El Delegado de Protección de Datos bajo la Ley 21.719: obligaciones, designación y buenas prácticas
El artículo 13 de la Ley 21.719 establece la figura del Delegado de Protección de Datos (DPD) — el equivalente chileno del DPO europeo y del Encarregado de la LGPD brasileña. Con la Agencia de Protección de Datos Personales (APDP) comenzando a operar el 1 de diciembre de 2026, la designación del DPD deja de ser una decisión opcional para convertirse en un requisito con consecuencias regulatorias concretas.
La experiencia comparada es clara: en Brasil, la ausencia de encarregado designado y con canal de comunicación funcional fue el error más frecuentemente sancionado en los primeros procesos de la autoridad regulatoria. Chile puede aprender de ese patrón.
¿Quiénes deben designar un DPD bajo la Ley 21.719?
La Ley 21.719 establece la obligación de designar DPD para:
1. Todos los organismos del sector público Ministerios, servicios públicos, municipalidades, instituciones autónomas, empresas del Estado — sin excepción de tamaño o tipo de dato tratado.
2. Empresas privadas cuya actividad principal implique:
- Tratamiento masivo de datos sensibles (salud, biometría, origen racial, religión, orientación sexual, etc.)
- Monitoreo sistemático de titulares a gran escala (perfilamiento, seguimiento de comportamiento online)
Para los demás responsables, la designación de DPD es voluntaria — pero altamente recomendable como señal de buenas prácticas y como factor atenuante ante la APDP.
Atención: la Ley 21.719 define la obligación; la APDP puede emitir orientaciones complementarias sobre los umbrales de "masivo" y "sistemático". Organizaciones en la zona gris deben asumir el criterio más conservador hasta que exista regulación secundaria.
Designación formal: cómo nombrar al DPD
La designación del DPD debe ser un acto formal y documentado. En la práctica:
- Organismos públicos: resolución o decreto administrativo, firmado por la autoridad máxima, publicado en el sitio web institucional
- Empresas privadas: acto escrito de nombramiento firmado por el representante legal, con copia al expediente de gobernanza
- DPD externo o persona jurídica: contrato de prestación de servicios con cláusula específica que identifique al responsable del encargo
El acto de designación debe especificar:
- Nombre completo del DPD (persona natural) o razón social y responsable designado (persona jurídica)
- Actividades y atribuciones asignadas
- Fecha de inicio
- Recursos y acceso disponibles para ejercer la función
Para organizaciones con DPD "informal"
Si el DPD ya actuaba sin formalización, regularice la situación con el acto escrito y publique la información en el sitio web. La Ley 21.719 entra en vigor en diciembre de 2026 — el tiempo de preparación es el momento correcto para ordenar esto, no cuando llegue la primera fiscalización.
Persona jurídica como DPD: el modelo de DPD as a Service
La Ley 21.719 permite que una persona jurídica actúe como DPD. Esto formaliza el modelo de DPD as a Service — empresas especializadas que prestan el servicio de delegado para múltiples clientes.
Cómo funciona
| Aspecto | DPD interno (persona natural) | DPD externo (persona jurídica) |
|---|---|---|
| Vínculo | Empleado o designado interno | Contrato de prestación de servicios |
| Costo | Sueldo + beneficios | Fee mensual/anual |
| Dedicación | Completa o parcial | Según contrato |
| Experiencia | Depende del perfil contratado | Equipo especializado |
| Publicación en sitio web | Nombre de la persona natural | Razón social + responsable designado |
Cuándo el DPD as a Service tiene sentido
- Organizaciones de pequeño y mediano tamaño que no tienen presupuesto para DPD dedicado
- Organizaciones que necesitan experiencia especializada (salud, finanzas, sector público)
- Fase inicial de adecuación — el DPD externo estructura el programa y puede transferirlo luego a un rol interno
Conflicto de interés: qué define la Ley 21.719
El DPD debe actuar con independencia funcional. La Ley 21.719 exige que no tenga conflictos de interés en el ejercicio de sus atribuciones — esto es particularmente relevante cuando el DPD acumula otras funciones en la organización.
