PrivacTechBlog
← Blog

2 de mayo de 2026

E-commerce y retail: cumplimiento Ley 21.719 paso a paso

```html

E-commerce y retail: cumplimiento Ley 21.719 paso a paso

Si tienes una tienda online o retail, estás recopilando datos personales de tus clientes todo el tiempo: desde cookies de tracking hasta información bancaria en las pasarelas de pago. La Ley 21.719 de Protección de Datos Personales no es opcional, y los multas van desde UF 50 hasta UF 10.000. La buena noticia es que el cumplimiento es más simple de lo que parece si lo abordas sección por sección. En esta guía te mostramos cómo hacerlo sin interrumpir tu negocio.

Cookies de tracking y píxeles de remarketing: el consentimiento que no puedes olvidar

Cuando instalas Google Analytics, Facebook Pixel o cualquier herramienta de tracking en tu sitio, estás recopilando datos personales. El artículo 4 de la Ley 21.719 es claro: necesitas consentimiento explícito y previo del titular antes de activar estas tecnologías.

Esto significa que un banner de cookies con un botón "Aceptar" debe venir antes de que el pixel se dispare. No después. Lo correcto es:

  • Mostrar un aviso claro (no escondido) cuando el usuario entra a tu sitio
  • Explicar qué datos se recopilan y para qué (retargeting, análisis, mejora de experiencia)
  • Permitir aceptar o rechazar cookies de tracking sin que rechazar afecte la navegación básica
  • Guardar ese consentimiento y respetar la elección durante 12 meses

En Falabella, Ripley o Mercado Libre ya tienen esto implementado. Si tu tienda está integrada con sus plataformas, verifica que tu sitio o app también cumpla, porque la responsabilidad es tuya como responsable de datos.

Marketing por email y newsletters: permisos que duran

Enviar un email de marketing o newsletter sin consentimiento explícito es violación directa del artículo 6 de la ley. No importa que hayas hablado con el cliente en la tienda física: cada canal de comunicación requiere su propio consentimiento.

Lo que debes hacer:

  • En el checkout: incluye una casilla desmarcada que diga "Deseo recibir ofertas y novedades por email"
  • En formularios de contacto: lo mismo — nunca marcada por defecto
  • En programas de puntos: separar el consentimiento para email del consentimiento para seguimiento de comportamiento
  • En cada email que envíes: incluir un enlace para desuscribirse que funcione al instante

Datos clave: si un cliente compra en tu tienda pero no marcó la casilla de email, no puedes enviarle newsletter. Punto. La compra no es un consentimiento implícito para marketing.

Programas de puntos y perfilamiento: transparencia obligatoria

Los programas de lealtad son poderosos, pero generan mucho perfilamiento de datos. Cuando registras historial de compras, patrones de consumo, ubicación de compra o categorías favoritas, estás creando un perfil del cliente. Eso es procesamiento de datos personales.

Para cumplir con el artículo 7 (derechos del titular), debes:

  • Ser transparente en cómo usarás esos datos (análisis, recomendaciones, ofertas personalizadas)
  • Permitir que el cliente acceda a su perfil y vea qué datos tienes de él
  • Permitir que corrija datos incorrectos (si tu sistema dice que compra electrónica y él compra ropa)
  • No usar perfiles para discriminar precios o acceso a beneficios

Ejemplo: si tu programa de puntos se integra con Mercado Libre o Falabella, revisa sus políticas de privacidad también, porque ellos pueden estar usando esos datos para análisis adicionales con tu consentimiento como negocio.

Devoluciones y derecho a ser olvidado: limpiar los datos

Cuando un cliente solicita una devolución, algunos datos deben mantenerse (por ley tributaria, hasta 3 años). Pero otros datos sí pueden eliminarse. El artículo 8 de la ley establece el derecho a la eliminación.

Cuando un cliente solicita eliminar su cuenta o dejar de ser cliente:

  • Elimina perfil de cliente, direcciones, teléfonos e historial de navegación (si lo tienes)
  • Mantén datos mínimos de facturación y compra por 3 años (obligación tributaria)
  • Elimina su email de listas de marketing inmediatamente
  • Si está integrado con pasarelas como WebPay o Transbank, asegúrate de que tu proveedor también respete esto

Esto es crítico: no puedes borrar todo, pero sí debes borrar lo que sea posible dentro de la ley. Un cliente que se va merece que no guardes su comportamiento "por si vuelve".

Pasarelas de pago y datos bancarios: el estándar más alto

Los datos bancarios y de tarjeta son información financiera sensible. El artículo 17 de la ley los protege especialmente. Aquí es donde no hay negociación:

  • Usa pasarelas certificadas (WebPay, Transbank, Flow, Stripe) — nunca almacenes números de tarjeta en tu servidor
  • Exige que tu proveedor de pago cumpla PCI-DSS (estándar internacional de seguridad bancaria)
  • No pidas datos bancarios que no sean necesarios
  • Encripta cualquier dato financiero que sí guardes
  • Informa al cliente qué datos se guardarán y cuánto tiempo (generalmente, solo el token para próximas compras)

Si eres PyME y trabajas con Mercado Libre o Falabella, eres responsable solidario si ellos tienen una fuga de datos en tu tienda. Revisa sus contratos y políticas de protección de datos.

Conclusión: no es solo cumplimiento, es confianza

La Ley 21.719 no busca frenar tu negocio; busca que tus clientes confíen en ti. Un cliente que sabe que sus datos están protegidos compra más, deja review positivos y recomienda tu tienda. El cumplimiento es inversión, no gasto.

La realidad es que revisar todo esto manualmente — cookies, consentimientos, integraciones con marketplaces, políticas de retención — toma horas. Por eso existe PrivacTech: una herramienta que te ayuda a mapear dónde recopilan datos en tu tienda, qué consentimientos necesitas, cómo integrar cumplimiento en tu flujo sin complicar la experiencia