Ley 21.719 en el e-commerce: datos de clientes, cookies y marketing digital
Para un e-commerce chileno, la Ley 21.719 no es abstracta. Cada cliente que crea una cuenta, cada pedido realizado, cada píxel de rastreo instalado en el sitio — todo involucra datos personales y tiene implicaciones legales específicas que entran en plena vigencia el 1 de diciembre de 2026.
El volumen y la variedad de datos tratados en un e-commerce son mayores de lo que la mayoría percibe: nombre, RUT, dirección, teléfono, historial de compras, datos de navegación, datos de pago, dirección de despacho, email para marketing. Cada tipo de dato tiene requisitos distintos de base de licitud, retención y seguridad. Tratarlos como una masa uniforme — "los recopilamos porque los necesitamos" — es el camino más directo hacia una infracción.
Mapeando los datos del e-commerce
Antes de definir bases de licitud y políticas de retención, el primer paso es mapear lo que realmente se recopila:
Registro y cuenta:
- Nombre, email, RUT, teléfono
- Dirección de despacho y facturación
- Historial de pedidos y preferencias
- Datos de tarjeta (típicamente almacenados por la plataforma de pago, no por el e-commerce directamente)
Transacción y despacho:
- Datos del pedido, valor, productos seleccionados
- RUT en la boleta o factura electrónica (requerimiento tributario)
- Datos transmitidos al servicio de despacho
- Código de seguimiento e historial de entrega
Marketing y personalización:
- Cookies de sesión y preferencia
- Cookies de analítica (Google Analytics, Hotjar, etc.)
- Cookies de publicidad (Meta Pixel, Google Ads Tag, TikTok Pixel, etc.)
- Historial de navegación y productos visitados
- Carro abandonado
- Lista de email y preferencias de comunicación
Antifraude y seguridad:
- Dirección IP de acceso
- Fingerprint de dispositivo
- Score de riesgo en análisis antifraude
- Registros de acceso (buenas prácticas de seguridad)
Bases de licitud por tipo de actividad
La Ley 21.719 exige que cada tratamiento de datos tenga una base de licitud específica. Para e-commerces, la distribución más común es:
| Actividad | Base de licitud | Fundamento |
|---|---|---|
| Creación de cuenta y ejecución de pedidos | Ejecución de contrato | Datos necesarios para prestar el servicio |
| Emisión de boleta/factura electrónica | Obligación legal | Normativa tributaria del SII (Ley 20.727) |
| Retención de registros tributarios | Obligación legal | SII exige conservación por 6 años |
| Email marketing a clientes con compra previa | Interés legítimo | Relación comercial previa (exige análisis de proporcionalidad) |
| Newsletter y marketing a no-clientes | Consentimiento | El titular debe optar activamente |
| Cookies funcionales y de sesión | Ejecución de contrato o dispensadas | Necesarias para el funcionamiento del sitio |
| Cookies de analítica con identificación | Consentimiento | Identifica al usuario individualmente |
| Cookies de publicidad y retargeting | Consentimiento | Perfilamiento para fines comerciales |
| Análisis antifraude | Interés legítimo | Prevención de fraude |
Cookies y la Ley 21.719: qué cambia en la práctica
La Ley 21.719 no regula las cookies de forma explícita — a diferencia del GDPR europeo —, pero aplica sus principios generales al tratamiento de datos personales a través de cookies. Cuando una cookie identifica a una persona (o permite identificarla), es un dato personal sujeto a todas las obligaciones de la ley.
Consentimiento válido debe ser libre, informado, específico e inequívoco. No es válido:
- Continuar navegando en el sitio como forma implícita de aceptar cookies
- Banner con opciones preseleccionadas
- Ausencia de opción de rechazo equivalente a la de aceptación
- Consentimiento impuesto: bloquear el acceso al sitio hasta que el usuario acepte (el rechazo debe ser una opción real, no penalizada)
Distinción por categorías:
- Cookies estrictamente necesarias para el funcionamiento del sitio (carro de compras, sesión de inicio de sesión): no requieren consentimiento
- Cookies de analítica que identifican usuarios individualmente: requieren consentimiento
- Cookies de publicidad, retargeting y perfilamiento: requieren consentimiento específico
- El consentimiento debe ser granular: el usuario debe poder aceptar categorías específicas sin aceptar todas
Registro del consentimiento: El e-commerce debe registrar cuándo, para qué versión del banner y qué categorías fueron aceptadas — no basta con registrar que hubo consentimiento, sino cuál consentimiento específico se otorgó.
Nota: La APDP podrá emitir orientaciones específicas sobre cookies después de su instalación en 2026. Hasta entonces, los principios generales de la Ley 21.719 son la referencia.
Email marketing y Ley 21.719: las tres situaciones
Situación 1 — Clientes que ya compraron:
La base del interés legítimo puede sustentar el envío de emails relacionados con productos o servicios similares a los adquiridos. El responsable debe realizar un análisis de proporcionalidad: verificar si el interés legítimo prevalece sobre los derechos del titular y si el titular tenía expectativa razonable de ese uso. En la práctica: email sobre promoción del producto que el cliente compró — probablemente sostenible. Email sobre un producto completamente distinto — más difícil de justificar.
Requisito ineludible: Enlace de baja (opt-out) funcional en todos los emails, con procesamiento inmediato de la solicitud de baja.
Situación 2 — Leads que entregaron su email pero no compraron:
El consentimiento es la base más segura. El formulario de captación debe informar claramente para qué se usará el email, con opción de no consentir (sin bloquear el acceso al contenido).
