En corto: una pyme debe revisar cuatro frentes en su web: formularios de captación, analítica y píxeles de seguimiento, pasarelas de pago con datos de clientes, y plugins de terceros. La Ley 21.719 no discrimina por tamaño: si recoges un dato personal, te aplica. El punto de partida es un diagnóstico técnico que muestre qué captura tu sitio hoy.

Para una pyme chilena, el canal digital es el motor de ventas, captación y atención. Pero la infraestructura técnica sobre la que opera está a punto de enfrentar una exigencia regulatoria sin precedentes. La Ley 21.719 introduce obligaciones concretas sobre cómo se captura, procesa y almacena la información de los usuarios. El impacto de la Ley 21.719 en pymes no depende del volumen de facturación: cualquier entidad que recopile un dato personal a través de una plataforma digital entra en el radio de supervisión.

No es un riesgo teórico. Según el estudio de AGLAYA sobre 50 webs chilenas auditadas entre el 19 de mayo y el 1 de junio de 2026, el 96% falla al menos uno de los siete controles básicos de la capa pública, y el 78% (39 de 50) no tiene una política de privacidad accesible desde su página de inicio.

El nuevo escenario técnico para las pymes chilenas

La conversación sobre pymes y protección de datos en Chile solía centrarse solo en la seguridad de los servidores frente a ataques externos. La Ley 21.719 desplaza el eje hacia la gobernanza de los datos de los usuarios: ya no se trata solo de que la información no sea robada, sino de su trato legítimo y transparente desde el primer segundo de interacción.

La creación de la Agencia de Protección de Datos Personales cambia el terreno de juego. Bajo el principio de responsabilidad proactiva, las organizaciones deben poder demostrar técnicamente qué datos guardan, bajo qué consentimiento los obtuvieron y con qué herramientas los procesan. Muchas herramientas estándar se configuran por defecto para recopilar más información de la necesaria, abriendo flancos que requieren atención temprana.

Checklist preliminar: puntos críticos que revisar en tu sitio web

Una auditoría web para pyme en Chile empieza por identificar los canales de entrada y salida de datos. Este checklist Ley 21.719 para pymes se enfoca en cuatro pilares técnicos:

Formularios de captación Sin casillas pre-marcadas · minimización de datos · finalidad clara Analítica y píxeles de seguimiento ¿Se activan antes del consentimiento? · bloqueo previo de scripts Pasarelas de pago y datos de clientes Accesos internos · plazo de retención de transacciones Plugins y módulos de terceros Flujos invisibles que envían datos fuera de Chile
Los cuatro frentes técnicos que toda pyme debería inventariar antes del 1 de diciembre.

Formularios de contacto y captación de clientes

Los formularios son la vía de entrada de datos más común (cotizaciones, suscripciones, registros). Conviene revisar:

  • Que no existan casillas pre-marcadas para aceptar políticas de privacidad.
  • Que los textos adjuntos detallen con claridad quién almacena los datos y con qué finalidad.
  • Que se recoja estrictamente lo necesario para responder la solicitud (minimización).

Sistemas de analítica y píxeles de seguimiento

Casi todos los sitios usan herramientas externas (Google Analytics, píxel de Meta) que instalan cookies y rastreadores. Hay que evaluar:

  • Si el sitio activa esas herramientas antes de que el usuario dé su consentimiento explícito.
  • Dónde se configuran los bloqueos automáticos de scripts mientras no haya una acción afirmativa del usuario.

Pasarelas de pago y datos de facturación

Aunque la mayoría delega el cobro en integraciones externas (Webpay, Mercado Pago, Flow), la ficha del cliente, las direcciones de despacho y el historial de compra quedan en tu base de datos. Es prioritario inspeccionar:

  • Los niveles de acceso del personal interno a esas bases de datos.
  • El tiempo de retención de los datos de transacciones una vez concluido el ciclo comercial.

Plataformas de e-commerce y plugins de terceros

Los sitios sobre WordPress (WooCommerce), Shopify o PrestaShop dependen de módulos de terceros (chatbots, pop-ups, envíos). Muchos envían datos de forma invisible a servidores fuera de Chile. Identificar y documentar esos flujos invisibles es una de las tareas más necesarias para la adecuación web de la pyme.

