Un solo formulario de contacto ya es "tratamiento de datos personales" bajo el artículo 1°. No hay excepción por tamaño de empresa — solo se exime el tratamiento estrictamente personal o doméstico. La buena noticia: cumplir aquí no exige infraestructura enterprise, solo unos pocos pasos bien hechos.
Aunque el sitio sea simple, cada campo del formulario tiene su propia finalidad y base legal — y eso es exactamente lo que debes explicar en tu política de privacidad.
| Dato personal | Sensibilidad | Finalidad | Base legal | Dónde vive |
|---|---|---|---|---|
| Nombre y email | Normal | Responder la consulta | Interés legítimo / medida precontractual | Bandeja de correo o CRM simple |
| Teléfono (campo opcional) | Normal | Contactar por WhatsApp o llamada | Consentimiento (campo marcado como opcional) | Mismo destino que el formulario |
| Casilla de newsletter (si existe) | Normal | Enviar novedades por email | Consentimiento explícito, separado del envío del formulario | Herramienta de email marketing |
| Metadata técnica (IP, user-agent) | Normal | Seguridad y prevención de spam | Interés legítimo | Logs del servidor o proveedor del formulario |
Aquí el objetivo es proporcionalidad: cumplir bien, sin construir infraestructura pensada para una empresa cien veces más grande.
El artículo 1° solo exime el tratamiento estrictamente personal o doméstico. Un formulario comercial siempre queda sujeto a la ley.
No pidas RUN, dirección exacta o fecha de nacimiento si no los necesitas para responder la consulta.
Una página simple junto al formulario: quién eres, para qué usas los datos, cuánto los conservas y cómo ejercer derechos.
El checkbox de newsletter debe ser independiente del envío del formulario, y nunca venir premarcado.
HTTPS en todo el sitio y acceso restringido a quien recibe las respuestas del formulario — no una hoja compartida con toda la empresa.
Un email dedicado (ej. privacidad@tuempresa.cl) y el compromiso de responder solicitudes en 30 días.
Es un flujo corto — pero cada eslabón necesita su control, incluso si es manual.
No necesitas un CRM ni un equipo de seguridad dedicado. Una carpeta de correo con acceso restringido, un checkbox bien puesto y una página de privacidad honesta cubren la mayoría de las obligaciones de este caso.
No es una sola responsabilidad — es una distinta con cada grupo de personas con las que te relacionas: tu equipo, tus proveedores y tus clientes. Aquí está cada una, explicada simple.
Quien lea los mensajes que llegan del formulario firma un compromiso de confidencialidad, vigente incluso después de dejar la empresa.
No una hoja compartida con toda la empresa — solo quien necesita responder al contacto.
El hosting o el servicio de email marketing tratan datos por tu cuenta — necesitas un contrato que defina el encargo.
Si dejas de usar una herramienta, los datos que quedaron en su poder deben eliminarse o devolverse.
Quién eres, para qué usas los datos, cuánto los conservas y cómo ejercer derechos.
El checkbox de newsletter debe ser independiente del envío del formulario, y nunca venir premarcado.
En el orden en que normalmente se resuelve: primero lo legal, luego la configuración técnica, después la operación día a día. Marca cada punto a medida que lo implementes.
No tener política de privacidad publicada o responder solicitudes fuera de plazo: hasta 5.000 UTM.
Enviar los datos del formulario a un tercero (ej. lista compartida) sin base legal ni aviso: hasta 10.000 UTM.
Para un negocio pequeño, una denuncia ante la Agencia o en redes sociales pesa más que la multa misma.