Checklist para preparar tu sitio web para la Ley de Protección de Datos

Cristóbal
Checklist para preparar tu sitio web para la Ley de Protección de Datos

Preparar un sitio web para la Ley de Protección de Datos no significa cambiar todo de un día para otro, sino entender qué datos recolectas, qué herramientas los procesan y cómo informas al usuario. En esta guía encontrarás un checklist práctico para revisar formularios, cookies, analítica, publicidad digital, CRM y procesos internos antes de que el cumplimiento se vuelva urgente.

Por qué preparar tu sitio web antes de la Ley de Protección de Datos

La Ley 21.719 marca una nueva etapa para la protección de datos personales en Chile. Para muchas empresas, el primer impacto visible estará en sus canales digitales: sitios web, formularios de contacto, tiendas online, plataformas SaaS, sistemas de analítica, campañas publicitarias y herramientas de automatización comercial.

Esto ocurre porque un sitio web no solo muestra información. También puede recolectar nombres, correos, teléfonos, direcciones IP, historial de navegación, preferencias, comportamiento de compra, datos de formularios, conversiones y eventos asociados a publicidad digital. En algunos casos, incluso puede compartir información con terceros mediante scripts, píxeles o integraciones instaladas hace años.

Por eso, preparar tu sitio no debería entenderse como un trámite legal aislado, sino como una revisión ordenada de cómo tu empresa obtiene, usa, conserva y comunica datos personales. El objetivo no es asustarse ni detener el marketing, sino trabajar con más claridad.

Si necesitas una base conceptual antes de aplicar este checklist, puedes revisar el artículo de CookieSent sobre la nueva Ley de Protección de Datos Personales en Chile y sus efectos en sitios web.

Checklist inicial: identifica qué datos personales recoge tu sitio

El primer paso es saber qué datos recoge realmente tu sitio web. Muchas empresas parten actualizando su política de privacidad, pero lo correcto es comenzar antes: revisar la operación digital completa.

Un dato personal es cualquier información que permite identificar a una persona o hacerla identificable. En un sitio web, esto puede incluir datos evidentes, como nombre, correo y teléfono, pero también información técnica o de comportamiento cuando permite vincular acciones a un usuario, visitante, cliente potencial o comprador.

Para empezar, revisa los siguientes puntos:

  • Formularios de contacto: identifica qué campos solicitas y si todos son necesarios para responder la consulta.
  • Formularios de cotización: revisa si capturas información comercial, presupuestos, rubro, cargo, empresa o necesidades específicas.
  • Ecommerce: verifica datos de compra, despacho, facturación, pasarelas de pago, carritos abandonados y comunicaciones posteriores.
  • SaaS o plataformas privadas: revisa datos de registro, actividad del usuario, logs, integraciones y permisos internos.
  • Newsletter y automatizaciones: identifica si los usuarios son incorporados a listas comerciales, flujos de correo o campañas posteriores.
  • Herramientas externas: registra qué datos se envían a CRM, plataformas de email marketing, analítica, publicidad o atención al cliente.

Una buena práctica es crear una matriz simple con cuatro columnas: dato recolectado, lugar donde se recolecta, finalidad y herramienta donde se almacena. Por ejemplo: “correo electrónico”, “formulario de diagnóstico”, “enviar resultado y hacer seguimiento comercial”, “CRM”. Este ejercicio suele revelar datos que la empresa no sabía que estaba procesando.

Revisa formularios, finalidades y mensajes de consentimiento

Los formularios son uno de los puntos más importantes del checklist. Si tu sitio pide información personal, el usuario debería entender para qué se solicita, qué ocurrirá después del envío y si existirá un contacto comercial posterior.

Un formulario claro no necesita lenguaje jurídico complejo. De hecho, mientras más directo sea, mejor. La pregunta clave es: ¿una persona común entendería qué hará la empresa con sus datos después de completar este campo?

Por ejemplo, no es lo mismo decir “envía tus datos” que explicar: “Usaremos esta información para responder tu solicitud, entregar el diagnóstico solicitado y, si corresponde, hacer seguimiento comercial relacionado con tu consulta”.

En esta revisión conviene observar:

  • Finalidad: cada formulario debe tener un propósito definido. Contacto, cotización, descarga, diagnóstico, soporte o suscripción no son lo mismo.
  • Minimización: pide solo los datos necesarios. Si no necesitas el RUT, cargo o teléfono en la primera interacción, evalúa eliminarlo.
  • Expectativa del usuario: si habrá seguimiento comercial, automatización o envío a CRM, es mejor transparentarlo.
  • Casillas de aceptación: evita textos genéricos. Deben ser comprensibles y estar alineados con la acción que realizará el usuario.
  • Acceso a la política de privacidad: el formulario debería enlazar a una política actualizada y fácil de encontrar.

