DPO y Carrera10 min de lectura

El DPD y la APDP: obligaciones de comunicación, registro y representación

Equipo Confidata·
Compartir

La relación entre el Delegado de Protección de Datos (DPD) y la Agencia de Protección de Datos Personales (APDP) es uno de los aspectos más prácticos y menos discutidos de la función de delegado. Saber exactamente qué exige la ley — y qué no exige — evita tanto la omisión como la preocupación excesiva por obligaciones que no existen.

Esta guía organiza las obligaciones del DPD en relación con la APDP: qué divulgar, cuándo comunicar, cómo responder a investigaciones y qué cambia para organizaciones de menor tamaño.

La base legal: Ley N° 21.719

La Ley N° 21.719 de Protección de Datos Personales de Chile, publicada el 13 de diciembre de 2024 y con plena vigencia desde diciembre de 2026, establece el rol del Delegado de Protección de Datos (DPD) como canal formal de comunicación entre el responsable del tratamiento, los titulares de datos y la APDP.

Las atribuciones del DPD incluyen:

  • Actuar como punto de contacto ante la APDP
  • Recibir y gestionar las solicitudes de ejercicio de derechos de los titulares
  • Orientar a los colaboradores y contratados sobre las prácticas de protección de datos
  • Coordinar la respuesta ante incidentes de seguridad
  • Supervisar el cumplimiento de la Ley 21.719 dentro de la organización

El DPD puede ser una persona natural o jurídica, interna o externa a la organización. Para organismos públicos, debe ser preferentemente un funcionario o empleado público.

Obligación 1: Divulgar públicamente el DPD

La Ley 21.719 determina que el DPD actúe como canal de comunicación. Esto implica que los titulares y la APDP deben poder contactar al DPD — lo que presupone que la identidad y los datos de contacto del DPD sean públicos y accesibles.

Cómo divulgar el DPD

Las buenas prácticas consolidadas en el mercado incluyen:

  • Aviso/política de privacidad: mencionar el nombre del DPD (o de la empresa que presta el servicio de DPD-as-a-Service), cargo y correo electrónico de contacto
  • Sitio web de la organización: página específica de privacidad o pie de página con enlace al contacto del DPD
  • Correo electrónico dedicado: dirección del tipo privacidad@empresa.cl o dpd@empresa.cl
  • Canal de atención a titulares: accesible y monitoreado permanentemente

La APDP no mantiene un registro centralizado de DPDs similar al del GDPR europeo (que exige notificar los datos del DPD a la autoridad supervisora, Art. 37, §7°). En Chile, no existe este registro formal obligatorio. Sin embargo, la Ley 21.719 exige que el acto de designación sea formal, por escrito, fechado y firmado, y que esté disponible para ser presentado ante la APDP en cualquier proceso de fiscalización.

Para personas jurídicas actuando como DPD

Cuando una empresa actúa como DPD-as-a-Service, la divulgación pública debe incluir los datos de contacto de la empresa prestadora del servicio — el titular y la APDP necesitan acceso a un canal funcional, independientemente del modelo de ejercicio de la función.

Obligación 2: Notificar incidentes de seguridad a la APDP

La comunicación de incidentes de seguridad a la APDP es una de las obligaciones más urgentes y operacionalmente exigentes del programa de conformidad — y el DPD es el responsable central de este proceso.

El régimen legal: Ley 21.719

La Ley 21.719 establece la obligación de comunicar a la APDP — y a los titulares afectados — cualquier violación de seguridad que genere un riesgo razonable a los derechos de los titulares.

Notificación a la APDP: debe realizarse dentro de las 72 horas contadas desde el momento en que el responsable tome conocimiento de que el incidente afectó datos personales. Este plazo está establecido expresamente en la Ley 21.719.

Notificación provisional: si no es posible obtener toda la información en ese plazo, se puede realizar una notificación inicial con los antecedentes disponibles y complementarla posteriormente.

Notificación a los titulares afectados: simultánea a la notificación a la APDP, cuando sea posible identificar individualmente a los afectados. Si la notificación individual no es posible, la Ley 21.719 permite la publicación del aviso en medios de comunicación de alcance nacional.

Contenido obligatorio de la notificación:

  • Naturaleza del incidente
  • Categorías y volumen de datos afectados
  • Posibles consecuencias de la vulneración
  • Medidas adoptadas o en curso
  • Datos de contacto del DPD

El papel del DPD en el proceso de notificación

  1. Ser notificado internamente primero: el DPD debe ser comunicado sobre cualquier incidente de seguridad con potencial compromiso de datos personales. El plan de respuesta a incidentes debe prever al DPD como destinatario obligatorio de la notificación interna.

  2. Evaluar el incidente: el DPD evalúa si el incidente cumple el criterio de "riesgo razonable" que activa la obligación de notificación a la APDP.

  3. Coordinar la notificación: el DPD coordina la preparación de la notificación, involucrando a TI, Jurídico y demás áreas relevantes.

  4. Mantener el canal con la APDP: durante la investigación del incidente, la APDP puede solicitar información adicional. El DPD es el punto de contacto para estas requisiciones.

Cómo realizar la notificación a la APDP

La APDP habilitará un sistema electrónico (portal oficial) para el registro de incidentes antes de iniciar operaciones en diciembre de 2026. El DPD debe:

  • Estar familiarizado con ese sistema desde su activación
  • Tener preparados los datos de contacto del responsable y del DPD en el portal
  • No esperar que ocurra un incidente para acceder por primera vez al sistema

Obligación 3: Responder a investigaciones y requerimientos de la APDP

La APDP conducirá procedimientos de fiscalización, que pueden ser iniciados por denuncias de titulares, investigaciones temáticas o fiscalización de oficio. En cualquiera de estos escenarios, el DPD es el canal formal de comunicación.

