Lo esencial en 30 segundos
- Cada uso de datos en marketing necesita una finalidad declarada y una base de licitud. En marketing directo, la opción más segura y habitual es el consentimiento; el interés legítimo puede aplicar en ciertos casos, pero obliga a ponderar tu interés comercial frente a los derechos del titular y a dejar esa ponderación por escrito.
- El estándar de consentimiento que conviene adoptar: libre, informado, específico e inequívoco, y siempre revocable. Nada de casillas premarcadas ni de silencio interpretado como aceptación.
- Sepáralo por finalidad: aceptar una compra no es aceptar promociones. Cada finalidad se pide y se registra por separado.
- La baja debe ser tan fácil como el alta. Un enlace de baja que no funciona, o que obliga a llamar por teléfono, es el problema más visible desde afuera y el más fácil de reclamar.
- Tus plataformas de email y de ads actúan como encargados de tratamiento: formaliza esa relación por escrito. Las bases compradas o de terceros son el riesgo más caro, porque la responsabilidad proactiva te exige poder acreditar el origen de cada dato.
Durante años el marketing en Chile operó con una regla no escrita: si tienes el correo, lo usas. La Ley 19.628, de 1999, fue el marco histórico y quedó muy por detrás de cómo funciona hoy la publicidad digital. La Ley 21.719, publicada el 13 de diciembre de 2024, cambia esa lógica de raíz y toma como referencia el estándar del GDPR europeo. Con fiscalización plena desde el 1 de diciembre de 2026 y una Agencia de Protección de Datos Personales que fiscaliza y sanciona, la pregunta ya no es si puedes enviar la campaña, sino con qué base la envías y cómo lo demuestras. Si quieres el panorama completo, parte por nuestra guía sobre la ley de protección de datos en Chile.
La buena noticia: cumplir no significa apagar el marketing. Significa ordenarlo. Las empresas que llegan a esta ley con el consentimiento bien pedido, la base limpia y los proveedores contratados suelen ver mejores métricas, porque dejan de hablarle a gente que nunca quiso escucharlas. Lo que sigue es el mapa completo, área por área.
Qué cambia para el marketing con la Ley 21.719
El cambio de fondo es la responsabilidad proactiva: ya no basta con no hacer daño, hay que poder demostrar que tratas los datos correctamente. Aplicado al marketing, esto significa que cada lista, cada segmento y cada píxel debe tener detrás una finalidad declarada, una base de licitud identificada y evidencia de que las personas fueron informadas.
El otro cambio es la consecuencia. La Agencia de Protección de Datos Personales fiscaliza y sanciona, con multas que pueden llegar hasta 5.000, 10.000 o 20.000 UTM según la gravedad de la infracción, y existe además un Registro Nacional de Sanciones. Para una marca que vive de su reputación, aparecer ahí puede costar más que la multa misma.
Y el marketing es, por naturaleza, el área más visible. Un cliente molesto no sabe si tienes un Registro de Actividades de Tratamiento en orden, pero sí sabe si le llegó un correo que nunca pidió y si el enlace de baja funcionó. Esa es la puerta de entrada más frecuente de los reclamos.
- Toda campaña necesita una finalidad explícita y una base de licitud asociada.
- El consentimiento pasa a ser algo que se pide, se registra y se puede probar.
- Los derechos ARSOP (acceso, rectificación, supresión, oposición y portabilidad) aplican de lleno sobre tus listas y tus segmentos.
- Las plataformas que usas dejan de ser un detalle técnico: son encargados de tratamiento y tú sigues siendo el responsable.
- El deber de notificar brechas alcanza también a tu base de marketing, no solo a los sistemas críticos.
Cada uso necesita una base de licitud: consentimiento o interés legítimo
Antes de enviar cualquier cosa, la pregunta es una sola: ¿con qué base trato estos datos? En marketing directo, la respuesta más segura y más habitual es el consentimiento. El estándar que conviene aplicar es un consentimiento libre, informado, específico e inequívoco, que la persona pueda revocar en cualquier momento.
