revisión periódica de herramientas.
  • Monitoreo de incidentes.
  • Plan de respuesta ante vulneraciones.

Qué debe existir

  • Política interna de seguridad.
  • Procedimiento de incidentes.
  • Registro de incidentes.
  • Criterio para reportar vulneraciones.
  • Plan de comunicación a titulares cuando corresponda.
  • Responsable interno de coordinación.

Error frecuente

Pensar que seguridad es sólo “tener el sitio con candado HTTPS”.

HTTPS es importante, pero la seguridad de datos incluye accesos, proveedores, procesos, respaldos, usuarios, CRM, planillas, automatizaciones y personas.


12. Datos sensibles y categorías especiales

Algunas empresas requieren una revisión reforzada porque tratan datos más delicados.

Esto puede aplicar a:

  • Salud.
  • Clínicas.
  • Laboratorios.
  • Seguros.
  • Educación.
  • Colegios.
  • EdTech.
  • RR.HH.
  • Reclutamiento.
  • Finanzas.
  • Fitness y bienestar.
  • Biometría.
  • Geolocalización.
  • Plataformas para niños, niñas o adolescentes.

Ejemplos de datos de mayor riesgo

  • Datos de salud.
  • Datos biométricos.
  • Datos de niños, niñas y adolescentes.
  • Datos de geolocalización.
  • Situación socioeconómica.
  • Información financiera.
  • CV y antecedentes laborales.
  • Datos de voz, rostro o huella.
  • Datos relacionados con identidad u orientación sexual.
  • Creencias o afiliaciones.

Qué debe hacer la empresa

  • Identificar si trata datos sensibles o especiales.
  • Minimizar datos recolectados.
  • Revisar consentimiento o base legal aplicable.
  • Fortalecer medidas de seguridad.
  • Informar finalidades específicas.
  • Revisar proveedores.
  • Evitar usos secundarios no informados.
  • Documentar decisiones.

13. Plan de implementación en 90 días

La implementación puede parecer grande, pero se puede ordenar por etapas.

Días 1 a 15: diagnóstico

Objetivo: entender el punto de partida.

Acciones:

  • Revisar sitio web.
  • Revisar formularios.
  • Revisar cookies y scripts.
  • Revisar CRM y herramientas conectadas.
  • Listar proveedores.
  • Identificar bases de datos principales.
  • Detectar datos sensibles o especiales.
  • Levantar brechas visibles.
  • Definir responsable interno.

Entregables:

  • Mapa inicial de datos.
  • Lista de brechas.
  • Priorización por riesgo.
  • Quick wins.

Días 16 a 30: ordenamiento visible

Objetivo: corregir lo que el usuario ve.

Acciones:

  • Crear o actualizar Política de Tratamiento de Datos Personales.
  • Crear o actualizar Política de Cookies.
  • Agregar avisos en formularios.
  • Revisar checkboxes y consentimiento.
  • Crear canal de derechos.
  • Ajustar footer legal.
  • Revisar newsletter y baja.
  • Revisar banner de cookies.
  • Revisar páginas de contacto, cotización, demo y postulación.

Entregables:

  • Políticas publicadas.
  • Formularios corregidos.
  • Canal de derechos.
  • Footer legal.
  • Checklist de sitio web.

Días 31 a 60: CRM, marketing y proveedores

Objetivo: alinear lo que ocurre después del formulario.

Acciones:

  • Revisar CRM.
  • Crear campos de fuente y consentimiento.
  • Revisar automatizaciones.
  • Revisar email marketing.
  • Revisar audiencias y remarketing.
  • Revisar herramientas de prospección.
  • Revisar proveedores tecnológicos.
  • Revisar transferencias internacionales.
  • Documentar encargados de tratamiento.
  • Definir reglas de conservación.

Entregables:

  • Matriz de CRM y automatización.
  • Mapa de proveedores.
  • Reglas de conservación.
  • Ajustes en campañas y flujos.

Días 61 a 90: procesos internos y mejora continua

Objetivo: pasar de corrección puntual a sistema.

