DPD interno vs. DPD externo (DPD-as-a-Service): ventajas, desventajas y cuándo usar cada modelo
Una de las primeras decisiones prácticas que una organización debe tomar al implementar la Ley 21.719 es: ¿el Delegado de Protección de Datos (DPD) será interno o externo? La ley permite ambas modalidades — pero la decisión tiene consecuencias significativas en costo, eficacia y riesgo regulatorio.
Este artículo analiza los dos modelos con objetividad: qué permite la Ley 21.719, las ventajas y desventajas reales de cada enfoque, y los criterios para tomar la mejor decisión según su contexto.
Qué dice la Ley 21.719 sobre el DPD
La Ley N° 21.719 de Protección de Datos Personales de Chile establece que ciertos responsables del tratamiento deben designar un Delegado de Protección de Datos. La ley es explícita: el DPD puede ser una persona natural o jurídica, interna o externa a la organización — lo que autoriza expresamente la tercerización de la función.
La ley establece que el DPD actúa como canal de comunicación entre el responsable, los titulares y la APDP. Esto crea exigencias prácticas para cualquier modelo elegido:
- El DPD debe ser accesible para atender a los titulares
- El DPD debe ser el punto de contacto de la APDP en investigaciones y consultas
- La identidad y los datos de contacto del DPD deben ser divulgados públicamente
Las atribuciones del DPD incluyen: recibir solicitudes de los titulares, recibir comunicaciones de la APDP, orientar a los colaboradores sobre buenas prácticas y ejecutar las demás atribuciones determinadas por el responsable del tratamiento.
La designación debe realizarse por documento escrito, fechado y firmado, válido tanto para DPD interno como externo. La APDP puede solicitar ese documento en cualquier proceso de fiscalización.
Excepción para organismos públicos: Para entidades públicas (municipalidades, ministerios, servicios públicos), la Ley 21.719 establece que el DPD debe ser preferentemente un funcionario o empleado público — no puede ser tercerizado a una empresa externa.
Modelo 1: DPD interno
El DPD interno es un colaborador de la propia organización, generalmente en dedicación total o parcial a la función de delegado.
Ventajas
Conocimiento organizacional profundo Un DPD interno conoce los procesos, las personas, los sistemas y la cultura de la organización desde adentro. Esto facilita identificar riesgos reales, conducir el mapeo de datos e implementar cambios.
Disponibilidad y presencia Está físicamente presente, participando de reuniones, acompañando proyectos en tiempo real y respondiendo consultas con agilidad. La proximidad con las áreas de negocio facilita la implementación de las prácticas de privacidad.
Autoridad y credibilidad interna Un DPD que es colaborador de la empresa — especialmente con seniority — tiende a tener más facilidad para influir en decisiones internas y ser incluido en discusiones estratégicas.
Costo para grandes organizaciones En empresas con gran volumen de tratamientos, incidentes frecuentes y necesidad de presencia constante, el costo de un colaborador interno puede ser inferior al de un contrato de DPD-as-a-Service calibrado para ese nivel de demanda.
Desventajas
Riesgo de conflicto de intereses El DPD interno está subordinado jerárquicamente a la misma dirección que debe auditar y orientar. La Ley 21.719 exige autonomía técnica — pero los conflictos de interés pueden comprometer la efectividad de la función.
Costo para organizaciones más pequeñas Para empresas pequeñas o medianas con volumen moderado de tratamiento, contratar un profesional dedicado exclusivamente a la función de DPD puede no ser económicamente viable.
Disponibilidad de profesionales calificados El mercado chileno todavía carece de DPDs con formación sólida que combine derecho, TI y gestión de riesgos. Reclutar y retener a ese profesional es competitivo y costoso.
Dependencia de una persona específica Si el DPD interno sale de la empresa, la función queda descubierta — con riesgo de brecha regulatoria hasta la contratación e integración del sustituto.
Modelo 2: DPD externo (DPD-as-a-Service)
El DPD-as-a-Service es un modelo en que la función de delegado se terceriza a una empresa o profesional independiente especializado, mediante contrato de prestación de servicios.
Ventajas
Independencia y autonomía El DPD externo no tiene vínculo laboral con la organización, lo que reduce riesgos de conflicto de intereses. Su reputación profesional depende de dar pareceres correctos, no de complacer a la dirección.
Expertise especializado y actualizado Las empresas de DPD-as-a-Service actúan con múltiples clientes en diferentes sectores, lo que genera exposición constante a distintos escenarios, regulaciones y mejores prácticas. Un buen DPD externo conoce la normativa de la APDP, las tendencias regulatorias y los estándares internacionales de forma más actualizada que un DPD interno generalista.