Cada uno de esos adjetivos tiene consecuencias prácticas. Libre significa que no condicionas el servicio a aceptar publicidad: si para comprar hay que aceptar promociones, ese consentimiento nace viciado. Informado significa que la persona sabe quién trata sus datos, para qué y con quién se comparten. Específico significa que se pide por finalidad concreta, no en bloque. E inequívoco significa acción afirmativa clara: una casilla que el usuario marca, no una premarcada ni un aviso al pie que dice que continuar equivale a aceptar.
El interés legítimo existe como base alternativa y puede aplicar en ciertos casos, pero no es un comodín. Supone una ponderación real entre tu interés comercial y los derechos, expectativas y libertades del titular. Cuanto más invasivo es el tratamiento, más difícil es que el interés legítimo lo sostenga. Avisar a un cliente activo sobre un producto equivalente al que ya compró es un escenario razonable de analizar; construir un perfil de comportamiento cruzando fuentes para venderle algo que nunca buscó, no lo es. Y si te apoyas en interés legítimo, documenta esa ponderación por escrito: la responsabilidad proactiva consiste justamente en poder demostrar cómo tomaste la decisión.
Regla práctica que damos a nuestros clientes: si dudas entre consentimiento e interés legítimo, pide consentimiento. Es más caro en volumen y mucho más barato en riesgo.
Email marketing: consentimiento separado por finalidad y baja efectiva
El error más común del email marketing chileno es mezclar finalidades en una sola aceptación. El checkout pide aceptar los términos y, dentro de esa misma casilla, va escondida la autorización para recibir promociones, para compartir el correo con socios comerciales y para perfilar el comportamiento de compra. Eso no resiste un reclamo: si el consentimiento tiene que ser específico, la forma limpia de conseguirlo es una casilla por finalidad.
En concreto, aceptar la compra y aceptar recibir promociones son dos decisiones distintas. La primera se sostiene en la relación comercial que la propia persona buscó; la segunda necesita su base y su evidencia propias. Mézclalas y te quedas sin poder demostrar la segunda, que es justo la que usas para hacer marketing.
La revocación es la otra mitad de la ecuación, y es la que más rápido se ve desde afuera. Retirar el consentimiento debe ser tan fácil como darlo: si el alta fue un clic, la baja tiene que ser un clic. Un enlace de baja que exige iniciar sesión, que pide el RUT, que abre un formulario de cinco campos o que simplemente no procesa la solicitud es el tipo de problema que cualquiera documenta con una captura de pantalla.
Y efectiva significa efectiva de verdad: la baja debe propagarse a todas las herramientas, no solo a la lista donde se hizo clic. Si el contacto sale de tu plataforma de correos pero sigue vivo en el CRM y vuelve a entrar en la próxima sincronización, no diste de baja a nadie.
- Casilla separada por finalidad: promociones, comunicaciones de terceros, perfilamiento.
- Casillas siempre desmarcadas por defecto y con texto comprensible, no jerga legal.
- Registra qué se aceptó, cuándo, desde dónde y con qué texto a la vista. Esa es tu evidencia.
- Enlace de baja visible en todos los envíos, sin inicio de sesión ni fricción artificial.
- Propaga la baja a todos los sistemas y respétala también en las audiencias de publicidad.
- El doble opt-in es la forma más limpia de probar que el alta fue real: no es la única, pero es la que mejor se defiende.
Cookies, trackers y publicidad digital
Tu sitio web es el punto donde más datos recolectas sin que nadie lo note. Cookies de analítica, píxeles de plataformas publicitarias, mapas de calor, identificadores de dispositivo: cuando esas tecnologías permiten identificar a una persona o construir un perfil, están tratando datos personales y necesitan una base de licitud. Para todo lo que no es estrictamente necesario para que el sitio funcione, lo razonable es pedir consentimiento, y pedirlo antes de activar el tracker, no después.
