Una agencia trata datos personales todo el día: los leads que capta para sus clientes, las bases de clientes que sus clientes le entregan para segmentar, y los píxeles de seguimiento que alimentan Meta y Google Ads. La ley te trata distinto según el rol que juegas en cada uno de esos flujos.
Esta tabla es el punto de partida obligatorio: no puedes definir consentimientos ni contratos sin saber exactamente qué datos pasan por tus sistemas.
| Dato personal | Sensibilidad | Finalidad | Base legal | Dónde vive |
|---|---|---|---|---|
| Nombre, email, teléfono del lead | Normal | Contacto comercial, envío de campañas | Consentimiento o medidas precontractuales | CRM de la agencia |
| Cookies / ID de dispositivo | Normal | Remarketing, medición de campañas | Consentimiento (banner de cookies) | Meta Pixel / Google Tag |
| Base de clientes que el cliente entrega para segmentar | Puede ser sensible | Audiencias personalizadas (Custom Audiences) | Definida por el cliente — la agencia trata como encargado | CRM agencia / plataforma de ads |
| Geolocalización aproximada | Normal | Anuncios geolocalizados | Consentimiento explícito (Art. 16 sexies) | Meta / Google Ads |
No es lo mismo tratar tu propia base de contactos que tratar la base de un cliente. Cada tarjeta indica el artículo que la respalda.
Con la base propia de leads eres responsable. Con la base que un cliente te entrega para segmentar, eres tercero encargado — necesitas un contrato de encargo.
El titular puede oponerse en cualquier momento a ser contactado con fines de marketing, incluida la elaboración de perfiles. Debe ser fácil, gratuito y permanente.
Sus servidores están fuera de Chile. Necesitas cláusulas contractuales tipo o verificar que el país de destino tenga protección adecuada.
Las audiencias personalizadas y los "lookalikes" son perfilamiento. Si generan un efecto significativo sobre la persona, aplican las salvaguardas del art. 8° bis.
La política de privacidad del cliente debe reflejar que tu agencia (un tercero) también trata sus datos, y para qué.
Dentro del CRM, un ejecutivo no debería poder ver los leads de un cliente distinto al que atiende. Cifrado y control de acceso por cuenta.
Desde que una persona completa un formulario hasta que aparece en el reporte del cliente, hay al menos cuatro puntos donde debes aplicar un control técnico.
Antes de cada envío o carga de audiencia: tu CRM debe filtrar automáticamente contra la lista de personas que ejercieron su derecho de oposición (Art. 8°). Subir una audiencia sin ese filtro es, en la práctica, comunicar datos sin base legal.
No es una sola responsabilidad — es una distinta con cada grupo de personas con las que te relacionas: tu equipo, tus proveedores y tus clientes. Aquí está cada una, explicada simple.
Todo el equipo que ve leads o bases de clientes firma un compromiso de confidencialidad — sigue vigente incluso después de dejar la agencia.
Un ejecutivo no debería poder ver los leads de un cliente que no atiende. Cifrado y control de acceso por cuenta.
Meta, Google y tu CRM tratan datos por tu cuenta — necesitas un contrato que defina el objeto, la duración y la finalidad del encargo.
Si dejas de trabajar con una herramienta, los datos que quedaron en su poder deben eliminarse o devolverse.
La política de privacidad del cliente final debe declarar que un tercero — tu agencia — también trata sus datos, y para qué.
Cualquier persona puede pedir que dejes de contactarla con fines comerciales — debe ser fácil, gratuito y permanente.
En el orden en que normalmente se resuelve: primero lo legal, luego la configuración técnica, después la operación día a día. Marca cada punto a medida que lo implementes.
Ceder datos a plataformas de ads sin base legal o comunicar datos a un fin distinto del autorizado: hasta 10.000 UTM.
Usar datos sensibles de la base de un cliente sin autorización expresa: hasta 20.000 UTM o 2–4% de ingresos anuales.
Si tu agencia incumple, el cliente responde ante sus propios titulares — y es el primer motivo para terminar el contrato.