En empresas B2B, agencias y SaaS, este punto suele ser especialmente relevante porque un mismo lead puede pasar desde el sitio web a un CRM, luego a una secuencia de correos, después a una reunión comercial y finalmente a una base de clientes. Ese recorrido debe estar identificado.

Audita cookies, analítica, píxeles y herramientas de terceros

Las cookies y tecnologías similares son una parte central de la preparación digital. No todas cumplen la misma función ni tienen el mismo nivel de impacto en la privacidad. Algunas permiten que el sitio funcione correctamente, como mantener una sesión activa o recordar un carrito. Otras ayudan a medir visitas, analizar comportamiento, personalizar contenido, hacer remarketing o atribuir conversiones publicitarias.

El problema aparece cuando la empresa no sabe qué scripts están activos o qué información envían a terceros. Esto es común en sitios que han usado Google Analytics, Google Tag Manager, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel, Hotjar, herramientas de chat, plugins de ecommerce o plataformas de automatización durante varios años.

Para ordenar este punto, revisa:

  • Cookies necesarias: aquellas vinculadas al funcionamiento básico del sitio, como sesión, seguridad o carrito de compra.
  • Cookies de analítica: herramientas que permiten medir visitas, eventos, conversiones, fuentes de tráfico o comportamiento del usuario.
  • Cookies de marketing: tecnologías usadas para publicidad, remarketing, audiencias, atribución o seguimiento entre sitios.
  • Cookies funcionales: preferencias de idioma, personalización, herramientas de soporte o mejoras de experiencia.
  • Scripts instalados por terceros: etiquetas que pueden cargar cookies aunque el equipo interno no lo tenga presente.

Si usas Google Analytics 4, Meta Pixel o campañas de Google Ads, revisa si esas herramientas se activan antes o después de que el usuario tome una decisión sobre sus preferencias. También revisa si el banner actual solo informa, o si realmente permite aceptar, rechazar y gestionar categorías de cookies.

CookieSent fue diseñado para ayudar a empresas chilenas a ordenar esta parte del proceso: detectar cookies y rastreadores, categorizar tecnologías, mostrar un banner configurable y registrar preferencias de consentimiento. Si quieres profundizar en este punto, puedes leer la guía de CookieSent sobre cuándo un sitio web necesita un banner de cookies en Chile.

Actualiza tu política de privacidad y tus procesos internos

Una política de privacidad no debería ser un texto copiado desde otro sitio. Debe reflejar lo que tu empresa hace realmente con los datos. Si el sitio usa formularios, CRM, analítica, publicidad digital, herramientas de email marketing o integraciones externas, la política debe ser coherente con esa operación.

Una política útil debería explicar, al menos, qué datos se recolectan, con qué finalidades, qué herramientas o proveedores participan, por cuánto tiempo se podrían conservar, qué derechos tienen las personas y cómo pueden ejercerlos. También debería mencionar si existen comunicaciones comerciales, automatizaciones o transferencia de datos a plataformas externas.

Pero la preparación no termina en la política. También debes revisar procesos internos. Por ejemplo: ¿quién recibe los formularios?, ¿quién puede acceder al CRM?, ¿cómo se eliminan datos antiguos?, ¿qué pasa si una persona solicita modificar o eliminar su información?, ¿existen usuarios antiguos con acceso a plataformas críticas?

Un checklist interno básico debería incluir:

  • Accesos: revisar usuarios activos en CMS, hosting, CRM, herramientas de marketing, plataformas de pago y analítica.
  • Seguridad: activar doble factor de autenticación cuando sea posible y eliminar cuentas que ya no correspondan.
  • Conservación: definir criterios para mantener o eliminar datos que ya no son necesarios.
  • Proveedores: identificar qué terceros procesan datos por cuenta de la empresa.
  • Solicitudes de titulares: definir un canal claro para responder solicitudes relacionadas con datos personales.

Si todavía estás comparando los cambios entre el marco anterior y la nueva regulación, puede ayudarte el artículo de CookieSent sobre las diferencias entre la Ley 19.628 y la Ley 21.719.

