Volver a los 4 casos
Caso 1 · Agencia de marketing

Leads, campañas y remarketing: dónde vive el dato personal

Una agencia trata datos personales todo el día: los leads que capta para sus clientes, las bases de clientes que sus clientes le entregan para segmentar, y los píxeles de seguimiento que alimentan Meta y Google Ads. La ley te trata distinto según el rol que juegas en cada uno de esos flujos.

CRM (HubSpot / Pipedrive) Meta Ads Google Ads Email marketing WhatsApp Business
Mapa de datos

Qué datos maneja tu agencia — y bajo qué base legal

Esta tabla es el punto de partida obligatorio: no puedes definir consentimientos ni contratos sin saber exactamente qué datos pasan por tus sistemas.

Dato personalSensibilidadFinalidadBase legalDónde vive
Nombre, email, teléfono del lead Normal Contacto comercial, envío de campañas Consentimiento o medidas precontractuales CRM de la agencia
Cookies / ID de dispositivo Normal Remarketing, medición de campañas Consentimiento (banner de cookies) Meta Pixel / Google Tag
Base de clientes que el cliente entrega para segmentar Puede ser sensible Audiencias personalizadas (Custom Audiences) Definida por el cliente — la agencia trata como encargado CRM agencia / plataforma de ads
Geolocalización aproximada Normal Anuncios geolocalizados Consentimiento explícito (Art. 16 sexies) Meta / Google Ads
Obligaciones específicas

Lo que la Ley 21.719 exige a una agencia

No es lo mismo tratar tu propia base de contactos que tratar la base de un cliente. Cada tarjeta indica el artículo que la respalda.

Define tu rol con cada cliente

Con la base propia de leads eres responsable. Con la base que un cliente te entrega para segmentar, eres tercero encargado — necesitas un contrato de encargo.

"El tratamiento de datos a través de un tercero mandatario o encargado se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente. En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes."— Ley 21.719, Art. 15 bis

Oposición al marketing directo

El titular puede oponerse en cualquier momento a ser contactado con fines de marketing, incluida la elaboración de perfiles. Debe ser fácil, gratuito y permanente.

"El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos: (...) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles, de conformidad con el artículo 8° bis."— Ley 21.719, Art. 8, letra b)

Transferencias a Meta y Google

Sus servidores están fuera de Chile. Necesitas cláusulas contractuales tipo o verificar que el país de destino tenga protección adecuada.

"(...) autorizan al tratamiento de datos, son lícitas las operaciones de transferencia internacional de datos en cualquiera de los siguientes casos: (...) Cuando la transferencia de datos quede amparada por cláusulas contractuales, normas corporativas vinculantes, u otros instrumentos jurídicos suscritos entre el responsable que efectúa la transferencia y el responsable o tercero mandatario que la reciba, y en ellas se establezcan garantías adecuadas, de conformidad a lo dispuesto en el artículo 28."— Ley 21.719, Art. 27, letra b)

Elaboración de perfiles

Las audiencias personalizadas y los "lookalikes" son perfilamiento. Si generan un efecto significativo sobre la persona, aplican las salvaguardas del art. 8° bis.

"El titular de datos tiene derecho a oponerse y a no ser objeto de decisiones basadas en el tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente (...) el responsable deberá adoptar las medidas necesarias para asegurar (...) el derecho a obtener una explicación, a la intervención humana, a expresar su punto de vista y a solicitar la revisión de la decisión."— Ley 21.719, Art. 8° bis

Transparencia de cara al cliente final

La política de privacidad del cliente debe reflejar que tu agencia (un tercero) también trata sus datos, y para qué.

"El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información: (...) Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento (...) En su caso, la transferencia de datos personales a un tercer país u organización internacional y si éstos ofrecen o no un nivel adecuado de protección."— Ley 21.719, Art. 14 ter, letras d) y h)

Seguridad y segmentación de acceso

Dentro del CRM, un ejecutivo no debería poder ver los leads de un cliente distinto al que atiende. Cifrado y control de acceso por cuenta.

"Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos (...) que en su caso incluya, entre otros: a) La seudonimización y el cifrado de datos personales."— Ley 21.719, Art. 14 quinquies
Diagrama de flujo

El recorrido del dato, con los puntos de control marcados

Desde que una persona completa un formulario hasta que aparece en el reporte del cliente, hay al menos cuatro puntos donde debes aplicar un control técnico.

Usuario / Lead Completa un formulario o hace clic en un anuncio Formulario / Ad Landing page o anuncio en Meta / Google CRM de la agencia Almacena leads y bases de clientes por cuenta Plataformas de Ads Meta y Google — servidores fuera de Chile Reporte al cliente Métricas de campaña y resultados Consentimiento explícito Checkbox sin marcar por defecto, opt-in por canal Cifrado + acceso por cuenta DPA firmado con el cliente (Art. 15 bis) Cláusulas para transferencia intl. SCC aprobadas o país con nivel adecuado Datos agregados y anonimizados El cliente ve métricas, no personas identificadas

Antes de cada envío o carga de audiencia: tu CRM debe filtrar automáticamente contra la lista de personas que ejercieron su derecho de oposición (Art. 8°). Subir una audiencia sin ese filtro es, en la práctica, comunicar datos sin base legal.

Responsabilidades por relación

¿Qué te exige la ley según con quién te relacionas?

No es una sola responsabilidad — es una distinta con cada grupo de personas con las que te relacionas: tu equipo, tus proveedores y tus clientes. Aquí está cada una, explicada simple.

Tu agencia Trabajadores Confidencialidad y acceso segmentado Proveedores Contratos de encargo con Meta, Google, tu CRM Clientes / titulares Transparencia y derecho a oponerse

Con tus trabajadores

Confidencialidad de las bases que manejan

Todo el equipo que ve leads o bases de clientes firma un compromiso de confidencialidad — sigue vigente incluso después de dejar la agencia.

"El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular. (...) El responsable debe adoptar las medidas necesarias con el objeto que sus dependientes o las personas naturales o jurídicas que ejecuten operaciones de tratamiento de datos bajo su responsabilidad, cumplan el deber de secreto o confidencialidad establecidos en este artículo."— Ley 21.719, Art. 14 bis
Acceso restringido por cuenta

Un ejecutivo no debería poder ver los leads de un cliente que no atiende. Cifrado y control de acceso por cuenta.

"a) La seudonimización y el cifrado de datos personales. b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento."— Ley 21.719, Art. 14 quinquies

Con tus proveedores

Contrato de encargo antes de subir una base

Meta, Google y tu CRM tratan datos por tu cuenta — necesitas un contrato que defina el objeto, la duración y la finalidad del encargo.

"El tratamiento de datos a través de un tercero mandatario o encargado se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente. En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes."— Ley 21.719, Art. 15 bis
Devolver o eliminar datos al cambiar de proveedor

Si dejas de trabajar con una herramienta, los datos que quedaron en su poder deben eliminarse o devolverse.

"Cumplida la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda."— Ley 21.719, Art. 15 bis

Con tus clientes (leads)

Que sepan que tu agencia también trata sus datos

La política de privacidad del cliente final debe declarar que un tercero — tu agencia — también trata sus datos, y para qué.

"El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información: (...) Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento (...) En su caso, la transferencia de datos personales a un tercer país u organización internacional y si éstos ofrecen o no un nivel adecuado de protección."— Ley 21.719, Art. 14 ter, letras d) y h)
Derecho a oponerse al marketing directo

Cualquier persona puede pedir que dejes de contactarla con fines comerciales — debe ser fácil, gratuito y permanente.

"El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos: (...) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles, de conformidad con el artículo 8° bis."— Ley 21.719, Art. 8, letra b)
Checklist técnico

Ruta de cumplimiento, paso a paso

En el orden en que normalmente se resuelve: primero lo legal, luego la configuración técnica, después la operación día a día. Marca cada punto a medida que lo implementes.