El patrón que recomendamos es conocido: banner que aparece antes de cargar nada opcional, opciones de aceptar y rechazar en igualdad de condiciones, elección por categorías, política de cookies enlazada, registro de la decisión y un centro de preferencias para cambiarla más tarde. Un banner con un único botón de aceptar, o uno que carga los píxeles mientras la persona todavía está leyendo, difícilmente se sostiene como consentimiento libre.
En publicidad hay un punto que suele pasarse por alto: las audiencias personalizadas. Cuando subes tu base de clientes a una plataforma de ads para construir audiencias similares o hacer remarketing, estás comunicando datos personales a un tercero para una finalidad publicitaria. Eso necesita su propia base de licitud y su propia transparencia. No basta con que la persona te haya dado el correo para recibir la boleta.
Perfilamiento, segmentación y fidelización: transparencia y derechos ARSOP
Los programas de fidelización son máquinas de perfilamiento, y conviene decirlo con esas palabras. Registran qué compras, cada cuánto, a qué hora, en qué sucursal y con qué medio de pago, y con eso construyen un perfil de comportamiento que después alimenta la segmentación. Todo eso es tratamiento de datos personales y necesita finalidad declarada, base de licitud e información clara al titular.
El punto crítico es la transparencia. La persona que se inscribe en tu club de beneficios suele entender que acumula puntos; rara vez entiende que su historial se usa para predecir su próxima compra, ajustar ofertas o alimentar audiencias publicitarias. Si eso ocurre, hay que decirlo en el momento del alta, con lenguaje que se entienda, y no enterrarlo en la cláusula veintitrés.
Sobre esos perfiles pesan además los derechos ARSOP. Un cliente puede pedir acceso a los datos que tienes sobre él, rectificar lo que esté mal, solicitar la supresión, oponerse al tratamiento con fines de marketing y pedir la portabilidad de su información. Tus sistemas tienen que poder responder eso en la práctica, no en la teoría: si tus datos están repartidos entre el CRM, la plataforma de correos, el ecommerce y una planilla que mantiene alguien del equipo, no vas a poder cumplir.
Cuando el perfilamiento es intensivo, cruza fuentes o puede afectar significativamente a las personas, corresponde evaluar si necesitas una Evaluación de Impacto en Protección de Datos (EIPD). Es el instrumento que la ley contempla justamente para estos casos, y hacerlo a tiempo cuesta mucho menos que explicarlo después.
Bases de datos compradas o de terceros: el riesgo más caro
Comprar una base de correos o recibirla de un socio comercial es, hoy, una de las prácticas de mayor riesgo en marketing. El problema no es adquirirla: es que tú, como responsable del tratamiento, debes poder acreditar el origen lícito de cada dato que usas. Y con una base comprada casi nunca puedes.
Piénsalo desde la evidencia. Si la Agencia o un titular te pregunta cómo obtuviste ese correo, tu respuesta debe incluir quién recolectó el dato, con qué base de licitud, qué texto vio la persona al entregarlo y si esa autorización cubría el envío que hiciste tú, una empresa que el titular nunca eligió. Un archivo con doscientos mil registros y una factura del proveedor no responde ninguna de esas preguntas.
Lo mismo aplica al scraping de perfiles públicos y a los intercambios de bases entre empresas del mismo grupo o de un mismo ecosistema. Que un dato sea accesible no lo vuelve libre de usar, y que dos empresas compartan dueño no las convierte en una sola para efectos de protección de datos.
Nuestra recomendación es directa: audita el origen de cada segmento de tu base antes de diciembre de 2026. Si no puedes documentar de dónde salió un conjunto de contactos y qué autorizaron, no lo uses. Una base limpia y más pequeña vale más que una grande e indefendible.
Tus plataformas son encargados: contrato de tratamiento y cómo dejar el marketing en regla
Tu plataforma de email, tu CRM, tu herramienta de automatización, tu proveedor de analítica y tus plataformas publicitarias tratan datos personales por cuenta tuya. En el lenguaje de la ley, son encargados de tratamiento y tú eres el responsable. Esa relación hay que dejarla por escrito: el contrato que recomendamos fija finalidades e instrucciones, medidas de seguridad, uso de subencargados, confidencialidad, colaboración ante solicitudes ARSOP y ante brechas, y qué pasa con los datos al terminar el servicio.