Situaciones que configuran conflicto
| Cargo o función adicional | ¿Conflicto? | Por qué |
|---|---|---|
| Director o Gerente de TI | Sí | Decide sobre sistemas que tratan datos |
| Director o Gerente Jurídico | Sí | Decide sobre bases legales y contratos |
| Gerente de RRHH | Sí | Decide sobre tratamiento de datos de empleados |
| Gerente de Marketing | Sí | Decide sobre uso de datos para fines comerciales |
| Analista de TI | No (en general) | Ejecuta, no decide |
| Auditor interno | No (en general) | Función de verificación |
Consecuencias del conflicto
Un DPD en situación de conflicto de interés no puede ejercer sus atribuciones con la independencia que exige la ley. Esto es un riesgo regulatorio directo: si la APDP detecta que el DPD carece de independencia real, puede considerarlo como incumplimiento de la obligación de designación.
Acumulación de funciones: permitida, con condiciones
La Ley 21.719 permite que el DPD acumule otras funciones dentro de la organización. Las condiciones son:
- Que el acúmulo no genere conflicto de interés (según lo definido arriba)
- Que el DPD tenga condiciones efectivas para ejercer sus atribuciones — no basta nominar a alguien sobrecargado que no tendrá tiempo
En la práctica, esto valida lo que muchas organizaciones ya hacen: designar a un profesional de compliance, jurídico o TI como DPD en acumulación. El riesgo está en nombrar a alguien cuya función principal conflictúe con la supervisión independiente de protección de datos.
Atribuciones del DPD
La Ley 21.719 establece las atribuciones centrales del DPD:
Atribuciones obligatorias
- Asesorar al responsable sobre la correcta aplicación de la Ley 21.719 y su normativa complementaria
- Supervisar el cumplimiento de las obligaciones de protección de datos en la organización
- Actuar como punto de contacto con la APDP para todas las comunicaciones regulatorias
- Coordinar la atención a solicitudes de los titulares (acceso, rectificación, supresión, oposición, portabilidad)
- Participar en la elaboración de Evaluaciones de Impacto en la Protección de Datos (EIPD)
Atribuciones complementarias en la práctica
Además de las obligatorias, el DPD debe asesorar y coordinar en:
- Documentación y comunicación de incidentes de seguridad a la APDP (72 horas)
- Elaboración y actualización del Registro de Actividades de Tratamiento (RAT)
- Implementación de medidas de seguridad proporcionales al riesgo
- Evaluación de transferencias internacionales de datos
- Desarrollo de políticas de gobernanza en privacidad
- Capacitación del personal que trata datos personales
La palabra clave es "asesorar y coordinar" — la responsabilidad por el cumplimiento es del responsable del tratamiento, no del DPD.
Calificación: sin certificación obligatoria, pero con criterios
La Ley 21.719 no exige titulación académica específica ni certificación profesional para ejercer como DPD. Sin embargo, el responsable debe asegurarse de que el DPD cuente con conocimientos especializados en protección de datos proporcionales al volumen y sensibilidad de los datos tratados.
Lo que el mercado valora
Aunque no haya certificación obligatoria, el mercado chileno de DPD en 2026 valorará:
- Conocimiento jurídico de la Ley 21.719 y regulación de la APDP
- Experiencia en compliance, auditoría o seguridad de la información
- Conocimiento sectorial (salud, financiero, público — cada sector tiene regulación específica)
- Certificaciones internacionales (EXIN DPO, IAPP CIPP/E, CDPO) — como diferencial, no como requisito
Comunicación en castellano
El DPD debe ser capaz de comunicarse de forma clara y precisa en castellano con los titulares de datos y con la APDP. Para organizaciones multinacionales con DPD global, puede ser necesario designar un DPD local o un representante que cumpla este requisito.
Publicación en el sitio web: obligación de visibilidad
La identidad y la información de contacto del DPD deben publicarse en el sitio web del responsable, en lugar visible y de fácil acceso.
Qué debe publicarse
| Tipo de DPD | Información obligatoria |
|---|---|
| Persona natural | Nombre o identificación + correo electrónico funcional |
| Persona jurídica | Razón social + nombre del responsable designado + correo electrónico funcional |
Dónde publicar
- En el sitio institucional (pie de página, página de privacidad, sección de cumplimiento)
- En la política de privacidad
- En los avisos de privacidad sectoriales donde corresponda
Aprendizaje de la experiencia brasileña: en diciembre de 2024, la ANPD notificó simultáneamente a 20 grandes empresas — incluyendo TikTok, Uber, Vivo y Serasa — por ausencia de encarregado publicado o canal ineficaz. No basta nominar internamente: la publicación es la condición mínima de cumplimiento visible.