Cómo priorizar los próximos pasos sin paralizar tu marketing

Uno de los errores más comunes es pensar que la preparación debe resolverse en una sola acción. En la práctica, conviene avanzar por etapas. Así evitas paralizar campañas, romper mediciones importantes o aplicar cambios sin entender su impacto.

Una forma simple de priorizar es comenzar por los puntos más visibles y frecuentes: formularios, cookies, política de privacidad y herramientas de terceros. Luego puedes pasar a procesos internos, documentación, proveedores y flujos más complejos.

Este orden puede servir como hoja de ruta:

  1. Revisa todos los formularios del sitio: confirma qué datos pides y para qué los usas.
  2. Audita cookies y scripts: identifica qué tecnologías se cargan al visitar el sitio.
  3. Clasifica herramientas: separa lo necesario, analítico, funcional y publicitario.
  4. Actualiza textos visibles: mejora mensajes de formularios, banner y política de privacidad.
  5. Implementa gestión de consentimiento: permite que el usuario acepte, rechace o configure preferencias.
  6. Registra decisiones: guarda evidencia de las preferencias entregadas por los usuarios.
  7. Revisa proveedores: identifica CRM, email marketing, hosting, analítica, publicidad y automatización.
  8. Ordena accesos internos: elimina cuentas innecesarias y limita permisos según función.

Este enfoque permite que marketing, desarrollo, administración y dirección trabajen con una misma visión. No se trata de abandonar la medición ni la publicidad, sino de hacerlas más transparentes y sostenibles.

Si tu equipo necesita partir por una revisión concreta, puedes contactar a CookieSent para evaluar la gestión de consentimiento de cookies de tu sitio y detectar oportunidades de mejora sin convertir el proceso en un proyecto difícil de ejecutar.

Preguntas frecuentes sobre sitios web, cookies y datos personales

¿Todo sitio web debe prepararse para la Ley de Protección de Datos?

Si tu sitio recolecta datos mediante formularios, compras, registros, cookies, analítica, publicidad digital o herramientas de terceros, debería revisar sus prácticas. Incluso un sitio corporativo simple puede capturar datos personales si incluye formularios de contacto, integraciones de medición o píxeles publicitarios.

¿Las cookies siempre son datos personales?

No necesariamente. Algunas cookies son técnicas y permiten que el sitio funcione. Sin embargo, cuando una cookie o tecnología similar permite identificar, perfilar, recordar o seguir el comportamiento de un usuario, puede tener relevancia desde la perspectiva de privacidad y protección de datos.

¿Un banner de cookies reemplaza una política de privacidad?

No. El banner ayuda a informar y gestionar preferencias sobre cookies y tecnologías de seguimiento, pero la política de privacidad debe explicar de manera más amplia cómo la empresa trata datos personales. Ambos elementos deberían estar alineados.

¿Qué pasa si uso Google Analytics 4, Meta Pixel o herramientas de remarketing?

Debes revisar cómo se activan esas herramientas, qué datos recopilan, si instalan cookies o tecnologías similares y si el usuario tiene una forma clara de aceptar, rechazar o configurar sus preferencias cuando corresponda.

¿CookieSent es solo para ecommerce?

No. Una herramienta de consentimiento puede ser útil para ecommerce, SaaS, sitios corporativos, agencias, medios, landing pages y empresas que usan analítica, publicidad digital o formularios de generación de leads. Puedes conocer más sobre la solución en la plataforma de gestión de consentimiento CookieSent.

Conclusión

Preparar tu sitio web para la Ley de Protección de Datos es, sobre todo, un ejercicio de orden. Necesitas saber qué datos recolectas, por qué los recolectas, qué herramientas intervienen, cómo informas al usuario y qué opciones reales le entregas para gestionar sus preferencias.

La buena noticia es que no tienes que resolverlo todo de una vez. Puedes comenzar por lo más concreto: revisar formularios, auditar cookies, ordenar scripts de analítica y publicidad, actualizar tu política de privacidad y establecer una gestión de consentimiento más clara.

Para empresas, agencias, ecommerce y SaaS en Chile, este proceso también puede convertirse en una ventaja de confianza. Un sitio que explica mejor cómo usa los datos reduce fricciones, mejora la experiencia del usuario y demuestra mayor madurez digital.

Si quieres partir por una revisión práctica, CookieSent puede ayudarte a identificar cookies y rastreadores, categorizar tecnologías, implementar un banner de consentimiento y registrar preferencias de manera más ordenada. Para dar el primer paso, puedes contactar a CookieSent y revisar el estado actual de tu sitio web.

Cristóbal