🇨🇱 LEY 21.719 · MARKETING · PROSPECCIÓN · DICIEMBRE 2026

Guía Práctica Ley 21.719: Meta Ads, Cold Outreach y los 7 PCC que pueden arruinar tu campaña

No es otro artículo sobre "la ley de datos". Es una guía de campo para marketers, growth managers y comerciales que necesitan seguir haciendo campañas — pero sin exponerse a multas de hasta $1.400M. Los 7 Puntos Críticos de Control explicados con casos reales.

📅 1 Julio, 2026 ⏱️ 16 min de lectura 🏷️ Ley 21.719 · Meta Ads · Cold Outreach · Marketing · Compliance
Ley 21.719 Marketing Prospección PCC - Guía Práctica Wagner Solutions AI

De la teoría a la trinchera: esto es lo que cambia para tu operación diaria

El blog de ayer analizó el problema estructural: la Ley 21.719 exige un DPO que no existe en el mercado chileno, y propuso un AI Agent como solución escalable (Leer: DPO con AI Agent). Hoy vamos un paso más allá. Mucho más allá.

Porque la ley no solo exige un DPO. Exige que CADA tratamiento de datos personales tenga una base legal válida, esté documentado, sea auditable y respete los derechos del titular. Y eso afecta directamente a tres áreas que en este momento están operando sin supervisión legal en el 90% de las empresas chilenas:

Si tu empresa hace alguna de estas tres cosas —y casi todas lo hacen—, necesitas este artículo.

⚠️ La advertencia que nadie te está dando

La Agencia de Protección de Datos Personales (APDP) tendrá facultades para suspender campañas completas, ordenar la eliminación de bases de datos, y publicar sanciones en un registro público. Una multa gravísima puede ser de hasta 20.000 UTM (~$1.400M CLP) o el 4% de tus ingresos anuales, más la responsabilidad civil por daños. Y el plazo para adecuar todo esto es el 1 de diciembre de 2026.

🔴 PCC #1: Consentimiento en formularios de captura — tu primer filtro

El Punto Crítico de Control #1 es también el más fácil de resolver, pero el que más se hace mal. Cada vez que alguien llena un formulario en tu web, estás tratando datos personales. Y la Ley 21.719 exige que ese tratamiento tenga una base de licitud clara.

Para marketing, la base más común es el consentimiento. Pero no vale cualquier consentimiento. La ley exige que sea:

📋 Caso real: El error del 80% de las landing pages chilenas

Escenario: Una empresa de software B2B tiene una landing page con un formulario para agendar una demo. El formulario pide: nombre, email, teléfono, cargo y empresa. Abajo, una casilla pre-marcada dice: "Acepto recibir comunicaciones comerciales".

El problema: Esa casilla pre-marcada invalida el consentimiento. La APDP podría considerar que el tratamiento de datos para la demo no tiene base legal clara si no se separa la finalidad "agendar demo" (ejecución contractual) de "recibir comunicaciones" (consentimiento).

La solución: Dos casillas separadas, ninguna pre-marcada: (1) "Acepto que mis datos sean usados para contactarme respecto a la demo" (base: ejecución de contrato), (2) "Acepto recibir comunicaciones comerciales sobre productos y servicios" (base: consentimiento explícito).

Cómo arreglarlo HOY (no en noviembre)

🔴 PCC #2: Meta Ads y públicos personalizados — el talón de Aquiles del marketing digital

Este es, probablemente, el punto más riesgoso para cualquier empresa que invierta en Meta Ads. Y también el que menos se está abordando.

Cuando subes una base de datos de clientes a Meta para crear un público personalizado (Custom Audience) o un lookalike, estás haciendo una transferencia de datos personales a un tercero (Meta Platforms Inc., con sede en EE.UU.). La Ley 21.719 regula estrictamente las transferencias internacionales de datos.

¿Qué base legal tienes para subir datos a Meta?

Aquí viene el problema: la mayoría de las empresas chilenas sube listas de clientes a Meta sin ninguna base legal documentada. Simplemente lo hacen porque "siempre se ha hecho así". Con la Ley 21.719, eso se acaba.

EscenarioBase legal necesaria¿Es válida?
Subir lista de clientes actuales para hacer retargetingConsentimiento informado + transferencia internacional🚫 Solo si obtuviste consentimiento explícito para esta finalidad
Subir lista de leads de formularios a MetaConsentimiento explícito para transferencia a Meta🚫 Solo si el formulario informaba que los datos irían a Meta
Usar el píxel de Meta en tu webConsentimiento previo a la activación del píxel✅ Con consentimiento granular (cookies de marketing separadas)
Lookalike a partir de clientes existentesConsentimiento + anonimización previa⚠️ El lookalike en sí no usa datos personales, pero la lista original sí requiere consentimiento
Segmentación por intereses en Meta (sin subir datos propios)No aplica (usas datos de Meta, no datos propios)✅ Bajo responsabilidad de Meta como responsable del tratamiento

🚨 El riesgo real con Meta Ads

En la UE, el caso Meta Platforms Inc. vs. Bundeskartellamt (2023) ya estableció que Meta no puede combinar datos de sus plataformas con datos de terceros sin consentimiento explícito. En Chile, la Ley 21.719 sigue la misma línea. Si la APDP determina que subiste datos de clientes a Meta sin la base legal adecuada, la sanción puede ser gravísima (20.000 UTM) porque involucra una transferencia internacional de datos sin garantías.

