Volver a los 4 casos
Caso 3 · Página informativa con un formulario

El sitio más simple también debe cumplir la ley

Un solo formulario de contacto ya es "tratamiento de datos personales" bajo el artículo 1°. No hay excepción por tamaño de empresa — solo se exime el tratamiento estrictamente personal o doméstico. La buena noticia: cumplir aquí no exige infraestructura enterprise, solo unos pocos pasos bien hechos.

Formulario HTML simple Google Forms / Typeform Mailchimp (newsletter) Bandeja de correo compartida
Mapa de datos

Con un formulario de contacto ya hay 4 flujos de datos

Aunque el sitio sea simple, cada campo del formulario tiene su propia finalidad y base legal — y eso es exactamente lo que debes explicar en tu política de privacidad.

Dato personalSensibilidadFinalidadBase legalDónde vive
Nombre y email Normal Responder la consulta Interés legítimo / medida precontractual Bandeja de correo o CRM simple
Teléfono (campo opcional) Normal Contactar por WhatsApp o llamada Consentimiento (campo marcado como opcional) Mismo destino que el formulario
Casilla de newsletter (si existe) Normal Enviar novedades por email Consentimiento explícito, separado del envío del formulario Herramienta de email marketing
Metadata técnica (IP, user-agent) Normal Seguridad y prevención de spam Interés legítimo Logs del servidor o proveedor del formulario
Obligaciones específicas

Lo mínimo que exige la ley — sin sobre-construir

Aquí el objetivo es proporcionalidad: cumplir bien, sin construir infraestructura pensada para una empresa cien veces más grande.

La ley aplica igual, sin importar el tamaño

El artículo 1° solo exime el tratamiento estrictamente personal o doméstico. Un formulario comercial siempre queda sujeto a la ley.

"Tampoco serán aplicables las normas de la presente ley al tratamiento de datos que efectúen las personas naturales en relación con sus actividades personales."— Ley 21.719, Art. 1°

Proporcionalidad en los campos

No pidas RUN, dirección exacta o fecha de nacimiento si no los necesitas para responder la consulta.

"Los datos personales que se traten deben limitarse estrictamente a aquéllos que resulten necesarios, adecuados y pertinentes en relación con los fines del tratamiento."— Ley 21.719, Art. 3°, letra c)

Política de privacidad enlazada

Una página simple junto al formulario: quién eres, para qué usas los datos, cuánto los conservas y cómo ejercer derechos.

"El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información: a) La política de tratamiento de datos personales que haya adoptado (...) f) El derecho que le asiste al titular para solicitar ante el responsable, acceso, rectificación, supresión, oposición y portabilidad de sus datos personales, de conformidad a la ley."— Ley 21.719, Art. 14 ter

Consentimiento separado para marketing

El checkbox de newsletter debe ser independiente del envío del formulario, y nunca venir premarcado.

Art. 12: "El consentimiento debe manifestarse (...) en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular." — Art. 8, letra b): "El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos: (...) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles, de conformidad con el artículo 8° bis."— Ley 21.719, Arts. 8 y 12

Seguridad mínima

HTTPS en todo el sitio y acceso restringido a quien recibe las respuestas del formulario — no una hoja compartida con toda la empresa.

"Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos. Asimismo, deberán evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado."— Ley 21.719, Art. 14 quinquies

Un canal simple para ejercer derechos

Un email dedicado (ej. privacidad@tuempresa.cl) y el compromiso de responder solicitudes en 30 días.

"Los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz. Los medios dispuestos por el responsable deben ser sencillos en su operación (...) dirigido a la dirección de correo electrónico establecida para este fin, un formulario de contacto o un medio electrónico equivalente."— Ley 21.719, Arts. 10 y 11
Diagrama de flujo

De la casilla de "Enviar" a la bandeja de entrada

Es un flujo corto — pero cada eslabón necesita su control, incluso si es manual.

Visitante Llega a la página y decide escribir Formulario web HTTPS + casilla de consentimiento Procesamiento Typeform / Google Forms (a veces fuera de Chile) Bandeja o CRM simple Acceso restringido al equipo que responde Retención Eliminación tras un plazo definido Consentimiento explícito Checkbox de marketing separado, sin premarcar Aviso de proveedor externo Mencionar en la política si el dato sale a un tercero Acceso restringido Solo quien necesita responder al contacto Plazo de retención definido Ej. 12 meses tras el último contacto

No necesitas un CRM ni un equipo de seguridad dedicado. Una carpeta de correo con acceso restringido, un checkbox bien puesto y una página de privacidad honesta cubren la mayoría de las obligaciones de este caso.

Responsabilidades por relación

¿Qué te exige la ley según con quién te relacionas?

No es una sola responsabilidad — es una distinta con cada grupo de personas con las que te relacionas: tu equipo, tus proveedores y tus clientes. Aquí está cada una, explicada simple.

Tu página Trabajadores Confidencialidad de quien recibe respuestas Proveedores Contrato o cláusulas con hosting y email Clientes / titulares Política clara y consentimiento separado

Con tus trabajadores

Confidencialidad de las respuestas del formulario

Quien lea los mensajes que llegan del formulario firma un compromiso de confidencialidad, vigente incluso después de dejar la empresa.

