Delegado de Protección de Datos en la Práctica: Cómo Designar y Estructurar el Cargo
La Ley N° 21.719 de Protección de Datos Personales de Chile, publicada el 13 de diciembre de 2024, establece por primera vez en el ordenamiento jurídico chileno la obligación de designar un Delegado de Protección de Datos (DPD) para determinados responsables del tratamiento. La APDP (Agencia de Protección de Datos Personales), que comienza operaciones en diciembre de 2026, tendrá entre sus primeras acciones verificar si los obligados han cumplido esta exigencia — y si los canales de comunicación con titulares funcionan realmente.
Esta guía responde qué exige la ley, cómo estructurar la función de delegado de forma que realmente funcione — no solo en el papel — y los errores más comunes a evitar.
La obligación legal: quién debe designar DPD
La Ley 21.719 establece que el responsable del tratamiento debe designar un DPD cuando:
- Su actividad principal implique el tratamiento a gran escala de datos sensibles (salud, biometría, origen étnico, religión, vida sexual, opiniones políticas, etc.)
- Su actividad principal implique la observación sistemática y a gran escala de los titulares
Además, todos los organismos públicos (ministerios, servicios públicos, municipalidades, empresas del Estado) están obligados a designar DPD.
¿Qué significa "actividad principal"? La obligación alcanza a organizaciones cuyo negocio central gira en torno al tratamiento de esos datos — no a quienes los tratan de forma incidental. Un hospital cuyo negocio es la atención de salud tiene como actividad principal el tratamiento de datos sensibles. Una empresa de manufactura que trata datos de sus empleados no necesariamente entra en este supuesto.
Para organizaciones no obligadas pero con alto volumen de datos: la designación voluntaria de un DPD es una buena práctica que demuestra responsabilidad proactiva y puede ser considerada como circunstancia atenuante ante la APDP.
Formalidades de la designación: lo que exige la ley
Acto formal obligatorio
La Ley 21.719 exige que la designación del DPD se realice mediante documento escrito, fechado y firmado, que especifique las atribuciones y las formas de actuación del delegado. Este documento debe:
- Estar disponible para ser presentado ante la APDP cuando sea solicitado
- Ser divulgado públicamente (sitio web, aviso de privacidad)
- Prever la designación de un DPD suplente para ausencias o impedimentos
Autonomía técnica
El DPD debe ejercer sus funciones con autonomía técnica, sin interferencia indebida del responsable o del encargado del tratamiento en sus decisiones de conformidad.
La responsabilidad permanece en el responsable del tratamiento: las atribuciones del DPD no transfieren a él la responsabilidad por el cumplimiento de la Ley 21.719 — esa responsabilidad permanece íntegramente del responsable.
Acumulación de funciones
El DPD puede actuar para más de un responsable del tratamiento, siempre que:
- Sea posible el pleno cumplimiento de sus atribuciones en relación con cada responsable
- No exista conflicto de intereses entre los responsables atendidos
Calificaciones del DPD: lo que exige (y lo que no exige) la ley
La Ley 21.719 adoptó un enfoque de principios, no cartesiano:
Lo que la norma exige: El responsable del tratamiento debe establecer las calificaciones profesionales necesarias para el ejercicio de la función del DPD, considerando el conocimiento sobre la legislación de protección de datos personales y el contexto, el volumen y el riesgo de las operaciones de tratamiento.
Lo que la norma NO exige:
- No hay inscripción obligatoria en ningún organismo o entidad
- No hay certificación específica exigida por la ley chilena
- No hay formación académica mínima definida
Lo que el mercado ha consolidado como buenas prácticas de calificación:
- Conocimiento de la Ley 21.719 y de la normativa de la APDP
- Familiaridad con el derecho de protección de datos (incluyendo el GDPR, para operaciones internacionales)
- Nociones de gestión de riesgos y seguridad de la información
- Capacidad de comunicación con diferentes públicos (titulares, dirección, APDP)
- Visión multidisciplinaria (jurídica, tecnológica y de negocios)
Certificaciones reconocidas en el mercado (sin carácter obligatorio):
- CIPP/E o CIPP/A (Certified Information Privacy Professional) — IAPP
- CDPSE (Certified Data Privacy Solutions Engineer) — ISACA
- EXIN Privacy and Data Protection
- Programas de certificación de universidades y firmas legales especializadas en Chile
Interno vs. externo: cómo elegir el modelo correcto
Una de las decisiones centrales al estructurar la función de DPD es si el cargo será ocupado por un profesional interno (colaborador de la empresa) o externo (DPD-as-a-Service, profesional contratado como independiente o empresa especializada).
