Resumen ejecutivo
Periodo de captura: 19 mayo–1 junio 2026 · Método: 5 pasadas con consenso 4/5 por dominio · Datos publicados bajo licencia CC BY 4.0.
Lo que medimos y cómo
El scanner de AGLAYA evalúa la capa pública de un sitio web — lo que cualquier inspector de la futura Agencia de Protección de Datos Personales (APDP) podría ver sin acceso interno. Por cada dominio, el sistema corre 5 análisis paralelos y exige consenso de 4 antes de emitir un hallazgo. Esto reduce falsos positivos por variabilidad de carga.
Los 50 dominios analizados durante las primeras semanas post-lanzamiento del scanner llegaron por iniciativa propia de sus operadores — no hay selección por sector, tamaño o probabilidad de incumplimiento. Los controles activados se derivan de la matriz normativa v1 de AGLAYA, que mapea cada hallazgo técnico a uno o más artículos de la Ley 21.719.
Hallazgos principales
Los siete controles que se activaron en al menos la mitad de los sitios analizados, ordenados por incidencia. Cada hallazgo apunta al artículo de la Ley 21.719 que fundamenta el deber asociado.
Ausencia de política de privacidad accesible
39 de 50 sitios no tienen una política de privacidad localizable desde la página de inicio o el footer. Es el hallazgo más extendido y el de mayor severidad regulatoria.
Base legal: Art. 14 ter a) y Art. 3 g) de la Ley 21.719 exigen que el responsable del tratamiento informe al titular sobre el tratamiento de datos de forma accesible y clara. Sin política pública, este deber no se materializa.
Sin referencia pública a medidas de seguridad
39 de 50 sitios no incluyen mención visible a las medidas técnicas u organizativas que aplican para proteger los datos personales que tratan. Esto no significa que las medidas no existan internamente — solo que no se documentan públicamente.
Base legal: Art. 14 ter e) requiere informar sobre las medidas de seguridad aplicadas. No se exige sobredetalle — no se debe revelar arquitectura interna explotable — pero sí una referencia mínima al estándar aplicado.
Sin canal público para ejercer derechos del titular
34 de 50 sitios no exponen un canal claro mediante el cual un titular pueda solicitar acceso, rectificación, eliminación, portabilidad u oposición sobre sus datos personales.
Base legal: Art. 14 ter c) y Arts. 4-8 reconocen estos derechos a los titulares y obligan al responsable a facilitar su ejercicio. Plazo de respuesta máximo: 30 días calendario.
Transferencias internacionales sin disclosure
33 de 50 sitios ejecutan trackers o servicios cuyos servidores residen en el extranjero — principalmente Estados Unidos: Google Analytics, Meta Pixel, Hotjar — sin que la política pública informe esta circunstancia ni mencione la base legal o nivel de adecuación.
Base legal: Arts. 27-28 regulan las transferencias internacionales y exigen que el titular sea informado y, en su caso, otorgue consentimiento específico.
Google Tag Manager sin consentimiento previo
25 de 50 sitios cargan Google Tag Manager (o equivalente)
y disparan rastreadores en pageview sin que exista un banner
de consentimiento o Consent Mode v2 configurado para denegar por defecto.
Base legal: Art. 12 (licitud del tratamiento) y Art. 14 ter b) y d) (transparencia en el punto de captura). Los trackers no pueden inicializarse hasta que el usuario consienta — una de las infracciones más sancionadas en jurisdicciones con regulación equivalente (RGPD europeo).
Formularios sin checkbox de consentimiento
31 de 50 sitios tienen formularios públicos — contacto, newsletter, captura de leads — que capturan datos personales sin un checkbox adyacente que indique consentimiento explícito del titular.
Base legal: Art. 12 b) sobre el consentimiento como base de licitud y Art. 14 ter sobre transparencia en el momento de la captura.
Formularios sin enlace a política
30 de 50 sitios tienen formularios sin enlace visible a la política de privacidad en el punto de captura. Suele aparecer junto al hallazgo anterior: si no hay política, no hay a qué enlazar; si no hay checkbox, tampoco hay punto donde mostrar el link.
Lo que esto significa
A 6 meses de la entrada en plena vigencia de la Ley 21.719:
- La brecha no es de conocimiento. La ley se publicó el 13 de diciembre de 2024 y ha tenido cobertura sostenida en medios económicos chilenos. La brecha es de implementación.
- La brecha no se concentra en un sector. Los 50 audits incluyen agencias digitales, retail, servicios financieros, consultorías y contenidos editoriales. Es transversal.
- La brecha no es exclusiva de pymes. Entre los dominios analizados hay tanto operaciones unipersonales como empresas con presencia internacional. Tener equipo de marketing o de IT no garantiza la implementación.
- La urgencia operativa es real. Cada uno de los hallazgos listados puede ser observado por la APDP en una inspección remota — no requieren acceso interno al sitio. Son detectables desde la capa pública.
Si la APDP entrase mañana en cualquiera de estos 50 sitios, no necesitaría enviar a un inspector ni pedir documentación interna. Le bastaría con un navegador.
El scanner AGLAYA revisa los mismos siete controles que ves en este estudio —más los otros del marco— y te devuelve un informe técnico preliminar por correo, con evidencia trazable. Sin reuniones, sin compromiso.
Limitaciones del estudio
Honestidad sobre el alcance:
- Muestra preliminar. 50 dominios sigue siendo una muestra acotada. Es la primera lectura, no una conclusión definitiva. Publicaremos actualizaciones cuando la muestra supere los hitos de 50, 100 y 500 audits.
- Sesgo de auto-selección. Los dominios fueron escaneados por iniciativa propia de sus operadores, no por muestreo aleatorio. Es plausible que quienes deciden escanear su sitio tengan mayor conciencia regulatoria que el promedio — lo que significa que las cifras reales del ecosistema podrían ser peores, no mejores.
- Solo capa pública. El scanner no accede a sistemas internos. Algunos hallazgos detectados externamente pueden estar internamente resueltos — medidas de seguridad implementadas pero no publicadas, por ejemplo. El estudio mide transparencia pública, que es lo que la APDP inspeccionará en primera instancia.
- Sin opinión jurídica. Los hallazgos técnicos preliminares pueden requerir interpretación legal contextual. Este estudio no sustituye asesoría profesional.
Por qué publicamos
Porque los datos son útiles para múltiples actores y no nos cuesta nada hacerlos públicos:
- Founders y operadores web: una primera lectura defendible de dónde mirar primero. La mayoría de los hallazgos tienen acción concreta de bajo costo.
- Asesores y gabinetes legales: referencia cuantitativa para conversaciones con clientes.
- APDP en construcción y Subsecretaría de Hacienda: insumo cuantitativo independiente para calibrar prioridades de fiscalización.
- Periodismo económico y tecnológico: material verificable para cobertura. Contacto para periodistas: [email protected].
Sobre AGLAYA
AGLAYA opera un scanner técnico que analiza la capa pública de sitios web chilenos para detectar señales visibles de riesgo regulatorio bajo la Ley 21.719. El producto es servicio asistido, no certificación. El diagnóstico técnico preliminar individual es completamente gratuito.
La fecha de entrada en vigor de la Ley 21.719 está fijada por ley: 1 de diciembre de 2026. Cuanto antes sepas qué corregir, más margen tienes para hacerlo. El diagnóstico es gratuito.
Preguntas frecuentes
¿Qué porcentaje de webs chilenas cumplen la Ley 21.719 según el estudio?
En la muestra de 50 sitios escaneados por AGLAYA entre el 19 de mayo y el 1 de junio de 2026, solo 2 de los 50 dominios cumplen los siete controles básicos de capa pública (el 96% falla al menos uno). El hallazgo más extendido es la ausencia de política de privacidad accesible: 39 de 50 sitios (78%) no la tienen disponible desde la página de inicio o el footer.
¿Cómo audita AGLAYA un sitio web bajo la Ley 21.719?
El scanner de AGLAYA analiza la capa pública del sitio — lo que cualquier inspector de la futura Agencia de Protección de Datos Personales (APDP) podría ver sin acceso interno. Por cada dominio se ejecutan 5 análisis paralelos y se exige consenso de 4 antes de emitir un hallazgo. Los controles activados están mapeados a artículos de la Ley 21.719.
¿Cuándo entra en vigor la Ley 21.719?
La Ley 21.719 fue publicada el 13 de diciembre de 2024 y entra en plena vigencia el 1 de diciembre de 2026. A partir de esa fecha, la Agencia de Protección de Datos Personales (APDP) podrá iniciar procedimientos sancionatorios contra los responsables del tratamiento que incumplan sus obligaciones.
¿El estudio es estadísticamente representativo de las webs chilenas?
No. Es una muestra de 50 dominios analizados por iniciativa propia de sus operadores entre el 19 de mayo y el 1 de junio de 2026. AGLAYA publicará actualizaciones cuando la muestra supere los hitos de 50, 100 y 500 audits. Es plausible que las cifras reales del ecosistema sean peores, ya que quienes deciden auto-escanear su web suelen tener mayor conciencia regulatoria que el promedio.
Marco legal · fuente oficial: Ley N.º 21.719 — texto íntegro, Biblioteca del Congreso Nacional de Chile.
Este estudio es informativo y técnico. No constituye asesoría legal, ni es elaborado por un abogado. Los porcentajes corresponden a la muestra preliminar de 50 dominios analizados entre el 19 de mayo y el 1 de junio de 2026 — no constituyen conclusión estadística sobre el ecosistema chileno completo. Las referencias a artículos de la Ley 21.719 son orientativas; la aplicación específica a un caso requiere análisis profesional individualizado. AGLAYA ofrece un diagnóstico técnico preliminar de la superficie pública de tu web; no certifica cumplimiento integral ni sustituye revisión jurídica. Datos publicados bajo licencia Creative Commons BY 4.0. Próxima actualización del estudio: cuando la muestra supere los 50 audits.