"El responsable de datos está obligado a mantener secreto o confidencialidad acerca de los datos personales que conciernan a un titular, salvo cuando el titular los hubiere hecho manifiestamente públicos. Este deber subsiste aún después de concluida la relación con el titular. (...) El responsable debe adoptar las medidas necesarias con el objeto que sus dependientes o las personas naturales o jurídicas que ejecuten operaciones de tratamiento de datos bajo su responsabilidad, cumplan el deber de secreto o confidencialidad establecidos en este artículo."— Ley 21.719, Art. 14 bis
Acceso restringido a quien responde

No una hoja compartida con toda la empresa — solo quien necesita responder al contacto.

"Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos."— Ley 21.719, Art. 14 quinquies

Con tus proveedores

Contrato si el proveedor trata datos por ti

El hosting o el servicio de email marketing tratan datos por tu cuenta — necesitas un contrato que defina el encargo.

"El tratamiento de datos a través de un tercero mandatario o encargado se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente. En el contrato se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes."— Ley 21.719, Art. 15 bis
Eliminar o devolver datos al cambiar de proveedor

Si dejas de usar una herramienta, los datos que quedaron en su poder deben eliminarse o devolverse.

"Cumplida la prestación del servicio de tratamiento por parte del tercero mandatario o encargado, los datos que obran en su poder deben ser suprimidos o devueltos al responsable de datos, según corresponda."— Ley 21.719, Art. 15 bis

Con tus visitantes

Política de privacidad clara y accesible

Quién eres, para qué usas los datos, cuánto los conservas y cómo ejercer derechos.

"El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información: (...) los destinatarios a los que se prevé comunicar o ceder los datos (...)."— Ley 21.719, Art. 14 ter, letra d)
Consentimiento separado para marketing

El checkbox de newsletter debe ser independiente del envío del formulario, y nunca venir premarcado.

Art. 12: "El consentimiento debe manifestarse (...) en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular." — Art. 8, letra b): "El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos: (...) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles, de conformidad con el artículo 8° bis."— Ley 21.719, Arts. 8 y 12
Checklist técnico

Ruta de cumplimiento, paso a paso

En el orden en que normalmente se resuelve: primero lo legal, luego la configuración técnica, después la operación día a día. Marca cada punto a medida que lo implementes.

0/8 pasos completados
1

Fundamentos legales

Antes de publicar el formulario
  • Política de privacidad de una páginaEnlazada justo debajo del formulario, en lenguaje simple.
    "El responsable de datos debe facilitar y mantener permanentemente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, al menos, la siguiente información: a) La política de tratamiento de datos personales que haya adoptado (...) f) El derecho que le asiste al titular para solicitar ante el responsable, acceso, rectificación, supresión, oposición y portabilidad de sus datos personales, de conformidad a la ley."— Ley 21.719, Art. 14 ter
  • Checkbox de marketing separado y sin premarcarDistinto del botón de "Enviar" — el usuario decide explícitamente si quiere recibir novedades.
    Art. 12: "El consentimiento debe manifestarse (...) en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular." — Art. 8, letra b): "El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos: (...) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles, de conformidad con el artículo 8° bis."— Ley 21.719, Arts. 8 y 12
  • Revisar la proporcionalidad de los campos del formularioNo pidas RUN, dirección exacta o fecha de nacimiento si no los necesitas para responder la consulta.
    "Los datos personales que se traten deben limitarse estrictamente a aquéllos que resulten necesarios, adecuados y pertinentes en relación con los fines del tratamiento."— Ley 21.719, Art. 3°, letra c)
2

Configuración técnica

Cómo se implementa en el sitio
  • HTTPS activo en todo el sitioCertificado SSL válido, incluida la página del formulario.
    "Las medidas aplicadas por el responsable deben asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento de datos. Asimismo, deberán evitar la alteración, destrucción, pérdida, tratamiento o acceso no autorizado."— Ley 21.719, Art. 14 quinquies
  • Acceso restringido a las respuestasSolo el equipo que necesita responder, no toda la empresa.
    "(...) el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: (...) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento."— Ley 21.719, Art. 14 quinquies
3

Operación y mantención

El trabajo del día a día
  • Email dedicado para solicitudes de derechosEj. privacidad@tuempresa.cl, con compromiso de respuesta en 30 días.
    "Los responsables de datos deberán implementar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita, ágil y eficaz. Los medios dispuestos por el responsable deben ser sencillos en su operación (...) dirigido a la dirección de correo electrónico establecida para este fin, un formulario de contacto o un medio electrónico equivalente."— Ley 21.719, Arts. 10 y 11
  • Plazo de retención definido (aunque sea manual)Ej. revisar y eliminar contactos sin actividad cada 12 meses.
    "Los datos personales pueden ser conservados sólo por el período de tiempo que sea necesario para cumplir con los fines del tratamiento, luego de lo cual deben ser suprimidos o anonimizados, sin perjuicio de las excepciones que establezca la ley."— Ley 21.719, Art. 3°, letra c)
  • Enlace de baja si envías newsletterUnsubscribe visible en cada envío, sin fricción.
    "El titular de datos tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos: (...) Si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, incluida la elaboración de perfiles, de conformidad con el artículo 8° bis."— Ley 21.719, Art. 8°, letra b)
Riesgos de no cumplir

Lo que está en juego (incluso a pequeña escala)

Infracción leve

No tener política de privacidad publicada o responder solicitudes fuera de plazo: hasta 5.000 UTM.

Infracción grave

Enviar los datos del formulario a un tercero (ej. lista compartida) sin base legal ni aviso: hasta 10.000 UTM.

Riesgo reputacional

Para un negocio pequeño, una denuncia ante la Agencia o en redes sociales pesa más que la multa misma.