Qué puede llegar al DPD

  • Notificaciones de inicio de proceso administrativo: la APDP informa al responsable sobre el inicio de un proceso y solicita documentos e información
  • Requerimientos de información: solicitudes específicas de datos, documentos, políticas y registros de tratamiento
  • Convocatorias a audiencias o reuniones: el DPD puede ser convocado para prestar aclaraciones personalmente o por videoconferencia
  • Determinaciones de medidas correctivas: órdenes para adoptar providencias específicas dentro de un plazo

Cómo debe responder el DPD

1. No ignorar — jamás. Los requerimientos de la APDP que no reciben respuesta agravan la situación regulatoria y pueden resultar en sanción adicional.

2. Verificar los plazos de inmediato. Las notificaciones de la APDP tienen plazo para respuesta. El incumplimiento del plazo, aunque se ofrezca una justificación posterior, es evaluado negativamente.

3. Involucrar al área jurídica desde el inicio. El DPD es el canal de comunicación, no necesariamente el único responsable de la respuesta. En investigaciones formales, la participación de abogado especializado es altamente recomendable.

4. Documentar todo. Cada comunicación con la APDP debe ser registrada y archivada. El historial de comunicaciones y de las medidas adoptadas es evidencia de buena fe en un eventual proceso sancionatorio.

5. Ser transparente, pero estratégico. Responder de forma incompleta o evasiva es peor que entregar más información. Al mismo tiempo, no existe obligación de ofrecer voluntariamente información más allá de lo solicitado.

Obligación 4: Atender solicitudes de titulares

La Ley 21.719 establece que el DPD debe recibir y dar curso a las solicitudes de ejercicio de derechos de los titulares. El responsable del tratamiento dispone de un plazo de 30 días para responder las solicitudes, prorrogable por un período igual cuando la complejidad o el número de solicitudes lo justifique, comunicando al titular la extensión del plazo y los motivos.

En la práctica, el DPD generalmente no atiende a los titulares directamente — el servicio es prestado por un equipo de apoyo, y el DPD supervisa el proceso y resuelve casos complejos o escalados.

Lo que la APDP monitoreará es si el canal funciona y si los plazos se cumplen. Los titulares que no reciban respuesta tienen derecho a reclamar ante la APDP, lo que puede iniciar un proceso de fiscalización.

Qué cambia para pequeños responsables

La Ley 21.719 contempla simplificaciones para organizaciones de menor tamaño, incluyendo micro, pequeñas y medianas empresas que no realicen tratamientos de alto riesgo:

  • La propia dirección puede actuar como responsable de privacidad: el fundador o directivo principal puede ejercer las funciones del DPD en organizaciones más pequeñas
  • Obligaciones proporcionales al riesgo: las exigencias documentales son proporcionales al volumen y riesgo del tratamiento

Importante: las simplificaciones se refieren al modelo de ejercicio de la función — no a las obligaciones sustantivas. La notificación de incidentes a la APDP, la atención a titulares y la respuesta a requerimientos de la autoridad continúan siendo obligatorias para todos los responsables del tratamiento, independientemente del tamaño.

Cómo prepararse antes de necesitarlo

Checklist de preparación para interacciones con la APDP

  • ¿El DPD está identificado y con datos de contacto publicados en el aviso de privacidad y en el sitio web?
  • ¿El correo del DPD es monitoreado regularmente y tiene un tiempo de respuesta definido?
  • ¿El DPD conoce el portal de la APDP y el formulario de notificación de incidentes?
  • ¿El plan de respuesta a incidentes incluye al DPD como destinatario obligatorio de la notificación interna?
  • ¿Existe un abogado o estudio jurídico de referencia para ser contactado ante un proceso administrativo?
  • ¿El RAT, las EIPDs y los contratos de encargo de tratamiento están documentados y actualizados (evidencias para un eventual requerimiento)?
  • ¿El equipo de atención conoce el plazo de 30 días para respuesta a titulares?

Conclusión

La relación del DPD con la APDP es menos compleja de lo que parece — siempre que el DPD esté preparado antes de necesitar actuar. Divulgación pública correcta, proceso de notificación de incidentes documentado, canal de titulares funcionando y registros de conformidad organizados son los pilares que sustentan cualquier interacción con la autoridad.

El DPD que enfrenta una investigación de la APDP sin estos pilares en orden enfrenta dos problemas al mismo tiempo: el problema original (el incidente o la infracción) y el problema de la ausencia de evidencias de conformidad. El DPD que los tiene en orden puede demostrar buena fe — lo que es evaluado como circunstancia atenuante por la APDP.

Confidata centraliza los registros de conformidad que el DPD necesita para responder a requerimientos de la APDP: RAT, EIPDs, contratos de encargo de tratamiento, registros de incidentes y solicitudes de titulares — todos con trazabilidad de auditoría que demuestra cuándo cada documento fue creado, revisado y aprobado.

Compartir
#DPD#APDP#delegado de protección de datos#comunicación incidente#fiscalización#Ley 21.719

Artículos relacionados

Delegado de Protección de Datos en la Práctica: Cómo Designar y Estructurar el CargoDPO y Carrera · 13 minDPD interno vs. DPD externo (DPD-as-a-Service): ventajas, desventajas y cuándo usar cada modeloDPO y Carrera · 10 minDPD en Hospitales y Clínicas: Cómo Estructurar el Cargo en la PrácticaDPO y Carrera · 13 minEl Delegado de Protección de Datos bajo la Ley 21.719: obligaciones, designación y buenas prácticasGobernanza · 12 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista