Ley 21.719 · Guía sectorial

Ley 21.719 para Tiendas E-commerce

Las tiendas online recopilan datos de compra, pago y navegación de miles de clientes. Son un objetivo frecuente de ciberataques y la Ley 21.719 les exige transparencia en el uso de cookies, consentimiento para marketing y medidas de seguridad proporcionales al riesgo.

🟠 Riesgo MEDIO8 tipos de datos regulados

Cómo Tiendas E-commerce interactúa con datos personales

Una tienda online trata datos personales en cada paso del funnel: cuando el usuario navega, cookies de Meta Pixel y Google Analytics registran su comportamiento. Al registrarse, entrega nombre, correo y en ocasiones RUT. Al comprar, se procesan datos de pago a través de Transbank WebPay o Mercado Pago. Al despachar, Chilexpress o Starken reciben nombre, dirección y teléfono del comprador. Si hay programa de fidelización, se acumula historial de compras vinculado al perfil. Las campañas de email marketing con Mailchimp o Klaviyo usan esa base para comunicaciones comerciales. Plataformas como Shopify o WooCommerce almacenan todos estos datos en servidores que pueden estar fuera de Chile. Sin banner de cookies conforme y sin política de privacidad actualizada, el e-commerce más pequeño puede recibir una denuncia de cualquier cliente.

¿Qué datos personales trata tu tiendas e-commerce?

Todos estos datos están regulados por la Ley 21.719 y requieren bases legales claras para su tratamiento.

Nombre, RUT y correo electrónicoDirección de despachoHistorial de compras y devolucionesDatos de tarjeta o medio de pagoDirección IP y cookies de navegaciónPreferencias y listas de deseosReseñas y calificacionesDatos de tracking de envío

Tu principal riesgo

⚠️

Brecha de datos de pago o filtración masiva de la base de clientes. Un e-commerce con miles de registros de tarjetas o RUT puede ser sancionado con multas de hasta 2.000 UTM (~$148M CLP) y enfrentar demandas civiles de los afectados. El uso de cookies de marketing sin consentimiento también es infraccionable.

Obligaciones específicas para Tiendas E-commerce

Implementar un banner de cookies que permita al usuario aceptar, rechazar o configurar por categorías (funcionales, analíticas, marketing) antes de que cualquier cookie de rastreo —Meta Pixel, Google Analytics, TikTok Pixel— se active en su navegador.

Publicar una Política de Privacidad accesible desde el footer de la tienda que informe qué datos se recopilan en cada etapa (navegación, registro, compra, despacho), con qué proveedores se comparten y cómo ejercer derechos ARCOP.

Obtener consentimiento separado para el envío de comunicaciones de marketing: el correo dado en el proceso de compra solo autoriza comunicaciones de esa transacción, no campañas promocionales futuras sin opt-in explícito.

Firmar contratos de encargado del tratamiento con los proveedores que acceden a datos de clientes: Shopify, WooCommerce, Mailchimp, Transbank y couriers, documentando instrucciones de tratamiento y medidas de seguridad exigidas.

Establecer un proceso documentado para responder solicitudes de supresión de datos dentro de 30 días corridos, incluyendo eliminación en la plataforma, listas de email marketing y sistemas de analítica que almacenen datos identificables.

Ejemplo de cumplimiento paso a paso

1
Instala el banner de cookies
Todo sitio de e-commerce que use rastreo debe tener un banner conforme antes de cargar los píxeles. Sin él, cada visita es una infracción potencial.
2
Actualiza tu Política de Privacidad
Debe cubrir cookies, datos de registro, proceso de compra, despacho y marketing. Publícala en el footer con enlace visible desde el checkout.
3
Separa el consentimiento de marketing
Agrega un checkbox de opt-in para newsletters en el registro o checkout, desvinculado del proceso de compra, para poder enviar campañas legalmente.
4
Documenta los encargados del tratamiento
Lista en tu RAT todos los proveedores que reciben datos de clientes: plataforma e-commerce, pasarela de pago, email marketing, analytics y couriers.
5
Ten un protocolo de brechas
Una brecha en tu base de clientes con miles de correos y RUTs exige notificación a la APDP en 72 horas. Documenta el procedimiento antes de necesitarlo.

Genera los documentos que tu tiendas e-commerce necesita

Sin registro · Sin pago · Listo en minutos

Generar Gratis

Multas y sanciones para Tiendas E-commerce

La Ley 21.719 establece tres niveles de infracción: leve (hasta 5.000 UTM ≈ $370M CLP), grave (hasta 10.000 UTM ≈ $740M CLP) y gravísima (hasta 20.000 UTM ≈ $1.480M CLP).

💸

Una tienda online que usa cookies de Meta Pixel y Google Ads sin un banner de consentimiento válido puede ser sancionada por la APDP con hasta 10.000 UTM (infracción grave, Art. 35 Ley 21.719) por infracción a los deberes de transparencia e información.

Preguntas frecuentes sobre privacidad para tiendas e-commerce

¿Necesito banner de cookies en mi tienda online?

Sí, si usas cookies de rastreo o marketing (Google Analytics, Meta Pixel, TikTok Pixel, etc.). La Ley 21.719 requiere consentimiento previo e informado para el tratamiento de datos con fines de marketing. El banner debe permitir aceptar, rechazar y configurar las preferencias.

¿Puedo enviar newsletters y ofertas a mis clientes sin pedir permiso adicional?

Depende de cómo obtuviste el correo. Si el cliente compró y aceptó recibir comunicaciones, puedes continuar enviándole ofertas de productos similares. Pero si quieres enviar marketing a contactos que no han comprado, necesitas consentimiento expreso e independiente para marketing directo.

¿Qué obligaciones tengo con los datos de tarjetas de crédito?

Los datos de tarjetas deben tratarse bajo estándar PCI-DSS. La Ley 21.719 exige además que informes en tu política de privacidad que usas un proveedor de pagos externo (como Transbank, WebPay, Mercado Pago) y que ese proveedor actúa como encargado del tratamiento.

¿Cuánto tiempo puedo conservar el historial de compras de un cliente?

Mientras sea necesario para la finalidad (ej. garantías, devoluciones, fidelización). Debes definir y publicar el plazo en tu política de privacidad. Si un cliente solicita la eliminación de su historial, tienes 30 días corridos para responder y puedes conservar solo lo necesario para obligaciones legales (ej. registros tributarios).

Más recursos útiles

Industrias relacionadas

Agencias de Marketing Digital Empresas de Delivery y Logística Startups y Empresas de Tecnología

Herramientas para tu tiendas e-commerce

Política de Privacidad Banner de Cookies Formulario de Consentimiento Protocolo de Brechas

Lee más sobre la ley

📖 ¿Qué es la Ley 21.719?💰 Multas Ley de Datos Personales

Gestión ARCOP

¿Ya tienes el buzón de solicitudes ARCOP?

Cuando la ley entre en vigor, tus clientes podrán exigir sus derechos por escrito. Necesitas un sistema para recibirlas, gestionarlas y responder a tiempo.

Ver el gestor ARCOP →

Tiendas E-commerce

Cumple la Ley 21.719 antes de que entre en vigor

Genera todos tus documentos gratis, sin registro, en minutos. Sin letra chica, sin pago.

Generar Política de Privacidad Gratis Hacer diagnóstico