La diferencia entre el análisis de código y la asesoría legal

Conviene trazar una línea estricta entre diagnóstico tecnológico y asesoría jurídica. Un escaneo técnico automatizado es una herramienta de inspección de software: detecta scripts activos, cookies sin declarar, formularios desprotegidos y flujos de transferencia a terceros. Entrega datos objetivos de lo que ocurre detrás de la pantalla.

Un reporte técnico automatizado no es un dictamen jurídico, no promete cumplimiento ni certifica tu plataforma. Es el mapa de fallas de ingeniería que da base —y abarata— el posterior trabajo legal.

Hacia un plan de adecuación web para la pyme

La ventaja de las pymes es su agilidad, pero modificar bases de datos o rediseñar el carrito no ocurre de la noche a la mañana. Un plan estructurado de cara al 1 de diciembre contempla tres etapas:

  1. Visibilidad: ejecutar un diagnóstico automatizado para detectar qué captura el sitio hoy sin conocimiento explícito de la administración.
  2. Priorización: clasificar los hallazgos por exposición técnica (corregir primero los formularios públicos antes que las bases históricas internas).
  3. Implementación y enlace legal: modificar el código, desactivar scripts innecesarios y entregar el mapa técnico a la asesoría legal para los textos finales.

Si quieres que ese trabajo lo ejecutemos por ti, el Plan de Adecuación de AGLAYA instala el banner de consentimiento, redacta la política adaptada y corrige tus formularios, con un documento de cierre técnico para tu abogado.

Infografía del motor de AGLAYA: consenso de 5 escaneos sobre la capa pública del sitio, con evidencia trazable y sin intervención de IA en la auditoría.
El motor de AGLAYA: 5 escaneos de consenso sobre la capa pública, sin intervención de IA en la auditoría.

Conclusión

Para las pymes, el período que concluye el 1 de diciembre de 2026 exige pasar de la recolección masiva e informal de datos a una gestión controlada, documentada y técnica. El punto de partida más eficiente es levantar un inventario real de lo que el código de tu sitio ejecuta hoy: un diagnóstico técnico preliminar riguroso da la claridad para que fundadores, desarrolladores y asesores legales coordinen pasos lógicos sobre pilares transparentes.

Preguntas frecuentes

¿La Ley 21.719 aplica a las pymes?

Sí. No discrimina por facturación: cualquier sitio que recopile un nombre, un correo electrónico o un teléfono a través de una plataforma digital entra en el radio de supervisión de la ley.

¿Qué debe revisar una pyme en su web antes del 1 de diciembre?

Cuatro frentes técnicos: los formularios de captación, los sistemas de analítica y píxeles de seguimiento, las pasarelas de pago y los datos de clientes, y los plugins o módulos de terceros que envían datos fuera de Chile.

¿Por dónde empieza la adecuación a la Ley 21.719?

Por la visibilidad: un diagnóstico técnico que muestre qué está capturando el sitio hoy, antes de redactar políticas o contratar asesoría legal. Primero saber qué hay, luego decidir qué cambiar.

¿Un escaneo automatizado reemplaza a la asesoría legal?

No. El escaneo es una inspección de software que entrega un mapa técnico de hallazgos; la interpretación jurídica, la base de licitud y la redacción de las políticas son trabajo de un abogado especializado.

Diagnóstico técnico gratuito de tu web

AGLAYA analiza la superficie pública de tu sitio en cinco pasadas de consenso y te entrega por correo un informe con hallazgos priorizados, evidencia técnica trazable y una acción recomendada por hallazgo. Sin tarjeta, sin instalar nada.

Escanear mi web · Gratis Ver el Plan de Adecuación
Nota sobre el alcance de este artículo

Este artículo tiene carácter informativo y orientativo. No constituye asesoría legal ni está elaborado por un abogado. El diagnóstico técnico de AGLAYA es un análisis preliminar y automatizado de la capa pública de un sitio: no presta asesoría jurídica, no promete cumplimiento ni emite certificaciones. Para determinar las obligaciones específicas de tu organización frente a la Ley 21.719, consulta con un abogado especializado en protección de datos personales.