Delegado de Protección de Datos (DPO): ¿está obligada tu empresa a designar uno?

Una de las figuras estelares de la Ley 21.719 de Protección de Datos Personales es el Delegado de Protección de Datos (DPO). La pregunta inmediata de cualquier gerente, abogado interno o comité de cumplimiento es la misma: "¿estamos obligados a designar uno?". La respuesta depende del tipo de organización, del volumen y la sensibilidad de los datos, y de las actividades de tratamiento que se realizan. Esta guía resuelve ese diagnóstico, describe las funciones del DPO bajo la ley chilena, define el perfil idóneo y compara los modelos de DPO interno, externo y compartido entre filiales.

📌 Qué es el Delegado de Protección de Datos

El DPO es la persona encargada de supervisar el cumplimiento de la normativa de protección de datos dentro de una organización. Es el puente formal entre la empresa, los titulares de datos y la Agencia de Protección de Datos Personales (APDP). No es un mero compliance officer reciclado: la ley le asigna funciones específicas, garantías de independencia y un canal directo con la autoridad.

La figura está inspirada en el Data Protection Officer del GDPR europeo, pero la Ley 21.719 introduce particularidades para el contexto chileno (relación con organismos públicos, integración con el sistema de prevención de delitos de la Ley 20.393, compatibilidad con otras funciones de cumplimiento).

🔍 ¿Cuándo es obligatorio designar un DPO?

La Ley 21.719 distingue dos universos.

Sector público

Todos los organismos de la Administración del Estado —incluyendo ministerios, servicios, municipalidades, empresas públicas creadas por ley y organismos autónomos— deben designar un DPO sin excepción. El nombramiento se notifica formalmente a la APDP y se publica en el sitio web institucional.

Sector privado

Las empresas privadas están obligadas a designar DPO cuando se cumple alguno de los siguientes supuestos:

1. Tratamiento masivo de datos personales como actividad principal: bancos, retail, telcos, salud, isapres, AFP, plataformas digitales, e-commerce de gran escala.
2. Tratamiento sistemático de datos sensibles o de datos relativos a condenas e infracciones.
3. Monitoreo sistemático del comportamiento de titulares: geolocalización masiva, perfilamiento publicitario, scoring crediticio, video-vigilancia extensiva.
4. Empresas que sean responsables de bancos de datos calificados como de alto riesgo por la APDP.
5. Encargados del tratamiento que prestan servicios de gran escala a múltiples responsables (data centers, plataformas SaaS, BPO).

Aun cuando ninguna de estas hipótesis aplique, designar un DPO voluntariamente funciona como atenuante de responsabilidad y como señal de madurez ante clientes corporativos. En la práctica, cualquier empresa con más de 200 trabajadores, base de clientes superior a unas decenas de miles o tratamiento de datos sensibles debería evaluarlo seriamente.

🧰 Funciones del DPO según la Ley 21.719

La ley fija un núcleo mínimo de funciones que el DPO debe ejercer:

1. Asesorar e informar a la organización y a sus trabajadores sobre las obligaciones legales en materia de datos personales.
2. Supervisar el cumplimiento de la Ley 21.719, sus reglamentos y las políticas internas.
3. Conducir o coordinar las Evaluaciones de Impacto en Protección de Datos (EIPD) y dar su opinión cuando se le requiera.
4. Ser punto de contacto con la APDP y cooperar con ella en investigaciones y fiscalizaciones.
5. Atender consultas de los titulares sobre el tratamiento de sus datos y el ejercicio de derechos ARCO.
6. Coordinar la respuesta ante brechas de seguridad y la notificación correspondiente a la APDP y, cuando proceda, a los titulares.
7. Reportar al máximo órgano de gobierno (directorio o equivalente) sobre el estado de cumplimiento.
8. Promover la cultura de protección de datos mediante capacitación, comunicaciones y revisión de procesos.

Estas funciones no son exhaustivas: el reglamento de la APDP y las políticas internas pueden ampliarlas, pero no reducirlas.

👤 Perfil profesional adecuado

La Ley 21.719 no exige un título específico, pero sí conocimientos especializados en derecho de protección de datos y en práctica de cumplimiento. Un DPO solvente combina:

• Formación legal: comprensión profunda de la Ley 21.719, normativa sectorial (financiera, de salud, laboral) y, deseable, GDPR para tratar con casa matriz o clientes europeos.
• Conocimiento técnico: arquitectura de datos, ciberseguridad, sistemas de gestión, controles ISO 27001.
• Habilidad de gestión: capacidad de coordinar áreas (legal, TI, RRHH, comercial) y reportar al directorio.
• Independencia y carácter: capacidad para señalar incumplimientos sin temor a represalias.

Las certificaciones más reconocidas en el mercado son CIPP/E, CIPM y CIPT de la IAPP, complementadas con cursos de Ley 21.719 que ya están emergiendo en universidades chilenas.