Acciones:

  • Crear procedimiento de derechos.
  • Crear procedimiento de incidentes.
  • Capacitar equipos.
  • Definir responsables.
  • Revisar contratos clave.
  • Establecer calendario de revisión.
  • Crear tablero de seguimiento.
  • Documentar decisiones.
  • Preparar mejoras futuras.

Entregables:

  • Procedimiento de derechos.
  • Procedimiento de incidentes.
  • Registro de solicitudes.
  • Capacitación interna.
  • Roadmap de mejora continua.

Checklist ejecutivo de implementación

Una empresa que quiera prepararse debería poder marcar estos puntos:

Estrategia y gobierno

  • Responsable interno definido.
  • Áreas involucradas.
  • Inventario de datos.
  • Priorización de riesgos.
  • Roadmap de implementación.

Sitio web

  • Política de Tratamiento de Datos Personales.
  • Política de Cookies.
  • Footer legal.
  • Canal de derechos.
  • Avisos en formularios.
  • Información sobre terceros.
  • Información sobre conservación.
  • Información sobre transferencias.
  • Información sobre seguridad.
  • Información sobre perfilamiento cuando aplique.

Marketing y ventas

  • Formularios revisados.
  • Newsletter revisado.
  • Baja de comunicaciones.
  • CRM con fuente de lead.
  • Consentimiento documentado.
  • Oposición registrada.
  • Automatizaciones revisadas.
  • Remarketing revisado.
  • Bases antiguas revisadas.
  • Prospección documentada.

Tecnología

  • Cookies y scripts identificados.
  • GTM ordenado.
  • Proveedores listados.
  • Herramientas externas revisadas.
  • Accesos y permisos revisados.
  • Seguridad básica implementada.
  • Plan de incidentes.

Personas y procesos

  • Procedimiento para derechos.
  • Plantillas de respuesta.
  • Registro de solicitudes.
  • Capacitación de equipos.
  • Revisión periódica.
  • Criterios de conservación.
  • Documentación actualizada.

Qué debe hacer cada área

CEO o fundador

Debe asegurar que el proyecto tenga prioridad, responsables y recursos. La Ley 21.719 no es sólo una tarea legal; afecta confianza, ventas, operación y reputación.

Director comercial

Debe revisar cómo se capturan, almacenan y usan leads. También debe revisar bases antiguas, prospección, CRM, seguimiento comercial y oposición a comunicaciones.

Director de marketing

Debe revisar formularios, campañas, cookies, píxeles, newsletters, automatizaciones, audiencias, remarketing, lead scoring y contenido legal-visible del sitio.

Tecnología o digital

Debe revisar sitio, scripts, cookies, GTM, proveedores, accesos, seguridad, integraciones, formularios y almacenamiento.

Legal o compliance

Debe validar políticas, bases de legitimidad, contratos, derechos, transferencias, incidentes y documentación.

Recursos humanos

Debe revisar postulaciones, CV, datos de trabajadores, proveedores de selección, conservación y acceso a antecedentes.


Los errores más comunes que deben evitar las empresas

Error 1: creer que basta con una política de privacidad

La política es importante, pero debe coincidir con los formularios, cookies, CRM, proveedores y campañas.

Error 2: no saber qué datos tiene la empresa

Sin inventario, no hay trazabilidad.

Error 3: pedir más datos de los necesarios

La recolección debe ser proporcional a la finalidad.

Error 4: usar bases antiguas sin fuente clara

Las bases históricas suelen ser una de las mayores brechas.

Error 5: no conectar baja de marketing con CRM

La oposición debe reflejarse en todos los sistemas relevantes.

Error 6: olvidar proveedores internacionales

Muchas herramientas procesan datos fuera de Chile.

Error 7: no preparar procesos para derechos

Cuando una persona ejerza sus derechos, la empresa debe saber cómo responder.

Error 8: tratar la ley como un proyecto de una sola vez

El cumplimiento debe mantenerse, revisarse y actualizarse.


Cómo partir hoy

La mejor forma de comenzar no es escribir una política larga. Es revisar la realidad actual del sitio y del ecosistema digital.

Orden recomendado:

  1. Revisa el sitio web.
  2. Identifica formularios.
  3. Revisa cookies y scripts.
  4. Lista herramientas conectadas.
  5. Revisa CRM y campañas.
  6. Identifica proveedores.
  7. Detecta datos sensibles.
  8. Crea una matriz de datos.
  9. Prioriza brechas visibles.
  10. Avanza hacia procesos internos.