0/8 pasos completados
1

Fundamentos legales

Antes de tratar el primer dato
  • Consent Management Platform (CMP)Banner de cookies + opt-in granular por canal (email, SMS, WhatsApp), con registro de cuándo y cómo se dio el consentimiento.
    "El consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades. El consentimiento debe manifestarse, además, en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular. (...) El titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento."— Ley 21.719, Art. 12
  • DPA estándar para el onboarding de clientesPlantilla de contrato de encargo lista antes de recibir la primera base de datos de un cliente nuevo.
    "El tratamiento de datos a través de un tercero mandatario o encargado se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente. En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes."— Ley 21.719, Art. 15 bis
  • Cláusulas contractuales tipo con Meta/GoogleSus servidores están fuera de Chile: necesitas un instrumento de transferencia internacional firmado antes de activar el tracking.
    "(...) autorizan al tratamiento de datos, son lícitas las operaciones de transferencia internacional de datos en cualquiera de los siguientes casos: (...) Cuando la transferencia de datos quede amparada por cláusulas contractuales, normas corporativas vinculantes, u otros instrumentos jurídicos suscritos entre el responsable que efectúa la transferencia y el responsable o tercero mandatario que la reciba, y en ellas se establezcan garantías adecuadas, de conformidad a lo dispuesto en el artículo 28."— Ley 21.719, Art. 27, letra b)
  • Política de privacidad que declare a los terceros que tratan los datosDebe reflejar que tu agencia y las plataformas de ads también tratan los datos del cliente final, y para qué.
    "El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información: (...) Las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento (...) En su caso, la transferencia de datos personales a un tercer país u organización internacional y si éstos ofrecen o no un nivel adecuado de protección."— Ley 21.719, Art. 14 ter, letras d) y h)
2

Configuración técnica

Cómo se construye en el stack
  • Acceso al CRM segmentado por cuenta (RBAC)Un ejecutivo solo ve los leads del cliente que le corresponde, con logs de exportación.
    "Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos (...) que en su caso incluya, entre otros: a) La seudonimización y el cifrado de datos personales."— Ley 21.719, Art. 14 quinquies
  • Registro de audiencias personalizadasQué base se subió, a qué plataforma, cuándo y con qué autorización del cliente.
    "Los datos personales podrán ser cedidos con el consentimiento del titular y para el cumplimiento de los fines del tratamiento. (...) La cesión de datos deberá constar por escrito o a través de cualquier medio electrónico idóneo. En ella se deberá individualizar a las partes, los datos que son objeto de la cesión, las finalidades previstas para el tratamiento y los demás antecedentes o estipulaciones que acuerden el cedente y el cesionario."— Ley 21.719, Art. 15
3

Operación y mantención

El trabajo del día a día
  • Lista de supresión (opt-out) centralizadaSe consulta automáticamente antes de cada envío o subida de audiencia a Meta/Google.
    "El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos: (...) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles, de conformidad con el artículo 8° bis."— Ley 21.719, Art. 8, letra b)
  • Retención automática de leads inactivosAnonimizar o eliminar leads sin interacción después de 12 meses, salvo consentimiento vigente.
    "Los datos personales que se traten deben limitarse estrictamente a aquéllos que resulten necesarios, adecuados y pertinentes en relación con los fines del tratamiento. Los datos personales pueden ser conservados sólo por el período de tiempo que sea necesario para cumplir con los fines del tratamiento, luego de lo cual deben ser suprimidos o anonimizados (...)"— Ley 21.719, Art. 3, letra c)
Riesgos de no cumplir

Lo que está en juego

Infracción grave

Ceder datos a plataformas de ads sin base legal o comunicar datos a un fin distinto del autorizado: hasta 10.000 UTM.

Infracción gravísima

Usar datos sensibles de la base de un cliente sin autorización expresa: hasta 20.000 UTM o 2–4% de ingresos anuales.

Riesgo comercial

Si tu agencia incumple, el cliente responde ante sus propios titulares — y es el primer motivo para terminar el contrato.