🏛️ Garantías de independencia

La ley establece tres garantías mínimas para que el DPO pueda hacer su trabajo:

1. Acceso directo al máximo órgano de administración (directorio o equivalente). Reportes periódicos, sin filtros intermedios.
2. No recibir instrucciones sobre el ejercicio de sus funciones.
3. No ser removido ni sancionado por desempeñarlas, salvo causales graves debidamente acreditadas.

Estas garantías son la línea roja que separa a un DPO real de un nombramiento decorativo. Una empresa que pone como DPO a alguien que reporta jerárquicamente al gerente comercial y depende de él para su evaluación de desempeño está exponiéndose a observaciones de la APDP por falta de independencia funcional.

⚠️ Conflictos de interés

El DPO no puede ocupar simultáneamente posiciones que decidan finalidades del tratamiento, tales como:

• Gerente general (en organizaciones medianas y grandes).
• Gerente comercial o de marketing.
• Gerente de TI.
• Gerente de recursos humanos.

Sí es compatible con roles de cumplimiento, auditoría interna, riesgos o legal, siempre que se separen funciones decisorias. La compatibilidad con el Encargado de Prevención de Delitos de la Ley 20.393 está expresamente permitida y suele ser la opción más eficiente para empresas medianas.

🏗️ Modelos de implementación

DPO interno

Empleado de la empresa, dedicado exclusiva o parcialmente. Recomendado para organizaciones grandes (más de 1.000 trabajadores) o con tratamiento sensible.

Ventajas: conocimiento profundo del negocio, disponibilidad inmediata, cultura interna. Riesgos: costo de remuneración alto, captura cultural, dificultad para mantener independencia.

DPO externo

Profesional independiente o estudio jurídico/consultora contratada por servicios. Recomendado para empresas medianas.

Ventajas: especialización, costo variable, independencia natural, experiencia transversal de varios clientes. Riesgos: menor conocimiento del negocio, disponibilidad limitada, rotación.

DPO compartido en grupo empresarial

Un solo DPO para varias filiales del mismo grupo, siempre que sea fácilmente accesible desde cada una. Permitido por la ley con condiciones.

Ventajas: economías de escala, visión integrada del grupo. Riesgos: dispersión, conflictos entre filiales, escalamiento por sobrecarga.

📝 Cómo formalizar la designación

1. Acuerdo del directorio o gerencia general que designa al DPO con funciones, dependencia jerárquica y recursos asignados.
2. Comunicación interna a todos los trabajadores y publicación en el sitio web.
3. Inscripción ante la APDP con identificación, contacto y dependencia.
4. Registro en los avisos de privacidad y políticas públicas.
5. Plan anual de trabajo con objetivos medibles y reporte trimestral al directorio.
6. Presupuesto operativo para capacitación, herramientas y asesoría externa cuando se requiera.

📊 Indicadores típicos de un DPO maduro

• % de áreas con inventario de tratamientos actualizado.
• Solicitudes ARCO atendidas dentro del plazo legal.
• Tiempo medio de notificación de brechas.
• % de proveedores con contrato de encarguía firmado.
• % de personal capacitado en el último año.
• Hallazgos abiertos por más de 90 días.
• Incidentes detectados y cerrados.

💡 Recomendaciones para arrancar

1. Diagnostica primero, contrata después: define el alcance real antes de elegir modelo.
2. No cargues al gerente legal con un DPO encubierto: el rol exige tiempo dedicado, capacitación específica y dependencia distinta.
3. Integra el DPO con tu programa de seguridad de la información: si vas hacia ISO 27001, el DPO debe coordinarse con el oficial de seguridad.
4. Documenta la independencia: reglamento interno, contrato y reporte directo al directorio.
5. Mide y reporta: el DPO que no genera reportes trimestrales al directorio probablemente no está ejerciendo el rol como exige la ley.

📌 Conclusión

El Delegado de Protección de Datos es la pieza institucional que la Ley 21.719 coloca en el centro del modelo de cumplimiento. Para algunos será obligatorio; para muchos será una decisión estratégica. En ambos casos, el costo de un DPO solvente es marginal frente al ahorro en multas, en demandas civiles y en pérdida de contratos B2B que su trabajo puede evitar.

Designarlo bien —con funciones claras, independencia real y respaldo del directorio— es la diferencia entre tener una figura de papel y construir un activo real de cumplimiento que resista la primera fiscalización de la APDP.

---

🚀 ¿Necesitas evaluar si tu empresa requiere DPO y cómo implementarlo?

En FideliNorm acompañamos a empresas chilenas en el diagnóstico de obligación, la definición del modelo (interno, externo o compartido) y la implementación operativa del DPO bajo la Ley 21.719. Si quieres llegar a 2026 con la figura instalada y funcionando, conversemos.