El 59% de las empresas en Chile cree que tiene tiempo suficiente para cumplir la Ley 21.719 de protección de datos. Ese optimismo podría ser el error más caro del año.
Según una encuesta de PwC Chile aplicada a 87 gerentes y directivos en 2025, solo el 13% de las organizaciones se considera muy preparada para la nueva ley de protección de datos. El 33% reconoce estar poco preparada. Y aun así, la mayoría siente que el plazo alcanza.
El problema no es la ley en sí. Es que la mayoría de las empresas cree que cumplir es actualizar una política de privacidad. Y no lo es. La Ley 21.719 toca el corazón de cómo generas leads, usas tu CRM, haces email marketing y trabajas con proveedores tecnológicos. Si tienes HubSpot, Salesforce o Google Workspace, ya estás dentro del radar.
Por qué esta ley te impacta más de lo que crees
La Ley 21.719 reemplaza la Ley 19.628 de 1999 — una norma diseñada cuando Windows 98 era tecnología de punta. Durante 25 años, las empresas chilenas operaron sin autoridad regulatoria independiente, sin estándares claros para contratos y sin derechos modernos como la portabilidad de datos.
Todo eso cambia el 1 de diciembre de 2026. La Agencia de Protección de Datos Personales (APDP) entra en operación con facultad para fiscalizar y sancionar. Y las multas no son simbólicas: hasta 20.000 UTM, equivalente a aproximadamente USD $1,5 millones por infracción (revisa al final las preguntas frecuentes para mayor detalle).
El dato que nadie en B2B está calculando
Guardar datos de tus clientes o prospectos en HubSpot, Salesforce o Google Workspace equivale a una transferencia internacional de datos personales. Eso debe estar documentado y cumplido. Sin un contrato de procesamiento de datos (DPA) con tu proveedor tecnológico, estás ante una infracción grave desde el primer día de vigencia.
Y no es solo el CRM. Cada herramienta de automatización, analítica web o email marketing que usas y que tiene sus servidores fuera de Chile entra en esta categoría.
Qué exige la ley concretamente en marketing y generación de leads
Aquí está el núcleo del cambio para cualquier empresa que genere leads de forma activa:
Fin del consentimiento tácito
Bajo la ley anterior, usar los datos de alguien era válido si "no se había opuesto". Eso se acabó. La nueva ley exige consentimiento libre, específico, informado e inequívoco para cada finalidad. Un checkbox pre-marcado, una cláusula en los términos y condiciones o un texto que dice "al enviar este formulario aceptas..." ya no son válidos.
Lo que necesitas en tus formularios:
- Una casilla desmarcada y obligatoria para el tratamiento de datos básico ("Acepto que [Empresa] almacene y trate mis datos para responder mi consulta").
- Una segunda casilla desmarcada y opcional para comunicaciones de marketing ("Quiero recibir contenido y novedades relevantes para mi industria").
- Ambas separadas. Nunca agrupadas.
El principio de finalidad: no puedes reutilizar datos sin avisar
Si alguien te dejó su correo para descargar un ebook, no puedes usarlo para invitarlo a un evento o para prospectar otro servicio. Cada uso debe estar declarado al momento de la recolección. Si necesitas un uso diferente, debes pedir un nuevo consentimiento.
Esto impacta directamente las campañas de nurturing, las secuencias de email y cualquier automatización que reutilice datos capturados para un fin distinto al original.
Derechos ARCO+: 30 días para responder
Cualquier persona que te haya dado sus datos puede pedirte acceso, rectificación, eliminación, oposición, portabilidad o bloqueo temporal. Tienes 30 días corridos para responder cada solicitud. Sin proceso definido, cuando llegue la primera solicitud vas a estar improvisando.
Los errores más comunes que ya estamos viendo
Después de trabajar en procesos de adecuación con distintas empresas, estos son los patrones que se repiten:
- Confundir "actualizar la política de privacidad" con cumplir la ley. La política es solo uno de los elementos. Sin los formularios correctos, sin el proceso ARCO y sin los contratos DPA con proveedores, la política es solo papel.
- No tener DPA firmado con sus herramientas SaaS. La mayoría de los grandes proveedores (HubSpot, Google, Microsoft) tiene DPA disponible. El problema es que nadie lo ha activado ni documentado.
- Bases de datos sin base legal definida. ¿Con qué base legal tienes a cada contacto en tu CRM? ¿Consentimiento? ¿Interés legítimo? ¿Contrato? Si no sabes responder eso por segmento, tienes un problema.
- Esperar a que llegue el plazo para negociar contratos. Revisar y actualizar contratos con proveedores en una empresa mediana toma entre 3 y 6 meses. Quien llegue a octubre a pedirlo va a negociar en desventaja.
Checklist: lo mínimo que debes tener listo antes del 1 de diciembre
- Política de privacidad actualizada a Ley 21.719 (con bases legales declaradas, derechos ARCO+ completos y mención de transferencias internacionales).
- Formularios con doble consentimiento explícito: uno para tratamiento básico (obligatorio) y uno para marketing (opcional).
- DPA firmado o activado con cada proveedor tecnológico que procese datos de tus contactos (CRM, email marketing, analítica, cloud).
- Proceso ARCO definido: quién responde, cómo se ejecuta en el sistema y dónde queda registrado. Plazo máximo de respuesta: 30 días corridos.
- Base legal definida para cada segmento de tu CRM: consentimiento, interés legítimo o contrato.
- Registro de Actividades de Tratamiento (RAT): inventario de qué datos tienes, para qué, con quién los compartes y por cuánto tiempo.
- Banner de cookies activo en tu sitio web con opción de rechazar cookies no esenciales.
El cumplimiento que nadie ve te protege de los problemas que todos temen
La Ley 21.719 no es solo una obligación legal. Para las empresas B2B que venden a otras empresas, donde la confianza es el activo más frágil, demostrar que manejas datos con responsabilidad es también una ventaja competitiva en licitaciones, contratos y relaciones comerciales.
El problema no es si vas a cumplir. El problema es cuánto tiempo crees que tienes. Actualizar contratos, rediseñar formularios, mapear bases de datos y documentar procesos no se hace en una semana. Y la Agencia no va a preguntar si tuviste tiempo — va a preguntar si tienes evidencia.
Quien llega documentado llega tranquilo. El resto improvisa bajo presión.
¿Necesitas ayuda para llegar listo a diciembre?
En Bleads acompañamos a empresas B2B e industriales a revisar su situación actual, identificar brechas y implementar los cambios necesarios antes de que la Agencia empiece a fiscalizar.
Agenda una reunión →
Fuentes:
Ley N° 21.719 — Biblioteca del Congreso Nacional de Chile · Encuesta de Protección de Datos Personales 2025 — PwC Chile · Ley 21.719: guía para empresas 2026 — Yourdevs · Nueva Ley de Protección de Datos: guía para contratos — Cheers Contracts
