Ley 19.628 y Ley 21.719: diferencias que toda empresa debería conocer

Cristóbal
Ley 19.628 y Ley 21.719: diferencias que toda empresa debería conocer

La Ley 19.628 y la Ley 21.719 marcarán dos etapas distintas en la protección de datos personales en Chile. Para las empresas con presencia digital, entender sus diferencias no es solo un tema legal: también impacta en formularios, cookies, analítica, publicidad, CRM y herramientas de terceros. En este artículo revisamos los cambios más relevantes en lenguaje claro, con ejemplos aplicados a sitios web y acciones concretas para prepararse con tiempo.

Qué cambia entre la Ley 19.628 y la Ley 21.719

La Ley 19.628 ha sido durante años la norma principal sobre protección de la vida privada y tratamiento de datos personales en Chile. En términos simples, estableció una primera base para regular el uso de información vinculada a personas naturales, como nombres, correos, teléfonos, direcciones, datos comerciales o antecedentes contenidos en bases de datos.

Sin embargo, el entorno digital cambió mucho desde la publicación original de esa ley. Hoy una empresa puede captar datos desde formularios web, enviar información a un CRM, medir conversiones con Google Analytics, activar audiencias de remarketing, usar píxeles publicitarios, instalar chats, conectar plataformas de email marketing y administrar campañas en múltiples canales. Todo eso puede ocurrir en segundos y, muchas veces, con participación de proveedores externos.

La Ley 21.719 viene a modernizar ese marco. No debe entenderse como una norma completamente desconectada de la Ley 19.628, sino como una reforma profunda que actualiza sus conceptos, fortalece derechos, incorpora principios más claros, crea una autoridad especializada y establece obligaciones más exigentes para quienes tratan datos personales.

Para una empresa, la diferencia práctica es importante: ya no basta con tener una política de privacidad genérica o un aviso de cookies que solo informa. El nuevo escenario exige entender qué datos se recopilan, para qué se usan, qué base permite tratarlos, con quién se comparten, cómo se protegen y qué opciones tiene la persona para ejercer control sobre ellos.

Diferencias clave que una empresa debería entender

La primera diferencia está en el enfoque. La Ley 19.628 funcionó como una norma base para ordenar el tratamiento de datos personales, pero la Ley 21.719 avanza hacia un sistema más completo de protección de datos. Esto significa que el cumplimiento deja de ser solo documental y pasa a involucrar procesos, tecnología, evidencia y responsabilidad interna.

La segunda diferencia está en los derechos de las personas. La nueva ley fortalece derechos como acceso, rectificación, supresión, oposición, portabilidad y bloqueo. En la práctica, una persona podría solicitar saber qué datos tiene una empresa sobre ella, pedir que se corrijan, que se eliminen en ciertos casos o que no se usen para determinadas finalidades.

La tercera diferencia es la creación de la Agencia de Protección de Datos Personales. Este cambio es relevante porque Chile contará con una autoridad especializada para fiscalizar, resolver reclamos, promover buenas prácticas y aplicar sanciones. Sin caer en alarmismo, esto hace que las empresas deban tomarse más en serio la trazabilidad de sus decisiones y la forma en que gestionan información personal.

La cuarta diferencia está en el consentimiento. La Ley 21.719 refuerza que el consentimiento debe ser libre, informado, específico e inequívoco. Para el mundo digital, esto tiene una consecuencia directa: no es recomendable asumir que una persona acepta todo solo porque sigue navegando, ni presentar opciones diseñadas para confundir o presionar.

La quinta diferencia está en la responsabilidad demostrable. Una empresa debería poder explicar y respaldar sus decisiones sobre datos personales. Por ejemplo: por qué pide ciertos datos en un formulario, por qué instala determinadas cookies, por qué comparte información con una plataforma externa o por qué conserva una base de contactos durante cierto tiempo.

Qué significa esto para sitios web, cookies y formularios

Un sitio web moderno no es solo una vitrina digital. También puede ser un punto de recolección, medición y activación de datos. Por eso, las diferencias entre la Ley 19.628 y la Ley 21.719 se vuelven especialmente relevantes para ecommerce, SaaS, agencias, equipos de marketing y empresas que dependen de leads online.