Puedes comenzar con un diagnóstico preliminar gratuito en:

Analizador Ley 21.719 de masmas.digital


Conclusión

La Ley 21.719 no debe entenderse como una amenaza aislada, sino como una oportunidad para ordenar la forma en que la empresa captura, usa, protege y mide datos personales.

Las empresas que implementen esta ley de manera seria no sólo reducirán riesgos. También podrán construir más confianza, mejorar la experiencia de usuario, ordenar sus formularios, profesionalizar el CRM, revisar sus campañas y fortalecer la relación con clientes y prospectos.

La diferencia no estará en quién publica antes una política de privacidad.

La diferencia estará en quién puede demostrar que su sitio, sus datos, sus procesos y sus herramientas trabajan bajo una misma lógica: claridad, trazabilidad, proporcionalidad y responsabilidad.


Preguntas frecuentes sobre implementación de la Ley 21.719

¿Qué es la Ley 21.719?

Es la ley chilena que regula la protección y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales.

¿Cuándo entra en vigencia la Ley 21.719?

La Ley 21.719 fue publicada el 13 de diciembre de 2024 y tiene vigencia diferida desde el 1 de diciembre de 2026.

¿A qué empresas aplica?

Aplica a empresas, organizaciones públicas y privadas, y personas que traten datos personales. También puede aplicar a responsables o mandatarios fuera de Chile cuando ofrecen bienes o servicios a personas ubicadas en Chile o monitorean su comportamiento.

¿Qué debe tener un sitio web para prepararse?

Debe contar con política de tratamiento de datos personales, información del responsable, canal de privacidad, finalidades, bases legales, derechos de titulares, información sobre cookies, terceros, transferencias, conservación, seguridad y perfilamiento cuando aplique.

¿Una política de privacidad genérica es suficiente?

No necesariamente. La política debe reflejar lo que realmente ocurre en el sitio, formularios, CRM, cookies, campañas, proveedores y automatizaciones.

¿La Ley 21.719 afecta a marketing y ventas?

Sí. Afecta formularios, newsletters, campañas, CRM, remarketing, cookies, lead scoring, automatizaciones, bases de datos, prospección y comunicaciones comerciales.

¿Puedo seguir usando Google Analytics, Meta Pixel o HubSpot?

Sí, pero la empresa debe informar adecuadamente su uso, finalidad, terceros involucrados, derechos de las personas y mecanismos de consentimiento u oposición cuando corresponda.

¿Qué pasa con las bases de datos antiguas?

Deben revisarse. La empresa debería poder identificar fuente, finalidad, base legal, vigencia, consentimiento u otra justificación aplicable, y mecanismos de oposición o supresión.

¿Qué derechos tienen las personas sobre sus datos?

Las personas pueden ejercer derechos de acceso, rectificación, supresión, oposición, portabilidad, bloqueo y retiro de consentimiento cuando corresponda.

¿Qué es una auditoría de cumplimiento web para Ley 21.719?

Es una revisión del sitio, formularios, cookies, CRM, proveedores, políticas, automatizaciones y procesos internos para detectar brechas y priorizar acciones de implementación.

¿Un diagnóstico automático certifica cumplimiento?

No. Un diagnóstico automático sólo detecta señales visibles del sitio web. No reemplaza una auditoría legal, técnica y operativa completa.

¿Cuándo conviene hacer una auditoría completa?

Cuando la empresa tiene formularios, campañas activas, CRM, newsletter, cookies, remarketing, e-commerce, motor de reservas, postulaciones laborales, datos sensibles, proveedores internacionales o automatizaciones comerciales.


¿Tu sitio web está preparado para la Ley 21.719?

Haz una primera revisión gratuita de las señales visibles de tu sitio web.

Analizar mi sitio web

¿Necesitas una revisión más profunda?

Podemos ayudarte a revisar sitio, formularios, cookies, CRM, proveedores, consentimientos, automatizaciones y procesos internos para construir un plan de implementación claro y priorizado.

Solicitar auditoría completa