Email marketing y la Ley 21.719: lo que debes cambiar hoy

Si envías emails de marketing en Chile, tienes un problema. La Ley 21.719 sobre Protección de Datos Personales cambió las reglas del juego para el email marketing directo, y muchas empresas aún operan como si nada hubiera pasado. El consentimiento por "legítimo interés" —esa base que usabas antes para justificar el envío de newsletters sin pedir permiso— ya no es válida para marketing directo. Necesitas consentimiento expreso, y si tu lista actual no lo tiene documentado, es momento de actuar.

El problema con "legítimo interés": por qué ya no funciona

Muchos empresarios creen que porque un cliente compró una vez, tienen derecho a enviarle marketing indefinidamente. Bajo la Ley 21.719, esto es incorrecto. El artículo 5 establece que los datos deben tratarse de forma "lícita, leal y transparente", y el marketing directo requiere consentimiento previo, específico e informado. El legítimo interés es una base legal válida en otros contextos (análisis de riesgos, cumplimiento legal), pero para enviar publicidad por email, necesitas un "sí" explícito de tu cliente.

¿Qué significa esto en la práctica? Si hoy tienes 10 mil contactos en tu lista de email sin consentimiento documentado, esos envíos podrían exponer a tu empresa a sanciones de la Superintendencia de Protección de Datos Personales (SPDP). El costo de arreglarlo ahora es mínimo. El costo de no hacerlo puede ser seis veces tu ingresos anuales.

Audita tu lista: identifica dónde estás vulnerable

Antes de hacer cambios, necesitas saber qué tienes. Realiza una auditoría completa de tu base de datos de marketing:

¿Tienes registro de cuándo y cómo cada contacto dio su consentimiento?
¿Existe un checkbox marcado durante el registro en tu sitio web o formulario?
¿Guardaste la fecha, hora y versión de los términos que aceptó?
¿Separaste contactos con consentimiento de los que no lo tienen?

Si respondiste "no" a más de una pregunta, necesitas re-obtener consentimientos. Aquí viene lo importante: no elimines contactos sin intentar recuperarlos primero. Envía una campaña de "re-consentimiento" clara, explicando que necesitas su autorización para seguir en contacto. Aquí no es el momento de ser sigiloso. Sé directo: "Queremos seguir enviándote nuestras mejores ofertas. ¿Nos das permiso?"

Double opt-in: la mejor práctica que deberías implementar hoy

El double opt-in es el estándar de oro: el usuario se suscribe en tu sitio, luego recibe un email confirmando la suscripción y debe hacer clic en un enlace. Esto crea dos niveles de consentimiento documentado.

¿Por qué? Porque ante una auditoría de la SPDP, puedes demostrar que el usuario (1) marcó un checkbox voluntariamente y (2) confirmó su intención en su propio email. Es prácticamente a prueba de balas legales. Además, mejora la calidad de tu lista: solo se quedan contactos reales e interesados. Tu tasa de conversión sube porque entregas a personas que realmente quieren estar ahí.

Gestión del opt-out: tienes cero segundos, no días

Cuando alguien se desuscribe o pide no recibir más emails, debes procesarlo de inmediato. La Ley 21.719 no especifica un plazo exacto, pero la mejor práctica internacional y el sentido común dicen: hoy, no mañana. El incumplimiento es visible al instante (si un usuario sigue recibiendo emails después de pedir no recibirlos), y es la violación más fácil de detectar para los reguladores.

Configura tu CRM para que el opt-out sea automático. Si usas Mailchimp, Brevo o similar, esto es una función estándar. Revisa periódicamente que funciona correctamente.

Sincroniza preferencias en tu CRM: no dejes cabos sueltos

Si tu equipo de ventas tira datos a un CRM, y tu equipo de marketing usa otra plataforma, tienes un riesgo. Alguien se desuscribe del email marketing, pero sigue recibiendo llamadas de ventas. Eso es una mala experiencia y potencialmente ilegal. Integra tu CRM con tu herramienta de email para que los cambios de preferencia se sincronicen automáticamente. Una persona que dice "no al marketing" debe reflejarse en todas partes en horas.

Retargeting y píxeles: el consentimiento que olvidaste

Esos píxeles que siguen a tus usuarios por internet (Google Analytics, Facebook Pixel, etc.) son cookies de seguimiento. Bajo la Ley 21.719, necesitas consentimiento explícito para usarlos en marketing directo. Si tu sitio web tiene un banner de cookies que nadie lee, no cumples. Asegúrate de que:

El consentimiento sea granular (usuario elige qué cookies acepta)
El rechazo sea tan fácil como la aceptación
Los píxeles de marketing no carguen hasta que el usuario consienta

¿Qué pasa con los "clientes activos"? Sus límites reales

Existe la idea de que clientes "activos" (quienes compraron en los últimos 3 o 6 meses) pueden recibir marketing sin consentimiento nuevo. Esto es un mito peligroso. La Ley 21.719 no reconoce una excepción para clientes activos. Si compraron algo, no significa que hayan dado consentimiento para emails de marketing. Podrían haber dado datos solo para procesar un pedido. Obtén consentimiento nuevo, incluso para clientes históricos.

El siguiente paso: hazlo ahora, no después

Cambiar tu base de email marketing para cumplir la Ley 21.719 no es un proyecto de un día, pero tampoco es complicado. Necesitas: (1) auditar qué tienes, (2) re-obtener consentimientos, (3) implementar double opt-in, (4) automatizar el opt-out y (5) sincronizar tu CRM.

Si no sabes por dónde empezar o necesitas un análisis rápido de dónde estás vulnerables, PrivacTech puede ayudarte a mapear tu situación actual y crear un plan de cumplimiento. Haz tu análisis de compliance gratis en privactech.com y descubre exactamente qué necesitas arreglar.