Un formulario de contacto, por ejemplo, no debería pedir datos innecesarios. Si el objetivo es responder una consulta, puede bastar con nombre, correo y mensaje. Si se solicita teléfono, RUT, empresa, cargo o presupuesto estimado, conviene tener claro por qué esos datos son necesarios y cómo se informará su uso.

Lo mismo ocurre con formularios de cotización, solicitudes de demo, descargas de recursos, suscripciones a newsletter o registros de usuario. Cada uno puede tener finalidades distintas. Una cosa es responder una solicitud puntual y otra diferente es agregar a la persona a una base de comunicaciones comerciales. Esa diferencia debería quedar clara para el usuario.

En el caso de las cookies, el punto crítico está en distinguir entre cookies necesarias y cookies no esenciales. Las necesarias permiten funciones básicas, como mantener una sesión, recordar un carrito de compra o proteger el sitio. Las no esenciales pueden estar asociadas a analítica, personalización, publicidad, remarketing o herramientas de terceros.

Cuando un sitio usa cookies no esenciales, píxeles publicitarios o tecnologías de seguimiento, la gestión del consentimiento se vuelve mucho más importante. No se trata solo de mostrar un banner visible, sino de ofrecer opciones comprensibles y respetar la decisión del usuario antes de activar tecnologías que no son indispensables para la navegación.

Si quieres profundizar en el impacto de la nueva normativa sobre sitios web, puedes revisar el artículo de CookieSent sobre qué cambia para los sitios web con la nueva Ley de Protección de Datos Personales en Chile.

Consentimiento, analítica y publicidad digital: dónde poner atención

Para muchas empresas, el área más sensible estará en la combinación de analítica web, publicidad digital y herramientas de terceros. Google Analytics, Google Ads, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel, Hotjar, Microsoft Clarity, chatbots, plataformas de email marketing y sistemas CRM pueden aportar mucho valor comercial, pero también deben revisarse desde la perspectiva de privacidad.

El problema no es usar herramientas digitales. El problema es usarlas sin claridad, sin informar adecuadamente al usuario o sin controlar cuándo se activan. Por ejemplo, si un sitio carga píxeles de remarketing apenas se abre la página, antes de que la persona pueda aceptar o rechazar cookies de marketing, existe una brecha evidente entre la experiencia del usuario y una gestión responsable del consentimiento.

Una buena práctica es ordenar las tecnologías por categorías:

  • Cookies necesarias: funciones básicas del sitio, seguridad, sesión o carrito de compra.
  • Cookies funcionales: preferencias de navegación, idioma o ajustes de experiencia.
  • Cookies de analítica: medición de visitas, eventos, conversiones y comportamiento agregado.
  • Cookies de marketing: publicidad personalizada, remarketing, audiencias y seguimiento entre plataformas.

Esta clasificación ayuda a presentar opciones más claras. El usuario no debería enfrentarse a un mensaje genérico que diga “usamos cookies” sin más contexto. Debería poder entender qué tipo de cookies existen, para qué sirven y qué ocurre si acepta o rechaza ciertas categorías.

También es importante mirar el flujo posterior. Un lead que entra por una landing puede terminar en un CRM, en una planilla, en una automatización de email, en una audiencia publicitaria o en una base comercial compartida con un equipo de ventas. La Ley 21.719 empuja a las empresas a mirar ese recorrido completo, no solo el primer punto de captura.

En este escenario, una plataforma de consentimiento como CookieSent puede ayudar a ordenar la experiencia desde el sitio web, permitiendo trabajar con categorías de cookies, preferencias del usuario y una implementación más clara para equipos de marketing, ecommerce, SaaS y agencias.

Cómo preparar tu empresa antes de la entrada en vigencia

La Ley 21.719 tiene una entrada en vigencia programada para el 1 de diciembre de 2026. Ese plazo no debería verse como una razón para postergar, sino como una oportunidad para preparar el sitio y los procesos digitales con tiempo. Mientras antes se haga el diagnóstico, más fácil será priorizar cambios sin afectar campañas, ventas ni operación.

Un primer paso práctico es levantar qué datos personales recopila la empresa. Esto incluye datos de clientes, prospectos, usuarios, proveedores, postulantes y trabajadores, pero en el contexto web conviene partir por lo más visible: formularios, cookies, scripts, píxeles, integraciones y bases de contacto.

Luego, es recomendable revisar las finalidades. No basta con saber que se pide un correo electrónico; hay que entender si se usará para responder una consulta, enviar una cotización, crear una cuenta, activar una campaña de remarketing o sumar a la persona a un newsletter. Cada finalidad debería estar informada de forma clara.