Checklist para Meta Ads bajo Ley 21.719

🔴 PCC #3: Cold Outreach y prospección en frío — ¿se puede seguir haciendo?

Esta es la pregunta del millón para equipos comerciales. ¿Puedo seguir enviando emails en frío a prospectos? ¿Y los mensajes de LinkedIn? ¿Y las llamadas?

La respuesta corta: sí, pero con condiciones muy específicas.

La clave: Interés legítimo (con matices)

La Ley 21.719 reconoce el interés legítimo como una base legal para el tratamiento de datos (Art. 13, letra d). Esto significa que no siempre necesitas consentimiento previo para contactar a un prospecto — siempre que puedas demostrar que tu interés legítimo (ofrecer un producto o servicio relevante) no vulnera los derechos y libertades del titular.

Pero ojo: el interés legítimo no es un comodín. La ley exige que hagas una evaluación de equilibrio (balancing test) documentada. Y en la práctica, hay reglas claras:

Tipo de contactoBase legal aplicable¿Es viable?
Email en frío B2B a persona jurídica (info@empresa.cl, contacto@empresa.cl)Interés legítimo✅ Sí, si el producto/servicio es relevante para la empresa y respetas el derecho de oposición
Email en frío B2B a persona natural (nombre@empresa.cl)Interés legítimo (con balancing test)⚠️ Sí, pero necesitas documentar el balancing test y ofrecer baja inmediata
Email en frío B2C (personas naturales)Solo consentimiento🚫 No sin consentimiento previo. El interés legítimo rara vez aplica para B2C
LinkedIn InMail / mensaje directoInterés legítimo (plataforma)✅ LinkedIn es una red profesional. El interés legítimo aplica si el mensaje es profesional y respetas los términos de la plataforma
Email a base comprada/alquiladaSolo consentimiento🚫 No. Las bases compradas no tienen consentimiento válido. Es una infracción gravísima
Email a base de eventos/webinars anterioresConsentimiento (si lo obtuviste en el evento)⚠️ Solo si en el evento informaste que los datos se usarían para contacto comercial posterior

💡 Buenas prácticas para cold outreach post-Ley 21.719

1. Documenta tu balancing test — Un documento interno que explique: qué interés legítimo persigues, por qué no vulnera derechos del titular, qué medidas de mitigación implementaste.

2. Ofrece baja en TODOS los correos — No es opcional. Cada comunicación debe tener un link de unsubscribe visible, funcional e inmediato.

3. Segmenta por origen — No trates igual a un lead de formulario (consentimiento), un prospecto de LinkedIn (interés legítimo) y un contacto de base comprada (no usar).

4. Respeta el derecho de oposición — Si alguien dice "no me contactes más", debes bloquearlo de por vida en tus sistemas. Incluir en lista de supresión no es opcional.

5. Limita el alcance del interés legítimo — Aplica principalmente para B2B con productos/servicios claramente relevantes. No lo uses como excusa para spam masivo B2C.

🔴 PCC #4: Transferencia de datos a terceros (y por qué tu CRM es un riesgo)

Que tus datos estén dispersos en múltiples plataformas no es un accidente: es la norma. Usas HubSpot, Salesforce, Mailchimp, Meta, Google Ads, n8n, Apollo.io, ZoomInfo, LinkedIn Sales Navigator — cada una de estas herramientas recibe datos personales de tus clientes y prospectos.

La Ley 21.719 exige que cada transferencia a un tercero esté documentada y tenga una base legal. Si le pasas datos a un proveedor en EE.UU. (como casi todas las plataformas SaaS), además necesitas una cláusula contractual que cumpla con los requisitos de transferencia internacional.

📋 Checklist de proveedores (Data Mapping urgente)

Antes del 1 de diciembre, cada empresa debe tener un Registro de Actividades de Tratamiento (RAT) que incluya: qué proveedores tratan datos personales, qué datos, con qué finalidad, bajo qué base legal, y qué garantías existen para transferencias internacionales. Si no tienes esto, empieza HOY.

🔴 PCC #5: Derechos ARCO-P en campañas activas

Un titular puede ejercer sus derechos ARCO-P (Acceso, Rectificación, Cancelación, Oposición, Portabilidad) en cualquier momento. Si alguien que está en tu base de Meta Ads o en tu pipeline de prosprección solicita que elimines sus datos, tienes plazos legales para responder.

El problema operativo: ¿cómo aseguras que si alguien se da de baja de tu newsletter, también se elimine de tu Custom Audience de Meta? Hoy, la mayoría de las empresas no tiene esta sincronización. La APDP considerará esto como una infracción.