Delegar la ejecución no delega la responsabilidad. Si tu proveedor de correos sufre una brecha y tu base se filtra, quien responde ante la Agencia y ante tus clientes eres tú. Por eso el contrato importa: es el instrumento que te permite exigir, y también demostrar que actuaste con diligencia.
Poner el marketing en regla es un proyecto acotado si se ordena bien. Estos son los pasos que seguimos con nuestros clientes.
- Haz un inventario real: qué listas, segmentos y herramientas existen, incluyendo las que mantiene alguien del equipo por su cuenta.
- Mapea finalidad y base de licitud para cada uso. Si es interés legítimo, documenta la ponderación por escrito.
- Rediseña tus formularios y tu checkout con consentimiento separado por finalidad y casillas desmarcadas.
- Audita el origen de tu base y aparta lo que no puedas acreditar. Lo indefendible no se envía.
- Arregla la baja: un clic, sin fricción, propagada a todos los sistemas y respetada en las audiencias publicitarias.
- Implementa un banner de cookies por categorías que bloquee analítica y marketing hasta obtener el consentimiento.
- Firma contratos de tratamiento con cada plataforma y revisa dónde se alojan los datos.
- Incorpora tus tratamientos de marketing al Registro de Actividades de Tratamiento (RAT) y evalúa si algún perfilamiento requiere una EIPD.
- Define el flujo de respuesta a solicitudes ARSOP y el protocolo de notificación de brechas, con el DPO o el responsable interno como punto de contacto.
¿Tu marketing resiste una fiscalización?
Revisamos tu base, tus formularios, tus flujos de consentimiento y tus contratos con plataformas, y te dejamos un plan concreto para llegar a diciembre de 2026 en regla, sin frenar tus campañas. Empieza con un diagnóstico de 30 minutos, sin compromiso.
Solicitar diagnósticoPreguntas frecuentes
¿Puedo seguir enviando correos a la base que ya tengo?
Depende de con qué base de licitud la construiste y de si puedes demostrarlo. Si tienes registro de un consentimiento libre, informado, específico e inequívoco que cubre el envío de comunicaciones comerciales, sí. Si los contactos entraron por una casilla premarcada, mezclados con la aceptación de términos, o no tienes registro alguno de qué autorizaron, esa parte de la base es indefendible: lo más sensato es recontactar y pedir un consentimiento válido antes de que comience la fiscalización plena, el 1 de diciembre de 2026.
¿El interés legítimo me sirve para hacer marketing directo?
Puede aplicar en ciertos casos, pero no es un atajo. Supone una ponderación real entre tu interés comercial y los derechos, expectativas y libertades del titular, y esa ponderación tiene que quedar documentada. Cuanto más invasivo sea el tratamiento y menos lo espere la persona, más difícil es sostenerlo. Para marketing directo, el consentimiento sigue siendo la base más segura, y el titular siempre conserva su derecho de oposición.
Compré una base de datos hace un tiempo. ¿Qué hago con ella?
El punto crítico es que debes poder acreditar el origen lícito de los datos: quién los recolectó, con qué base, qué se le informó a la persona y si esa autorización cubría envíos de tu empresa. Si el proveedor no puede entregarte esa evidencia, no la tienes. En ese escenario la recomendación es no usar esos contactos para marketing, porque el riesgo sancionatorio y reputacional supera cualquier retorno esperable de la campaña.
¿Necesito un contrato con mi plataforma de email o de publicidad?
Sí. Esas plataformas tratan datos personales por cuenta tuya, así que actúan como encargados de tratamiento y tú sigues siendo el responsable ante la Agencia y ante tus clientes. Deja la relación por escrito y cubre finalidades e instrucciones, medidas de seguridad, subencargados, confidencialidad, colaboración ante solicitudes ARSOP y brechas, y el destino de los datos al terminar el servicio. Muchos proveedores internacionales ofrecen un anexo estándar, pero hay que revisarlo y firmarlo, no asumir que aplica solo.