También conviene revisar los textos del sitio. La política de privacidad, la política de cookies, los mensajes junto a formularios y el banner de consentimiento deberían hablar el mismo idioma. Si el banner dice una cosa, la política otra y el formulario no explica nada, la experiencia puede generar desconfianza.

Una checklist inicial puede incluir:

  • Identificar todos los formularios activos del sitio.
  • Revisar qué campos son realmente necesarios.
  • Detectar cookies y tecnologías de seguimiento.
  • Clasificar cookies por finalidad.
  • Revisar scripts instalados directamente o mediante gestores de etiquetas.
  • Actualizar textos de privacidad y cookies.
  • Implementar opciones para aceptar, rechazar o configurar preferencias.
  • Guardar evidencia del consentimiento cuando corresponda.
  • Definir un canal para solicitudes relacionadas con datos personales.

Si tu empresa no tiene claridad sobre qué cookies o rastreadores está usando, puedes contactar a CookieSent para revisar tu sitio web y comenzar con una mirada práctica sobre consentimiento, cookies y herramientas de terceros.

Preguntas frecuentes sobre la Ley 19.628 y la Ley 21.719

¿La Ley 21.719 reemplaza a la Ley 19.628?

Más que reemplazarla como una norma aislada, la Ley 21.719 modifica profundamente la Ley 19.628 y moderniza el marco chileno de protección de datos personales. Por eso se habla de un cambio estructural en la forma en que empresas y organismos deben tratar información personal.

¿Desde cuándo empieza a regir la Ley 21.719?

La entrada en vigencia general está prevista para el 1 de diciembre de 2026. Esto entrega un periodo de adaptación, pero las empresas que dependen de canales digitales deberían comenzar antes, especialmente si usan formularios, CRM, analítica, publicidad o cookies no esenciales.

¿Las cookies siempre son datos personales?

No todas las cookies son iguales. Algunas pueden ser estrictamente técnicas, mientras que otras pueden permitir identificar, segmentar, rastrear o perfilar usuarios directa o indirectamente. Por eso es importante revisar su finalidad, duración, proveedor y relación con otras tecnologías instaladas en el sitio.

¿Mi sitio web necesita un banner de cookies?

Depende de las tecnologías que utilice. Si el sitio solo usa cookies necesarias, el enfoque puede ser distinto. Pero si usa cookies de analítica, marketing, remarketing, píxeles publicitarios o herramientas de terceros que no son esenciales para la navegación, es recomendable contar con un mecanismo claro de información y consentimiento.

¿Basta con copiar una política de privacidad genérica?

No. Una política genérica rara vez refleja el funcionamiento real de un sitio web. Lo correcto es que los textos legales y de consentimiento estén conectados con las herramientas efectivamente instaladas, los datos que se recopilan y las finalidades reales del tratamiento.

Para seguir aprendiendo sobre privacidad digital y consentimiento en Chile, puedes visitar el blog de CookieSent, donde publicamos contenidos orientados a empresas, equipos de marketing, ecommerce, SaaS y responsables de sitios web.

Conclusión

La diferencia entre la Ley 19.628 y la Ley 21.719 no está solo en nuevos artículos o conceptos legales. El cambio más importante es cultural y operativo: las empresas deberán mirar los datos personales con más responsabilidad, especialmente cuando su sitio web recopila información, mide comportamiento, activa campañas o conecta múltiples herramientas digitales.

Para dueños de empresas, ecommerce, SaaS, agencias y equipos de marketing, esto significa revisar formularios, cookies, analítica, píxeles, CRM y proveedores externos. No se trata de dejar de vender, medir o hacer publicidad, sino de hacerlo con mayor transparencia, control y coherencia frente a los usuarios.

Prepararse con tiempo permite ordenar el sitio sin improvisar, mejorar la confianza y reducir riesgos cuando la nueva normativa entre en vigencia. CookieSent puede ser una pieza práctica dentro de ese proceso, especialmente si necesitas gestionar consentimiento por categorías, revisar cookies y ofrecer una experiencia clara para tus usuarios. Si quieres evaluar el estado actual de tu sitio, puedes hablar con el equipo de CookieSent y comenzar con una revisión orientada a acciones concretas.

Cristóbal