Ley 21.719 para sitios web en Chile: cookies, formularios, CRM y analítica

Un sitio web ya no puede mirarse sólo como una vitrina digital. Si tiene formularios, botón de WhatsApp, newsletter, píxeles publicitarios, Google Analytics, CRM, descargas de contenido o integraciones con plataformas externas, probablemente está recolectando o activando tratamientos de datos personales.

La Ley 21.719 no entrega una lista cerrada de elementos web como «banner de cookies» o «plugin de privacidad». Lo que sí establece son principios, obligaciones de información, reglas de licitud, deberes de seguridad y derechos de los titulares. En la práctica, eso obliga a revisar cómo funciona el sitio completo, desde la primera visita hasta el almacenamiento posterior del dato.

Qué datos puede estar tratando un sitio web

Un sitio puede tratar datos obvios, como nombre, correo, teléfono o empresa, pero también datos menos visibles: identificadores online, comportamiento de navegación, origen de tráfico, eventos de conversión, ubicación aproximada, interacciones con formularios, respuestas de campañas y registros asociados a un CRM.

La ley define dato personal como cualquier información vinculada o referida a una persona natural identificada o identificable. Por eso, el análisis no debe limitarse a los campos visibles de un formulario. También hay que mirar scripts, etiquetas, plataformas y herramientas de medición.

Qué debe publicar el sitio

El sitio debería contar, al menos, con una política de tratamiento de datos personales o política de privacidad actualizada. Esa política debe informar quién es el responsable, qué categorías de datos se tratan, con qué finalidades, bajo qué base de legitimidad, por cuánto tiempo se conservan, con quién se comparten, si existen transferencias internacionales y qué derechos puede ejercer el titular.

También debería existir un canal claro para solicitudes de acceso, rectificación, supresión, oposición, portabilidad y bloqueo. Ese canal puede ser un formulario, un correo o un medio tecnológico equivalente, pero debe ser fácil de encontrar y operar.

Formularios: el punto más visible

Cada formulario debería revisarse con tres preguntas simples: qué datos pide, para qué los pide y qué ocurre después del envío. Un formulario de contacto no debería pedir datos que no necesita. Un formulario de cotización puede requerir más información, pero debe explicar su finalidad. Una suscripción a newsletter debería separarse de una solicitud comercial.

Además, es recomendable conservar evidencia del consentimiento cuando esa sea la base de licitud utilizada: fecha, hora, fuente, versión del texto aceptado y origen del formulario. Esto no es sólo para cumplir; también evita confusiones internas cuando la base crece y se usa en campañas futuras.

Cookies y scripts

Aunque la ley no usa el lenguaje técnico cotidiano de marketing digital, sus principios impactan directamente en cookies, tags y scripts. Si una herramienta permite rastrear, analizar, perfilar o medir comportamiento de usuarios, debe evaluarse si existe tratamiento de datos personales y cuál será la base de licitud correspondiente.

Una implementación prudente separa cookies necesarias de analíticas, marketing y personalización. Las herramientas que no son indispensables para operar el sitio deberían activarse sólo cuando exista una base válida y una información clara para el usuario.

CRM y automatizaciones

El sitio no termina cuando el usuario aprieta «enviar». Ese dato normalmente viaja a un CRM, una planilla, una automatización, una bandeja de correo, un flujo de WhatsApp o una plataforma de email marketing. La adecuación debe considerar todo el camino del dato, no sólo la interfaz visible.

Esto implica documentar proveedores, accesos internos, ubicaciones de almacenamiento, transferencias internacionales y tiempos de conservación. Si el equipo comercial usa una base para contactar prospectos seis meses después, esa finalidad debe estar justificada y comunicada.

Checklist básico para un sitio web

• Política de privacidad publicada y específica para la operación real.
• Canal visible para ejercer derechos de titulares.
• Formularios con finalidad clara y textos de consentimiento cuando corresponda.
• Separación entre contacto comercial, newsletter y otros usos.
• Mapa de cookies, scripts y etiquetas de terceros.
• Registro de proveedores que reciben o procesan datos.
• Criterio de conservación y eliminación de datos.
• Medidas de seguridad para formularios, accesos y bases.

Un sitio web que cumple no es necesariamente uno lleno de textos legales. Es un sitio que explica bien, pide lo necesario, registra lo importante y conecta de manera ordenada con los sistemas que usa la empresa.

Este artículo tiene fines informativos y prácticos, y no reemplaza asesoría legal especializada. Última actualización: junio de 2026.

Fuentes oficiales

• Ley 21.719 — texto oficial consolidado (Biblioteca del Congreso Nacional / LeyChile)
• Ley 21.719 — publicación original en el Diario Oficial (13 de diciembre de 2024)
• Guía práctica de implementación (Secretaría de Gobierno Digital)
• Libro de informes de la Comisión Asesora Ministerial (Minsegpres)
• Estado de conformación de la Agencia de Protección de Datos (Senado)