Responsabilidad: del responsable, no del DPD
Uno de los puntos más importantes de la función: la Ley 21.719 establece que el responsable del tratamiento es el único obligado ante la APDP por el cumplimiento legal. El DPD orienta, recomienda y supervisa — pero la decisión final es del responsable.
Esto significa que:
- La APDP no puede sancionar al DPD personalmente por faltas del responsable
- Si el responsable ignora las recomendaciones del DPD, la responsabilidad es del responsable
- Esta disposición protege al DPD y fortalece su independencia funcional
Dispensa de designación: pequeñas organizaciones
La Ley 21.719 reconoce que las obligaciones deben ser proporcionales al tamaño y al riesgo. Organizaciones que no realizan tratamiento masivo de datos sensibles ni monitoreo sistemático no están obligadas a designar un DPD formal.
Sin embargo, incluso cuando no hay obligación de designar DPD:
- Deben mantener un canal de comunicación para los titulares
- Deben atender solicitudes de derechos en los plazos establecidos
- Deben cumplir todas las demás obligaciones de la Ley 21.719
La dispensa es de la designación formal del DPD, no de las obligaciones de cumplimiento.
Comparación: DPD chileno vs. DPO del GDPR
| Aspecto | Ley 21.719 (Chile) | GDPR (Art. 37-39, UE) |
|---|---|---|
| Obligatoriedad | Sector público (todos) + privado con tratamiento masivo de datos sensibles o monitoreo sistemático | Autoridades públicas, monitoreo a gran escala, datos sensibles a gran escala |
| Persona jurídica | Permitida | Permitida |
| Certificación | No obligatoria | No obligatoria |
| Conflicto de interés | Regulado (independencia funcional) | Regulado (Art. 38, §6) |
| Responsabilidad | Del responsable del tratamiento | Del responsable del tratamiento |
| Publicidad | Nombre/identificación + correo en sitio web | Nombre/identificación + comunicación a la autoridad |
| Acumulación de funciones | Permitida, sin conflicto de interés | Permitida, sin conflicto de interés |
Checklist: ¿su organización cumple con las exigencias del DPD?
Designación
- ¿Es su organización del sector público o realiza tratamiento masivo de datos sensibles/monitoreo sistemático?
- Si es obligatorio: ¿DPD designado formalmente por acto escrito?
- ¿El acto especifica atribuciones, recursos y fecha de inicio?
- Si es persona jurídica: ¿contrato con cláusula específica?
Publicación
- ¿Nombre/identificación y correo del DPD publicados en el sitio web?
- ¿La información está en lugar visible y de fácil acceso?
- ¿El correo publicado está operativo y es revisado regularmente?
Independencia y autonomía
- ¿Evaluación de conflicto de interés realizada y documentada?
- ¿El DPD no acumula función que involucre decisiones estratégicas sobre tratamiento de datos?
- ¿El DPD tiene recursos y tiempo adecuados para ejercer la función?
- ¿El DPD tiene acceso directo a la alta dirección?
Atribuciones
- ¿Canal de comunicación con los titulares operativo?
- ¿Proceso para recibir comunicaciones de la APDP definido?
- ¿Programa de orientación y capacitación de colaboradores estructurado?
- ¿Participación del DPD en procesos de EIPD, incidentes y gobernanza?
Calificación
- ¿Calificaciones del DPD compatibles con el contexto, volumen y riesgo de los tratamientos?
- ¿El DPD se comunica en castellano con titulares y APDP?
Conclusión
El DPD bajo la Ley 21.719 no es una figura decorativa — es el eje del programa de cumplimiento de la organización. La Ley establece obligaciones concretas de designación, independencia funcional y atribuciones que las organizaciones deben cumplir antes del 1 de diciembre de 2026.
La buena noticia es que la Ley ofrece flexibilidad: DPD interno o externo, persona natural o jurídica, acumulación de funciones permitida — para que cada organización encuentre el modelo que corresponda a su realidad. Lo que no es flexible es la obligación de publicar la información de contacto y de asegurar que el canal funcione de verdad.
Confidata ofrece gestión centralizada de la función del delegado: canal del titular con SLA automatizado, panel de solicitudes y plazos, registro de incidentes, gestión de EIPD y documentación de evidencias — las herramientas que el DPD necesita para cumplir sus atribuciones con eficiencia.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.