Legislación y Regulación11 min de lectura

Cookies y rastreo en línea: qué establece la Ley 21.719 sobre el consentimiento

Equipo Confidata·
Compartir

Prácticamente todo sitio web recopila datos mediante cookies. Pero la pregunta que muchos responsables de datos todavía no responden con precisión es: ¿cuáles de esas cookies necesitan consentimiento? Y cuando el consentimiento es necesario, ¿cómo debe obtenerse para ser válido?

La Ley 21.719 — que entra en plena vigencia el 1 de diciembre de 2026 — establece los requisitos de base de licitud para el tratamiento de datos personales mediante tecnologías de rastreo como las cookies. El Consejo para la Transparencia (CPLT) ha publicado orientaciones técnicas sobre cookies que anticipan el marco regulatorio que la nueva ley consolidará.

Qué son las cookies y por qué la Ley 21.719 se aplica

Las cookies son archivos de texto almacenados en el navegador del usuario que permiten a un sitio identificar y rastrear a ese usuario a lo largo del tiempo. Cuando una cookie almacena o utiliza un identificador vinculable a una persona natural identificada o identificable, esa cookie realiza tratamiento de datos personales y está sujeta a la Ley 21.719.

Esto incluye, por ejemplo:

  • Cookies que almacenan la dirección IP del usuario
  • Cookies de sesión que identifican al usuario autenticado
  • Cookies de rastreo publicitario que crean perfiles de comportamiento
  • Cookies de analytics que asocian el comportamiento de navegación a identificadores únicos

Cookies que genuinamente no procesan ningún dato personal — como una cookie de preferencia de idioma que no contiene identificadores únicos — quedan fuera del alcance de la ley.

La clasificación de las cookies: necesarias vs. no necesarias

La distinción fundamental para determinar el tratamiento legal aplicable es:

Cookies estrictamente necesarias

Son las cookies indispensables para el funcionamiento básico del sitio o servicio solicitado por el usuario. Ejemplos:

  • Cookie de sesión de autenticación (mantiene al usuario autenticado)
  • Cookie del carrito de compras en e-commerce
  • Cookie de preferencia del banner de consentimiento (guarda la elección del usuario)
  • Cookie de balanceo de carga del servidor

Para estas cookies, no es necesario obtener consentimiento previo — la base de licitud aplicable es la ejecución del contrato o el interés legítimo del responsable. El usuario no puede desactivarlas sin comprometer la funcionalidad del servicio que solicitó.

Cookies no estrictamente necesarias

Toda otra categoría de cookie que va más allá de la funcionalidad mínima del servicio requiere base de licitud propia — y, en la mayoría de los casos, esa base de licitud es el consentimiento. Las categorías más comunes:

CategoríaEjemplosBase de licitud habitual
Analytics y rendimientoGoogle Analytics, Hotjar, cookies de medición de audienciaConsentimiento o interés legítimo (con evaluación)
Publicidad comportamentalGoogle Ads, Meta Pixel, cookies de remarketingConsentimiento (regla general)
Funcionalidades opcionalesChat en línea, mapas integrados, personalización de contenidoConsentimiento o interés legítimo
Redes socialesBotones de compartir, widgets de redes socialesConsentimiento

Las cookies de publicidad comportamental — que crean perfiles de usuario para segmentación — exigen consentimiento libre, informado e inequívoco del titular, dada la naturaleza del tratamiento y el potencial impacto sobre la privacidad.

Los requisitos de un consentimiento de cookies válido

La Ley 21.719 y las orientaciones del CPLT imponen requisitos claros al consentimiento para cookies. El consentimiento debe ser:

1. Libre

El usuario no puede ser obligado a aceptar cookies no necesarias como condición para acceder al contenido o servicio. Bloquear el acceso al sitio hasta que el usuario acepte todas las cookies viola el requisito de libertad del consentimiento.

2. Informado

El usuario debe entender qué está autorizando: qué categorías de cookies se activarán, para qué finalidades, por cuánto tiempo y quién tendrá acceso. El banner debe tener un lenguaje claro y accesible — no solo una referencia a la "política de cookies" sin describir qué contiene.

3. Inequívoco (opt-in activo)

El consentimiento no puede presumirse. Esto significa:

  • Casillas pre-marcadas no constituyen consentimiento válido
  • Continuar navegando en el sitio no constituye consentimiento válido
  • Hacer clic en "Cerrar" o en la "X" del banner no constituye consentimiento válido

El usuario necesita realizar una acción afirmativa explícita — hacer clic en un botón, marcar una casilla desmarcada, realizar una elección activa.

4. Granular (por finalidad)

El consentimiento debe recabarse separadamente para cada finalidad o categoría de cookies. El usuario debe poder consentir con las cookies de analytics y rechazar las publicitarias. Un único botón "Aceptar todo" sin opción de granularidad es insuficiente.

5. Revocable

El usuario debe poder revocar el consentimiento en cualquier momento, mediante un procedimiento igualmente simple al de consentir. El sitio debe mantener accesible un mecanismo de revisión de las preferencias de cookies — generalmente un enlace en el pie de página ("Gestionar preferencias de cookies").

Lo que está expresamente prohibido

Las orientaciones del CPLT y los principios de la Ley 21.719 son claros sobre prácticas que vulneran la ley en el contexto de cookies:

Dark patterns (patrones oscuros): interfaces diseñadas para inducir al usuario a consentir, como:

  • Botón "Aceptar todo" destacado en verde y botón "Configurar" en gris discreto
  • Múltiples clics necesarios para rechazar, pero un solo clic para aceptar
  • Lenguaje engañoso como "Haga clic en Aceptar para mejorar su experiencia" (donde Aceptar implica aceptar todo)
  • Diálogos de "confirmación" que confunden aceptar con rechazar

Cookies antes del consentimiento: activar cookies no necesarias antes de la interacción del usuario con el banner — práctica técnicamente fácil pero jurídicamente inválida.