Costo predecible y escalable El contrato de DPD-as-a-Service tiene costo mensual fijo, sin costos laborales, beneficios ni riesgos de rotación. Para organizaciones pequeñas y medianas, este modelo es generalmente más económico.
Cobertura de contingencia Una buena empresa de DPD-as-a-Service tiene equipo — no hay brecha cuando un profesional específico está ausente. El servicio incluye respaldo de especialistas.
Velocidad de implementación Un DPD externo especializado comienza a entregar valor de inmediato, sin curva de aprendizaje sobre la ley.
Desventajas
Menor conocimiento organizacional inicial El DPD externo comienza sin conocer los procesos, sistemas y personas de la organización. La curva de aprendizaje puede demorar meses en ser superada.
Atención dividida En modelos de DPD-as-a-Service con muchos clientes por profesional, el nivel de atención dedicada a la organización puede ser insuficiente — especialmente en períodos de crisis.
Dependencia del contrato La función de DPD queda vinculada al contrato. Una rescisión o cambio de proveedor puede generar inestabilidad en la continuidad del programa de conformidad.
Costo para grandes demandas Para organizaciones con altísimo volumen de solicitudes de titulares, incidentes frecuentes y necesidad de participación diaria en reuniones estratégicas, el modelo DPD-as-a-Service de bajo costo puede ser insuficiente — y un servicio calibrado para ese nivel puede costar más que un DPD interno.
Cuándo usar cada modelo: criterios de decisión
| Criterio | DPD Interno | DPD Externo |
|---|---|---|
| Tamaño de la organización | Grande (+500 colaboradores) | Pequeña a mediana |
| Volumen de tratamientos | Alto y complejo | Moderado |
| Sector regulado (salud, financiero) | Recomendado | Posible, con cuidado en la selección |
| Presupuesto disponible | Mayor | Menor |
| Urgencia de implementación | Más lento | Más rápido |
| Necesidad de presencia física constante | Sí | No |
| Historial de incidentes | Alto riesgo | Adecuado para la mayoría |
| Sector público | Obligatoriamente interno (servidor público) | No permitido para organismos públicos |
El modelo híbrido
Un enfoque creciente es el modelo híbrido: un coordinador interno de privacidad (que puede no tener el título formal de DPD) y un DPD externo que actúa como responsable formal de la función, con presencia estratégica y consultiva. Esto combina el conocimiento organizacional del interno con la expertise e independencia del externo.
Cuánto cuesta: referencias de mercado en Chile
El mercado chileno de DPD-as-a-Service está en formación, con creciente oferta a medida que se acerca la plena vigencia de la Ley 21.719 en diciembre de 2026:
- Empresas pequeñas: CLP 500.000 a CLP 1.500.000/mes para servicios básicos de DPD externo
- Empresas medianas: CLP 1.500.000 a CLP 4.000.000/mes para servicios completos con horas de consultoría
- Grandes organizaciones: CLP 5.000.000 a CLP 15.000.000/mes para DPD externo sénior con presencia regular
Un DPD interno sénior en Chile tiene remuneración bruta promedio entre CLP 3.000.000 y CLP 7.000.000 mensuales — sin contar las cargas sociales y beneficios (que elevan el costo efectivo aproximadamente un 30-40%). Para empresas medianas, el DPD-as-a-Service suele ser más económico.
Checklist para la decisión
- ¿Cuál es el volumen mensual estimado de solicitudes de titulares?
- ¿Se tratan datos sensibles a gran escala?
- ¿El sector está regulado (salud, financiero, educación)?
- ¿La organización tiene recursos para reclutar y retener un profesional calificado?
- ¿Cuál es la urgencia para tener la función operativa?
- ¿Existe necesidad de presencia física constante?
- ¿Es un organismo público? (en ese caso, el DPD debe ser un funcionario o empleado público)
Conclusión
No existe una respuesta universal para la elección entre DPD interno y externo. Lo que existe son criterios claros que deben guiar la decisión: tamaño de la organización, volumen y complejidad de los tratamientos, recursos disponibles y urgencia.
Lo que no es aceptable — bajo ningún criterio — es no tener la función ejercida de alguna forma cuando la organización está obligada a ello. La Ley 21.719 exige que el DPD sea designado, identificado y accesible. La decisión sobre el modelo de ejercicio de la función es estratégica; la existencia de la función — cuando es obligatoria — es un requisito legal.
Confidata ofrece soporte al DPD en cualquier modelo — interno o externo — con plataforma de conformidad que centraliza el RAT, las solicitudes de titulares, los registros de incidentes y la gestión de proveedores en un único entorno auditable.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.