🔴 PCC #6: Registro de Actividades de Tratamiento (RAT) para marketing

El RAT no es un documento legal que esconde el abogado. Es el mapa de datos de tu empresa. Y para el equipo de marketing, debe incluir:

🔴 PCC #7: Consentimiento granular y CMP (Consent Management Platform)

El punto que unifica todo lo anterior: necesitas una plataforma de gestión de consentimiento que registre, almacene y sincronice las preferencias de cada titular en todos los sistemas.

No es opcional. La ley exige que puedas demostrar el consentimiento en caso de fiscalización. Y eso significa tener evidencia de: quién, cuándo, para qué finalidad, qué versión del aviso de privacidad, y cualquier cambio o revocación posterior.

🛠️ Herramientas prácticas para empezar HOY

CMP gratuitas: Cookiebot (free tier), Osano (open source), Fides (open source de Ethyca)

Checklist rápido: 1. Audita todos tus formularios → 2. Implementa CMP → 3. Revisa Custom Audiences de Meta → 4. Documenta balancing tests → 5. Crea RAT de marketing

📋 Checklist completo: lo que puedes hacer en las próximas 2 semanas

PrioridadAcciónTiempo estimadoImpacto en riesgo
🔴 CríticaEliminar casillas pre-marcadas de todos los formularios web1 díaAlto — elimina riesgo inmediato de consentimiento inválido
🔴 CríticaAuditar listas subidas a Meta como Custom Audiences2 díasAlto — evita multa por transferencia internacional no autorizada
🔴 CríticaAgregar aviso de privacidad visible en formularios1 díaAlto — requisito mínimo de transparencia
🟡 AltaImplementar CMP para cookies y píxeles3-5 díasMedio-alto — necesario para píxel de Meta y Google
🟡 AltaDocumentar balancing test para prospección B2B2 díasMedio — protege el interés legítimo
🟡 AltaSeparar finalidades en formularios de captura2 díasMedio — evita contaminación de bases legales
🟢 MediaCrear RAT del área de marketing5-7 díasMedio — requisito documental de la ley
🟢 MediaRevisar contratos con proveedores (Meta, HubSpot, etc.)5-10 díasMedio — necesario para transferencias internacionales
🟢 MediaImplementar proceso de respuesta a derechos ARCO-P3-5 díasMedio — requisito legal con plazos
🔵 BajaCapacitar al equipo comercial en manejo de datos1 día/tallerBajo-medio — reduce riesgo de error humano

⚠️ El error más caro que puedes cometer

Seguir operando como hasta ahora. La ley tiene 5 meses de vigencia diferida, pero las infracciones cometidas antes del 1 de diciembre seguirán siendo fiscalizables si continúan después de la entrada en vigencia. Arrancar la adecuación en noviembre es una receta para el desastre.

El costo de NO hacer nada (vs. el costo de hacerlo bien)

Pongamos los números sobre la mesa para que la decisión sea clara:

EscenarioCostoConsecuencia
No hacer nada y ser fiscalizado$1.400M CLP (multa gravísima) + publicación de sanción + posible suspensión de operacionesDaño reputacional irreversible, pérdida de clientes, imposibilidad de acceder a crédito
Implementar adecuación básica con equipo externo$3M - $8M CLP (consultoría) + $50K - $150K/mes (herramientas CMP + RAT)Cumplimiento documentado, riesgo controlado, tranquilidad operativa
Implementar con AI Agent + stack open source$1M - $3M CLP (implementación única) + $35K - $75K/mes (operación)Cumplimiento automatizado, monitoreo 24/7, escalabilidad sin costo adicional

💡 La decisión racional

Invertir $3M hoy para evitar un riesgo de $1.400M no es un gasto: es la decisión de negocio más obvia del año. Y cuando la solución cabe en el presupuesto mensual de un café para la oficina ($35K/mes con un AI Agent), la pregunta no es "¿podemos permitírnoslo?" sino "¿podemos permitirnos NO hacerlo?".

¿Quieres saber exactamente en qué nivel de riesgo está tu empresa hoy?

Podemos hacer un assessment exprés de 20 minutos de tus formularios, Meta Ads y pipeline de prospección. Te entregamos un reporte con los PCC críticos y un plan de acción priorizado. Sin compromiso.

📋 Solicitar Assessment Gratuito →

Conclusión: La Ley 21.719 no es el enemigo — es el estándar

La Ley 21.719 no busca destruir el marketing digital ni la prospección comercial. Busca poner orden en un mercado donde los datos personales se han tratado con una ligereza que ya no es aceptable.

Las empresas que entiendan esto —y empiecen HOY a adecuar sus procesos— no solo evitarán multas. Construirán una ventaja competitiva: clientes que confían en que sus datos están seguros, prospectos que reciben comunicaciones relevantes (no spam), y una operación ordenada, auditable y escalable.

Las que esperen a noviembre para "ver qué pasa" tendrán 30 días de pánico, consultorías saturadas, implementaciones apresuradas y, probablemente, una multa de recuerdo.

La decisión es tuya. Faltan 5 meses. El momento es ahora.