| Aspecto | DPD Interno | DPD Externo (DPD-as-a-Service) |
|---|---|---|
| Costo | Mayor (remuneración, beneficios, cargas sociales) | Menor (honorarios o contrato de servicio) |
| Integración | Alta — conoce la cultura y los procesos de la empresa | Media — depende de onboarding y acceso continuo |
| Independencia | Mayor riesgo de presión interna | Mayor autonomía estructural |
| Disponibilidad en crisis | Inmediata | Depende del SLA contratado |
| Actualización técnica | Depende del esfuerzo individual | Especialistas suelen tener actualización continua |
| Conflicto de intereses | Mayor riesgo si acumula funciones incompatibles | Riesgo de conflicto entre clientes competidores |
| Organismos públicos | Obligatorio (debe ser funcionario público) | No permitido |
| Recomendación de uso | Organizaciones con operaciones de datos complejas, grandes volúmenes o datos sensibles | PYMEs, organizaciones con estructura de datos moderada o en etapa inicial |
Para que el modelo externo funcione, el DPD-as-a-Service debe tener:
- Acceso irrestricto a las operaciones, sistemas y documentaciones relevantes
- Autonomía técnica garantizada en el contrato
- Cláusulas de confidencialidad y de conflicto de intereses robustas
- SLA claro para respuesta a incidentes y fiscalizaciones de la APDP
- Reportes periódicos a la alta dirección de la organización contratante
Conflicto de intereses: quién no puede ser DPD
La Ley 21.719 establece que el DPD puede acumular funciones siempre que no exista conflicto de intereses — y el potencial conflicto debe ser evaluado formalmente.
Configura conflicto de intereses cuando el acúmulo involucra la toma de decisiones estratégicas sobre el tratamiento de datos personales por el responsable. Quien define qué, cómo, cuándo y por qué tratar datos no puede ser simultáneamente quien fiscaliza ese tratamiento.
Cargos incompatibles con la función de DPD
| Cargo | Por qué es incompatible |
|---|---|
| CEO / Director General | Decide sobre todos los tratamientos de datos de la organización |
| Director de TI / CTO | Decide sobre la arquitectura de sistemas y la recolección de datos |
| Director de Marketing | Decide sobre el uso de datos en campañas y segmentación |
| Director de RR.HH. | Decide sobre el tratamiento de datos de colaboradores |
| Director Jurídico | Cuando responde personalmente por litigios que involucran tratamiento de datos |
| Cualquier director o gerente | Cuando aprueba tratamientos de datos específicos como competencia del cargo |
Cargos generalmente compatibles (evaluación caso a caso)
- Analista jurídico sin poder de decisión sobre tratamiento de datos
- Consultor de seguridad de la información sin poder de implementación autónoma
- Profesional de privacidad dedicado exclusivamente a la función de DPD
Referencia europea: Autoridades de protección de datos europeas aplicaron multas significativas por conflicto de intereses en la función de DPO. Bélgica multó con €50.000 a una empresa en la que el Compliance Officer ejercía simultáneamente la función de DPO. La lógica es la misma bajo la Ley 21.719.
La divulgación pública: qué exige la Ley 21.719
La ley es directa: las informaciones de contacto del DPD deben ser divulgadas públicamente, de forma clara y objetiva, preferentemente en el sitio web del responsable.
Qué divulgar:
- Nombre completo del DPD (o razón social, si es persona jurídica)
- Correo electrónico de contacto funcional (que efectivamente responda)
- Otros canales: formulario web, dirección postal (recomendado)
Dónde publicar:
- Página específica de Privacidad en el sitio institucional
- Pie de página del sitio (enlace a la página de privacidad)
- Política de privacidad pública
- Contratos de prestación de servicios y términos de uso
La efectividad es obligatoria: Tener el contacto publicado no es suficiente si el canal no funciona. Correos que no reciben respuesta o formularios con error técnico equivalen a ausencia de canal — y eso es exactamente lo que la APDP verificará en sus primeras fiscalizaciones.
Cómo apoyar al DPD en la práctica
La mayor causa de fracaso de los programas de privacidad no es la falta de normas — es la falta de apoyo organizacional al delegado. La función exige:
1. Posición en la estructura organizacional
El DPD debe reportar directamente a la alta dirección, sin subordinación operacional a las áreas que fiscaliza. Un DPD subordinado al Director de TI que necesita fiscalizar la TI, o al Director Jurídico que necesita evaluar contratos de proveedores, no tiene autonomía real.
2. Acceso irrestricto
El DPD necesita acceso a:
- Sistemas de información que tratan datos personales
- Contratos con proveedores y encargados del tratamiento
- Políticas internas y procedimientos operacionales
- Incidentes de seguridad (registros, informes de TI)
- Documentación de procesos de negocio
Sin acceso, el DPD trabaja con información parcial y no puede cumplir sus funciones legales.
3. Presupuesto y recursos
El programa de privacidad no se sostiene sin recursos. Provisione para:
- Herramientas de gestión de privacidad (inventario, EIPD, incidentes, solicitudes de titulares)
- Capacitaciones y certificaciones
- Consultoría jurídica especializada cuando sea necesario
- Auditorías externas periódicas
4. Autoridad para decir "no"
El DPD necesita autoridad real para suspender tratamientos no conformes, exigir revisión de contratos y negar aprobación a proyectos que violen la Ley 21.719. Sin ese poder, la función es decorativa.
5. Comunicación con la alta dirección
El DPD debe presentar a la alta dirección, al menos trimestralmente:
- Estado del programa de conformidad
- Riesgos identificados y planes de mitigación
- Incidentes ocurridos y medidas adoptadas
- Solicitudes de titulares y resoluciones
- Actualización sobre nueva normativa de la APDP
El DPD como interlocutor con la APDP
El DPD es el punto de contacto oficial de la organización con la APDP. Sus responsabilidades de interacción con el regulador incluyen:
- Recibir comunicaciones de la APDP y encaminar internamente las medidas necesarias
- Responder a solicitudes de fiscalización con documentación adecuada y dentro del plazo
- Comunicar incidentes de seguridad a la APDP sin dilación justificada
- Representar a la organización en procesos administrativos ante la APDP
- Mantenerse actualizado sobre nuevas normativas, guías y orientaciones de la APDP y transmitirlas a la organización
Checklist para la función de DPD
Antes de declarar que la organización está en conformidad respecto al DPD, verifique:
- ¿El DPD fue designado por acto formal (documento escrito, fechado y firmado)?
- ¿Su información de contacto está publicada en el sitio web de la organización de forma clara?
- ¿El canal de contacto funciona efectivamente (pruebe: envíe un mensaje)?
- ¿El DPD tiene acceso a los sistemas y documentaciones necesarios?
- ¿El DPD tiene autonomía técnica — puede decir "no" sin consecuencias?
- ¿La función no acumula cargo incompatible (conflicto de intereses evaluado)?
- ¿El DPD reporta directamente a la alta dirección?
- ¿El presupuesto del programa de privacidad está provisionado?
- ¿Existe plan de continuidad (suplente, proceso de traspaso) para ausencias o salida del DPD?
- ¿El DPD está actualizado sobre la normativa más reciente de la APDP?
Errores comunes y cómo evitarlos
| Error | Consecuencia | Solución |
|---|---|---|
| Publicar nombre sin canal de contacto funcional | Infracción autónoma — aunque el nombre esté publicado | Probar el canal periódicamente; SLA de respuesta definido |
| DPD acumulando cargo de Director | Conflicto de intereses; autonomía nula | Separar las funciones o designar DPD externo |
| DPD sin acceso a sistemas críticos | Imposibilidad de cumplir atribuciones legales | Acceso formal garantizado y documentado |
| DPD sin presupuesto | Programa de privacidad de fachada | Provisión presupuestaria específica |
| No designar DPD porque "somos PYME" | La obligación aplica cuando la actividad principal involucra datos sensibles a gran escala — el tamaño no exime | Verificar si la actividad principal activa la obligación |
| Designación para cumplir checklist, sin integración real | DPD aislado, sin información, sin autoridad | Integración estructural con acceso, autoridad y reporte a la alta dirección |
Conclusión
El Delegado de Protección de Datos es más que un cargo exigido por ley. Es el arquitecto y guardián del programa de privacidad de la organización — el punto de convergencia entre titulares, la APDP y la alta dirección.
La Ley 21.719 entró en vigencia plena en diciembre de 2026. Las organizaciones que aguarden el inicio de las fiscalizaciones de la APDP para estructurar la función llegarán a esa instancia sin los documentos, los procesos ni la experiencia necesarios para demostrar conformidad. El camino es claro: designe al DPD con acto formal, publique sus datos de contacto, garantice autonomía y acceso reales — e invierta en el programa de privacidad que la función coordina.
Confidata apoya al Delegado de Datos con una plataforma integrada de gestión de privacidad: inventario de datos, EIPD, gestión de incidentes, atención a titulares y reportes de conformidad para la alta dirección — todo en un solo lugar.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.