Fingerprinting como alternativa a las cookies: las técnicas de identificación de dispositivo que producen el mismo efecto de rastreo sin usar cookies (user-agent, configuraciones de pantalla, fuentes instaladas, plugins, etc.) también se consideran tratamiento de datos personales y exigen las mismas garantías.

Cómo estructurar un banner de cookies conforme a la ley

Capa 1: Banner inicial (visible inmediatamente)

Debe contener, al menos:

  • Información sobre el uso de cookies y sus principales finalidades
  • Botón de aceptar (opt-in activo)
  • Botón de rechazar cookies no necesarias (igualmente visible y accesible)
  • Enlace para más información (lleva a la capa 2)

Capa 2: Centro de preferencias (accesible desde el enlace "Configuración" o "Más información")

Debe contener:

  • Listado de cada categoría de cookies con descripción
  • Toggle individual por categoría (con cookies necesarias bloqueadas/activas sin toggle)
  • Información sobre las cookies específicas de cada categoría (nombre, duración, finalidad, empresa responsable)
  • Botón de guardar preferencias

Capa 3: Política de cookies (documento completo)

Accesible desde la capa 2:

  • Lista completa de todas las cookies utilizadas
  • Información detallada de cada cookie
  • Cómo revocar el consentimiento
  • Contacto del DPD

Registros: la carga de la prueba recae sobre el responsable

La Ley 21.719 establece que la carga de demostrar el consentimiento válido es del responsable de datos. Para las cookies, esto significa mantener registros de:

  • Cuándo se dio el consentimiento (fecha y hora)
  • Qué versión del banner estaba activa
  • Qué elecciones se realizaron (aceptar todo, rechazar, personalizado)
  • Para qué cookies/categorías se dio o rechazó el consentimiento

Ese registro es lo que permite responder a una reclamación de un titular, a un cuestionamiento de la APDP o a una investigación sobre la validez del consentimiento.

Analytics: ¿consentimiento o interés legítimo?

Una duda frecuente es si las cookies de analytics (como Google Analytics) pueden justificarse por el interés legítimo del responsable, dispensando el consentimiento. La Ley 21.719 no prohíbe esa interpretación, pero impone la prueba de equilibrio:

  • ¿Es legítimo el interés del responsable (entender el comportamiento en el sitio, mejorar el servicio)?
  • ¿Es el tratamiento necesario para ese interés?
  • ¿Se respetan los derechos y las expectativas razonables de los titulares?

Para analytics anonimizados y sin transferencia a terceros, el interés legítimo puede ser una base sostenible. Para analytics con compartición de datos con terceros (como Google) o con funcionalidades de perfilamiento individual, el consentimiento es la base más segura — especialmente considerando que el RGPD europeo exige consentimiento para esas hipótesis, y muchos proveedores de analytics ya adoptaron ese estándar globalmente.

El marco regulatorio chileno en transición

Hasta la entrada en vigencia de la Ley 21.719 (1 de diciembre de 2026), el tratamiento de datos mediante cookies en Chile se rige por la Ley 19.628 — cuya regulación sobre tecnologías de rastreo es menos específica. El CPLT ha publicado orientaciones técnicas sobre consentimiento y cookies que anticipan el estándar que la Ley 21.719 consolidará.

Organizaciones que operan sitios web con audiencia chilena deben:

  • Anticiparse a los requisitos de la Ley 21.719 adoptando desde ahora los estándares de consentimiento granular y opt-in activo
  • Seguir las publicaciones de la APDP (cuando entre en operaciones) sobre tecnologías de rastreo
  • Monitorear el tratamiento de datos de NNA mediante cookies — tema de alto riesgo con requisitos especiales

Conclusión

La conformidad de cookies con la Ley 21.719 no es solo una cuestión técnica — es jurídica. Los principios del marco regulatorio chileno son claros: las cookies no necesarias exigen consentimiento libre, informado, inequívoco y granular. Los dark patterns están prohibidos. Los registros son obligatorios. Y la responsabilidad de probar que el consentimiento fue obtenido válidamente es del responsable, no del titular.

Un banner de cookies conforme a la ley no es solo un requisito regulatorio — es una señal de respeto a la autonomía del usuario y un diferencial de confianza en un mercado donde la privacidad importa cada vez más.

Confidata centraliza el registro y la gestión de bases de licitud para todas las actividades de tratamiento de su organización, incluido el rastreo en línea basado en cookies. Conozca cómo estructuramos el consentimiento de forma auditable.

Compartir
#cookies#rastreo#consentimiento#Ley 21.719#CPLT#privacidad#marketing digital

Artículos relacionados

Datos sensibles en la Ley 21.719: categorías, bases de licitud y cuidados esencialesLegislación y Regulación · 12 minLey 21.719 y Ley de Transparencia: cómo compatibilizar privacidad y acceso a la informaciónLegislación y Regulación · 12 minTransparencia pública vs. protección de datos: cómo equilibrar la Ley 20.285 y la Ley 21.719Legislación y Regulación · 14 minIncidente de seguridad y Ley 21.719: cómo notificar a la APDP sin dilaciones indebidasLegislación y Regulación · 13 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista