Ley 21.719 en el marketing digital: campañas, CRM y automatización
El marketing digital es, por naturaleza, una actividad intensiva en datos personales. Direcciones de correo electrónico, historiales de navegación, preferencias de compra, comportamiento en redes sociales — cada canal de adquisición y retención depende de alguna forma de datos personales. La Ley 21.719 no prohíbe esta operación. Exige que cada tratamiento tenga finalidad definida, base de licitud adecuada y respeto a los derechos de los titulares.
Para los equipos de marketing, el impacto práctico no está en lo que no pueden hacer — está en el cómo deben hacerlo. Segmentación de listas por base de licitud, implementación adecuada de banners de cookies, gestión de bajas, política clara para píxeles de terceros. Son ajustes operacionales con impacto real en el día a día.
Los datos que el marketing trata
Antes de definir la base de licitud, es necesario mapear qué se recopila realmente en cada canal:
Captación de leads:
- Nombre, correo electrónico, teléfono, empresa (formularios de landing page, eventos, webinars)
- Cargo e interés declarado (formularios calificados)
- Origen del lead (parámetros UTM, fuente de tráfico)
Comportamiento digital:
- Páginas visitadas, tiempo de permanencia, productos visualizados
- Historial de clics en e-mails (open rate, click rate — son datos personales cuando están asociados a un individuo identificado)
- Comportamiento en redes sociales (likes, comentarios, seguidores que interactuaron)
- Score de lead calculado a partir de comportamientos
CRM y automatización:
- Recorrido del cliente (etapas del embudo, interacciones con ventas)
- Historial de compras y valor del cliente (LTV)
- Tickets de soporte e historial de atención
- Etiquetas y segmentaciones definidas internamente
Cookies y rastreo:
- Cookies de sesión y preferencia (técnicas)
- Cookies de analytics (Google Analytics, Hotjar, Clarity)
- Cookies de publicidad y retargeting (Meta Pixel, Google Ads, TikTok Pixel, LinkedIn Insight Tag)
- Fingerprinting de dispositivo para análisis antifraude
Bases de licitud por canal de marketing
| Actividad | Base de licitud | Condición |
|---|---|---|
| E-mail marketing para clientes con compra/contrato | Interés legítimo | Requiere análisis de balanceo documentado; producto/servicio similar; opt-out funcional |
| E-mail para leads que entregaron correo activamente | Consentimiento | Formulario con finalidad clara; opt-out en todos los envíos |
| E-mail para lista comprada o arrendada de tercero | Sin base de licitud adecuada | Alta exposición; práctica a evitar |
| SMS o WhatsApp marketing | Consentimiento | Opt-in explícito obligatorio (WhatsApp Business Policy) |
| Cookies técnicas/de sesión | No requiere base de licitud | Estrictamente necesarias para el funcionamiento |
| Cookies de analytics con identificación | Consentimiento | Consentimiento previo a la activación; granular |
| Cookies de publicidad y retargeting | Consentimiento | Consentimiento específico; banner con opción de rechazo equivalente |
| Remarketing/retargeting en Google/Meta | Consentimiento | Píxel activo solo tras consentimiento del usuario |
| Elaboración de perfiles de leads para scoring | Interés legítimo | Análisis de balanceo; transparencia en política de privacidad |
| Personalización de contenido en el sitio | Interés legítimo o consentimiento | Depende de la intrusividad del perfilamiento |
E-mail marketing: las tres bases y qué cambia en cada una
Clientes con relación comercial activa
El análisis de balanceo para el interés legítimo estructura el análisis en tres fases que deben documentarse antes de iniciar el tratamiento:
Fase 1 — Finalidad: El interés legítimo debe ser identificado y genuino. Un e-mail de promoción de producto similar al que el cliente ya adquirió = finalidad legítima. Un e-mail para vender un producto de categoría completamente distinta = finalidad más difícil de sostener.
Fase 2 — Necesidad: El dato mínimo necesario para la finalidad. Usar nombre y correo del cliente para enviar una promoción relevante = necesario. Agregar historial detallado de navegación para enviar el mismo e-mail = innecesario.
Fase 3 — Balanceo y salvaguardas: El interés de la empresa debe superar los derechos y expectativas del titular. La expectativa razonable de quien compró un producto de recibir comunicaciones sobre ese producto o similares es alta — el balanceo tiende a ser favorable. La salvaguarda mínima: opt-out funcional en todos los e-mails, procesado de inmediato.
Punto inamovible: Incluso con base en interés legítimo, todo e-mail debe incluir enlace de baja funcional. La Ley 21.719 garantiza al titular el derecho de oponerse al tratamiento por interés legítimo — y ese derecho debe ejercerse fácilmente.
Leads sin relación comercial
El consentimiento es la base adecuada. Condiciones para un consentimiento válido:
- Formulario que informe explícitamente que el correo se usará para comunicaciones de marketing
- Casilla de opt-in no puede estar premarcada
- Consentimiento registrado con fecha y versión del formulario
- Canal de revocación fácil, funcional e inmediato
Listas compradas o arrendadas
Práctica sin base de licitud sostenible bajo la Ley 21.719. Los titulares nunca consintieron recibir comunicaciones de la empresa compradora, y el interés legítimo es difícil de sostener cuando no existe relación previa. La exposición es doble: de la empresa que compró la lista y de quien la vendió.
Cookies: lo que la Ley 21.719 exige en la práctica
Aunque la APDP (Agencia de Protección de Datos Personales) aún no ha publicado una guía específica sobre cookies — dado que comenzará a operar con la plena vigencia de la Ley 21.719 en diciembre de 2026 —, los principios de la ley son claros y resultan en los mismos estándares que la AEPD (Agencia Española de Protección de Datos) y otras autoridades GDPR han consolidado:
Lo que NO es consentimiento válido:
- "Al seguir navegando, acepta las cookies" — implícito, no válido
- Banner con botón "Aceptar" prominente y opción de rechazo oculta o en múltiples clics
- Opciones preseleccionadas en el banner de cookies
- Consent-wall: bloquear el acceso al sitio hasta que se acepten todas las cookies (el rechazo debe ser una opción real, no punitiva)
Categorías y requisitos:
- Cookies estrictamente necesarias (sesión, carrito, preferencias de idioma): no requieren consentimiento — son necesarias para el funcionamiento del servicio
- Cookies de analytics que identifican usuarios individualmente: requieren consentimiento específico previo a la activación
- Cookies de publicidad, retargeting y perfilamiento conductual: requieren consentimiento específico y separado de los demás
Granularidad obligatoria: El usuario debe poder aceptar solo las cookies necesarias sin aceptar analytics o publicidad. Un único botón "aceptar todo" sin opción granular no es suficiente.
Registro del consentimiento: La plataforma debe registrar cuándo se otorgó el consentimiento, para qué versión del banner y qué categorías se aceptaron.
Meta Pixel, Google Ads y la cuestión del responsable independiente
La instalación de píxeles de terceros en el sitio es uno de los puntos más críticos para los equipos de marketing desde el punto de vista de la Ley 21.719. Cuando el Meta Pixel está activo, datos de comportamiento de los visitantes son enviados a servidores de Meta fuera de Chile.
La distinción jurídica relevante:
La empresa que instala el píxel es responsable del tratamiento de los datos de sus visitantes. Meta y Google, al recibir esos datos para sus propios fines (entrenar modelos de publicidad, construir audiencias, optimizar campañas), actúan como responsables independientes — no solo como encargados que procesan datos en nombre del sitio.
Esto tiene implicaciones prácticas:
- El visitante debe ser informado sobre esta transferencia en la política de privacidad, con identificación de las plataformas destinatarias
- El consentimiento para cookies de publicidad debe obtenerse antes de que el píxel sea activado — no después
- La transferencia a EE.UU. (que no tiene decisión de adecuación de Chile) exige un mecanismo de transferencia internacional adecuado — como las Cláusulas Contractuales Tipo (CCT) aprobadas por el Ministerio de Economía de Chile
Implicación para GTM (Google Tag Manager): Configurar el GTM para disparar píxeles solo tras el consentimiento explícito es técnicamente posible y jurídicamente necesario. Las tags de marketing deben dispararse en modo "consentimiento pendiente" hasta que el usuario acepte las cookies de publicidad en el banner.
CRM, automatización y perfilamiento: decisiones automatizadas en la Ley 21.719
Las herramientas de automatización de marketing (HubSpot, Salesforce Marketing Cloud, Klaviyo, ActiveCampaign) realizan perfilamiento — atribuyen características, scores y segmentaciones a los titulares con base en sus comportamientos. Cuando ese perfilamiento resulta en decisiones que afectan al titular de forma significativa, las disposiciones de la Ley 21.719 sobre decisiones automatizadas pueden activarse.
La Ley 21.719 garantiza al titular el derecho de no verse sometido a decisiones adoptadas únicamente sobre la base del tratamiento automatizado que le afecten de manera importante, incluida la elaboración de perfiles.
Cuándo esto aplica al marketing:
- Lead scoring que determina si el lead recibe o no una propuesta comercial
- Segmentación que excluye automáticamente perfiles de ciertas ofertas o precios
- Modelos de propensión que clasifican usuarios como "no propensos a comprar" y los excluyen de campañas
Lo que la empresa necesita tener:
- Proceso para revisión humana cuando el titular cuestione una decisión basada en perfilamiento automatizado
- Capacidad de explicar los criterios usados en la puntuación o segmentación
WhatsApp y SMS: opt-in obligatorio
La WhatsApp Business API exige, por sus propias políticas, que los destinatarios hayan optado explícitamente por recibir mensajes de la empresa vía WhatsApp antes del primer contacto. Esta exigencia de opt-in coincide con lo que la Ley 21.719 requiere para comunicaciones de marketing en canales de mensajería directa.
En la práctica: el opt-in para WhatsApp no puede capturarse junto a otros consentimientos genéricos ("acepto recibir comunicaciones"). Debe ser específico para el canal: "Acepto recibir mensajes de marketing de esta empresa vía WhatsApp."
Lo mismo rige para el SMS marketing: consentimiento específico para el canal, con opt-out fácilmente ejercible.
Transferencia internacional de datos en marketing
Las herramientas de marketing frecuentemente procesan datos fuera de Chile. Los casos más comunes:
| Plataforma | Ubicación de servidores | Mecanismo de transferencia |
|---|---|---|
| Meta (Instagram/Facebook Ads) | EE.UU. | CCT del Ministerio de Economía de Chile |
| Google (Analytics, Ads, YouTube) | EE.UU. y otros países | CCT |
| HubSpot | EE.UU. | CCT |
| Mailchimp | EE.UU. | CCT |
| LinkedIn Ads | EE.UU. | CCT |
| Klaviyo | EE.UU. | CCT |
Las Cláusulas Contractuales Tipo (CCT) aprobadas por el Ministerio de Economía de Chile, basadas en los modelos de la RIPD (Red Iberoamericana de Protección de Datos), constituyen el mecanismo estándar para transferencias a países sin declaración de adecuación. La UE/EEE podría eventualmente ser declarada como territorio con nivel adecuado de protección por la APDP cuando esta entre en operación — lo que facilitaría las transferencias hacia herramientas alojadas en Europa.
En la práctica para equipos de marketing: Verificar los términos de tratamiento de datos (DPA) de cada proveedor y si incluyen o admiten el uso de CCT compatibles con el modelo chileno.
Checklist para equipos de marketing
Banner de cookies:
- Categorías separadas: necesarias / analytics / publicidad
- Opción de rechazo con visibilidad equivalente a la de aceptación
- Píxeles y tags de publicidad disparados solo tras consentimiento específico
- Consentimiento registrado con fecha, versión del banner y categorías aceptadas
E-mail marketing:
- Listas segmentadas por base de licitud (clientes = interés legítimo documentado; leads = consentimiento)
- Análisis de balanceo (interés legítimo) documentado para e-mails basados en esta base
- Enlace de baja funcional en todos los e-mails, procesado de inmediato
- Listas de terceros compradas o arrendadas eliminadas o no utilizadas para marketing
CRM y automatización:
- Política de privacidad menciona el perfilamiento de leads y los criterios generales utilizados
- Proceso para revisión humana de decisiones automatizadas documentado
- Contrato de encargo de tratamiento firmado con CRM, plataforma de automatización y herramientas de analytics
Transferencias internacionales:
- Proveedores de marketing con servidores fuera de Chile identificados
- CCT verificadas para cada proveedor (o país con adecuación, si aplica)
- Política de privacidad menciona las transferencias internacionales y los destinatarios
Conclusión
La Ley 21.719 no es un obstáculo para el marketing digital — es un conjunto de reglas que profesionaliza la relación de los equipos de marketing con los datos que recopilan. Segmentar por base de licitud, documentar el análisis de balanceo para e-mails de clientes, implementar un banner de cookies adecuado y revisar los contratos con proveedores de tecnología de marketing son cambios que impactan positivamente la gobernanza de datos y reducen la exposición a sanciones de la APDP.
El mayor cambio de mentalidad exigido es simple: los datos de personas no son un recurso a maximizar — son informaciones que pertenecen a personas, que tienen el derecho de controlar cómo se usan. Los equipos de marketing que internalizan esto tienden a construir estrategias más sostenibles y relaciones más confiables con sus públicos.
Confidata incluye módulo de gestión de consentimiento integrado al Registro de Actividades de Tratamiento (RAT), con seguimiento de opt-ins y opt-outs por canal, registro de versiones de formularios y alertas para revisión del análisis de balanceo cuando haya cambios significativos en las actividades de marketing.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.