Situación 3 — Listas de email compradas o alquiladas a terceros:
Práctica de alto riesgo jurídico. El titular nunca consintió el envío de comunicaciones de tu empresa. La base legal es extremadamente difícil de sustentar. El uso de listas de terceros para envío de marketing es una de las prácticas más cuestionadas y puede configurar tratamiento sin base de licitud.
Nota adicional: La regulación de comunicaciones comerciales electrónicas en Chile sigue evolucionando. La propia Ley 21.719 refuerza el derecho de oposición del titular al tratamiento con fines de marketing directo, lo que en la práctica exige que todo email comercial ofrezca una vía efectiva de baja.
Meta Pixel, Google Ads y transferencia internacional de datos
La instalación de etiquetas de rastreo de terceros en el sitio del e-commerce es una de las cuestiones más complejas bajo la Ley 21.719. Cuando el Meta Pixel o la Google Ads Tag están instalados, datos de los visitantes son enviados a servidores de esas plataformas en Estados Unidos — configurando tanto tratamiento de datos como transferencia internacional.
Implicaciones prácticas:
- El e-commerce es responsable de los datos de sus visitantes y clientes
- Meta y Google, al recibir esos datos para sus propias plataformas publicitarias, actúan como responsables independientes — no solo como encargados del e-commerce
- El visitante debe ser informado de esa transferencia en la política de privacidad
- Para rastreo publicitario, el visitante debe dar consentimiento específico antes de que el píxel sea activado
- Los transfers a EE.UU. (que no tiene decisión de adecuación de Chile) requieren un mecanismo de transferencia internacional — como las cláusulas contractuales tipo aprobadas conforme a la Ley 21.719
Retención de datos: qué guardar y por cuánto tiempo
| Tipo de dato | Plazo mínimo obligatorio | Base |
|---|---|---|
| Documentos tributarios (boletas, facturas DTE) | 6 años | Obligación legal (SII, Ley 20.727) |
| Datos de contrato de consumo | 5 años (prescripción acciones SERNAC) | Ley 19.496 |
| Registros contables | 6 años | Normativa tributaria SII |
| Datos de cuenta sin compra | Mientras activo + plazo legal | Contrato |
| Datos captados por consentimiento | Mientras el consentimiento esté vigente | Revocar = eliminar |
Cuidado con la retención indefinida: Muchos e-commerces mantienen datos de clientes inactivos indefinidamente. Sin base de licitud activa, eso no es procedente. La práctica correcta es definir un plazo de inactividad a partir del cual los datos son eliminados o anonimizados — con aviso al titular antes de la eliminación.
Terceros que acceden a datos: los encargados del e-commerce
Todo e-commerce mediano trabaja con decenas de proveedores que acceden a datos personales de sus clientes. Cada uno es un encargado del tratamiento — y la Ley 21.719 exige que la relación sea formalizada en contrato con cláusulas de protección de datos.
Los encargados típicos de un e-commerce incluyen:
- Plataforma de pago (Transbank/WebPay, Mercado Pago, Flow, Stripe): accede a datos de tarjeta y transacción
- Plataforma de e-commerce (Shopify, WooCommerce, Jumpseller, VTEX): almacena registros y pedidos
- ERP o sistema de gestión: integra inventario, pedidos y datos de cliente
- Plataforma de email marketing (Mailchimp, ActiveCampaign, Klaviyo, HubSpot): accede a la base de emails
- Servicio de despacho (Chilexpress, Starken, DHL): recibe nombre, dirección y teléfono para entrega
- Plataforma de antifraude: analiza datos de transacción
- Sistema de atención (Zendesk, Freshdesk): almacena historial de contacto del cliente
Todos estos proveedores deben tener contrato de encargo del tratamiento firmado — o al menos cláusulas contractuales de protección de datos en los contratos de prestación de servicio.
Checklist de cumplimiento para e-commerces
Banner de cookies:
- Banner implementado con opciones granulares (necesario / analítica / marketing)?
- Opción de rechazo con visibilidad equivalente a la de aceptación?
- Consentimiento registrado con fecha, versión del banner y categorías aceptadas?
- Píxeles y etiquetas de terceros activados solo tras consentimiento específico?
Política de privacidad:
- Actualizada para cubrir todas las cookies y píxeles instalados?
- Menciona las transferencias internacionales (plataforma de pagos, e-commerce, Meta, Google)?
- Explica cómo ejercer los derechos de los titulares (acceso, rectificación, supresión, portabilidad, oposición)?
Email marketing:
- Listas segmentadas por base de licitud (consentimiento, interés legítimo)?
- Enlace de baja funcional en todos los emails?
- Proceso de atención a solicitudes de supresión implementado?
Datos de cuenta y pedidos:
- Política de retención definida para datos de clientes inactivos?
- Contratos de encargo firmados con plataforma de pagos, e-commerce, ERP, servicio de despacho y demás encargados?
- Control de acceso a datos de clientes en el backoffice?
Conclusión
La Ley 21.719 no prohíbe al e-commerce recopilar datos ni hacer marketing digital. Exige que cada recopilación tenga una finalidad legítima, una base de licitud adecuada y un plazo de retención definido — y que el titular sea tratado con transparencia y respeto.
Para la mayoría de los e-commerces chilenos, el camino práctico comienza con tres acciones inmediatas: revisar el banner de cookies (que raramente está en cumplimiento con los principios de la Ley 21.719), auditar los proveedores que acceden a datos de clientes y formalizar los contratos de encargo, y segmentar las listas de email por base de licitud antes de la próxima campaña.
Confidata incluye módulo de gestión de encargados y proveedores con control de contratos de encargo, registro de consentimiento integrado al inventario de tratamientos y alertas de vencimiento de contratos — centralizando el cumplimiento del e-commerce en un solo panel.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.