Ley 21.719 para Agencias de Marketing Digital
Las agencias de marketing digital trabajan con datos personales de usuarios de internet como materia prima: cookies, comportamientos de navegación, audiencias segmentadas, listas de emails y datos de plataformas publicitarias. Como encargadas del tratamiento de datos de sus clientes empresariales, tienen obligaciones dobles: hacia los consumidores finales cuyos datos usan en las campañas, y hacia sus clientes empresariales como responsables de esos datos. El uso de Google Ads, Meta Ads, píxeles de seguimiento y herramientas de automatización implica transferencias internacionales de datos.
Cómo Agencias de Marketing Digital interactúa con datos personales
Las agencias de marketing digital se encuentran en una posición de doble exposición bajo la Ley 21.719: tratan datos personales de consumidores finales como encargadas del tratamiento de sus clientes empresariales, y al mismo tiempo manejan sus propios datos de prospectos, leads y contactos comerciales. La complejidad aumenta porque el stack tecnológico del marketing digital es intrínsecamente internacional: Google Ads, Meta Ads, HubSpot, Mailchimp, Klaviyo, Hotjar, Semrush —todas estas herramientas transfieren datos de usuarios chilenos a servidores en EE.UU. o la Unión Europea. Cada píxel de seguimiento instalado en el sitio de un cliente, cada formulario de captación de leads, cada campaña de retargeting implica tratamiento de datos que el cliente (responsable) debe haber autorizado y comunicado en su banner de cookies. La agencia que instala esos píxeles sin asegurarse de que el banner funcione correctamente es cómplice funcional de la infracción, y la APDP puede considerarla responsable solidaria. Sin un contrato de encargado del tratamiento firmado con cada cliente, la agencia queda en un limbo legal peligroso.
¿Qué datos personales trata tu agencias de marketing digital?
Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.
Tu principal riesgo
Las agencias acceden a datos de clientes del cliente (bases de emails, CRMs, datos de compradores) sin ser el responsable del tratamiento. Si no existe un contrato de encargado del tratamiento, la agencia puede ser considerada responsable solidaria ante la APDP. El uso de píxeles y cookies sin el banner de consentimiento adecuado en el sitio del cliente es una infracción frecuente.
Obligaciones específicas para Agencias de Marketing Digital
Firmar un contrato de encargado del tratamiento con cada cliente empresarial antes de acceder a sus bases de datos de contactos, CRM o datos de clientes; el contrato debe especificar qué datos se tratan, para qué finalidades (campañas específicas), qué herramientas se usan, en qué países están los servidores y qué sucede con los datos al terminar la relación.
Verificar, antes de ejecutar cualquier campaña de email marketing con datos del cliente, que los contactos de la base dieron consentimiento válido bajo la Ley 21.719 para recibir comunicaciones comerciales; documentar esta verificación y conservar registro de qué confirmó el cliente sobre el origen y validez del consentimiento de su base.
Asesorar activamente a cada cliente sobre la obligatoriedad del banner de cookies conforme a la Ley 21.719 antes de instalar píxeles de seguimiento, Meta Pixel, Google Tag Manager u otras herramientas de rastreo en su sitio; documentar esta asesoría por escrito para proteger a la agencia ante eventuales sanciones.
Documentar en el RAT propio de la agencia todos los proyectos en los que se tratan datos de terceros: identificación del cliente responsable, tipo de datos accedidos (base de emails, datos de CRM, audiencias de plataformas), herramientas utilizadas y sus países de alojamiento, plazo del tratamiento.
Prohibir contractual y operativamente el uso de datos de un cliente para optimizar campañas de otro cliente o para análisis propios de la agencia; implementar separación técnica de las cuentas de cada cliente en las herramientas de gestión para garantizar que los datos no se mezclan.
Ejemplo de cumplimiento paso a paso
- 1
Agrega el DPA a cada contrato de servicio con clientes
Integra una cláusula de encargado del tratamiento en todos tus contratos de agencia. Debe especificar: qué datos del cliente tratarás (base de emails, datos de CRM, datos de plataformas publicitarias), bajo qué instrucciones del cliente, con qué herramientas y por cuánto tiempo.
- 2
Crea un checklist de onboarding de privacidad para nuevos clientes
Antes de iniciar cualquier campaña: ¿El cliente tiene Política de Privacidad actualizada? ¿El sitio tiene banner de cookies conforme? ¿La base de emails tiene consentimiento válido? ¿El cliente ha aceptado las políticas de privacidad de las herramientas que usarás? Documenta el check.
- 3
Implementa separación técnica de cuentas de clientes
Asegúrate de que los datos de cada cliente están separados en tus herramientas: cuentas separadas en Google Ads, Meta, HubSpot o el CRM que uses. Ningún colaborador de la agencia debe tener acceso a datos de clientes que no gestiona directamente.
- 4
Documenta el RAT de la agencia
Registra por cliente: tipo de datos accedidos, herramientas utilizadas (con países de servidores), base legal del tratamiento como encargado (contrato de servicios), plazo del tratamiento y proceso de eliminación de datos al finalizar la relación comercial.
- 5
Define el proceso de terminación y eliminación de datos
Al finalizar una relación con un cliente, devuelve o elimina todos los datos de ese cliente de tus sistemas: elimina accesos a sus plataformas, borra archivos locales con sus datos, confirma al cliente por escrito que la eliminación se realizó. Documenta el proceso.
Genera los documentos que tu agencias de marketing digital necesita
Sin registro · Sin pago · Listo en minutos
Multas y sanciones para Agencias de Marketing Digital
La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).
Una agencia de marketing que usa la base de datos de correos de su cliente para campañas de email marketing sin verificar que esos contactos dieron consentimiento válido puede ser considerada responsable solidaria de la infracción y enfrentar multas de hasta 10.000 UTM (~$700M CLP).
Preguntas frecuentes sobre privacidad para agencias de marketing digital
¿Una agencia de marketing es responsable o encargada del tratamiento de datos de su cliente?
Generalmente es encargada del tratamiento: trata datos personales (bases de emails, audiencias, CRM) siguiendo instrucciones del cliente empresarial, que es el responsable. Esto significa que debe suscribir un contrato de encargado del tratamiento con cada cliente, que establezca las instrucciones, restricciones de uso y medidas de seguridad aplicables.
¿Puedo usar los datos de un cliente para optimizar campañas de otros clientes o mis propios benchmarks?
No. Los datos tratados como encargado del tratamiento solo pueden usarse para los fines expresamente autorizados por el responsable (tu cliente). Usar datos de un cliente para beneficiar a otro cliente o para tus propios análisis está expresamente prohibido y puede constituir infracción grave de la Ley 21.719.
¿Quién es responsable de que el sitio de mi cliente tenga el banner de cookies correcto?
El responsable legal es el cliente (dueño del sitio). Sin embargo, como agencia que instala y gestiona los píxeles y herramientas de seguimiento, tienes responsabilidad práctica de advertirle sobre la obligación y recomendar la implementación del banner. Documentar esta advertencia por escrito te protege ante eventuales sanciones.
Más recursos útiles
Industrias relacionadas
Herramientas para tu agencias de marketing digital
Lee más sobre la ley
Agencias de Marketing Digital
Cumple la Ley 21.719 antes de que entre en vigor
Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.