DPO y Carrera14 min de lectura

Los primeros 90 días de un DPD: guía de supervivencia y plan de acción

Equipo Confidata·
Compartir

Acaba de ser designado DPD — Delegado de Protección de Datos Personales de su organización. Quizás asumió un cargo recién creado, con casi nada estructurado. Quizás está reemplazando a alguien que no entregó lo que prometía. En cualquier caso, enfrenta el desafío común a todo DPD iniciante: por dónde empezar, qué priorizar y cómo construir credibilidad con la suficiente rapidez para asegurar recursos y apoyo.

Los primeros 90 días definen el estándar. Esta guía ofrece un itinerario estructurado — mes a mes — para que empiece de la manera correcta.

Por qué los primeros 90 días son críticos

El DPD que llega e inmediatamente comienza a señalar problemas sin entender el contexto pierde aliados antes de necesitarlos. El DPD que llega y pasa meses estudiando sin entregar ningún resultado pierde credibilidad antes de construir cualquier programa. El equilibrio está en investigar profundamente antes de actuar — pero actuar visiblemente dentro del primer trimestre.

Los 90 días iniciales son el período en que usted:

  • Construye relación con los stakeholders que necesitará influenciar
  • Entiende el estado real de la organización (diferente de lo que muestran los documentos)
  • Identifica los riesgos más urgentes
  • Entrega algunas "victorias rápidas" que demuestran valor
  • Presenta a la alta dirección un plan realista con hitos y prioridades

Al final de los 90 días, debe tener un diagnóstico documentado y un plan aprobado — aunque la implementación plena lleve meses o años.

Mes 1 (días 1–30): entender el terreno

El primer mes no es de implementación — es de investigación. Resista la tentación de hacer cambios antes de entender profundamente dónde está.

Semana 1: orientación y mapeo inicial

1. Encuentre lo que ya existe

Antes de cualquier reunión, haga un inventario de lo que ya está documentado:

  • ¿Existe política de privacidad? ¿Está publicada? ¿Está actualizada?
  • ¿Existe registro de actividades de tratamiento?
  • ¿Existe política de seguridad de la información?
  • ¿Existen contratos con proveedores que incluyan cláusulas de protección de datos?
  • ¿Existe canal de atención al titular? ¿Alguien responde?
  • ¿Hubo incidentes anteriores? ¿Cómo fueron tratados?
  • ¿La designación del DPD está publicada en el sitio web?

Lo que encuentre (o no encuentre) en esa primera semana define la línea base de su diagnóstico.

2. Identifique sus stakeholders

Mapee quiénes son las personas que necesitará convencer, involucrar o de quienes dependerá:

  • CEO y/o alta dirección: ¿quién patrocina el programa de privacidad?
  • TI y seguridad: ¿dónde están los datos y quién controla los sistemas?
  • Jurídico: ¿quién firma contratos y se ocupa de cuestiones regulatorias?
  • RRHH: ¿quién trata datos de trabajadores?
  • Marketing: ¿quién trata datos de clientes y usa herramientas de automatización?
  • Finanzas/Comercial: ¿quién trata datos de pagos y contratos?
  • Operaciones: ¿quién usa sistemas con datos personales en el día a día?

3. Programe reuniones de escucha

En los primeros 15 días, programe reuniones de 30–45 minutos con cada stakeholder identificado. No para presentar soluciones — para escuchar. Preguntas útiles:

  • "¿Qué te preocupa sobre la protección de datos en tu área?"
  • "¿Qué procesos de tu área involucran datos personales de clientes o trabajadores?"
  • "¿Qué crees que está funcionando bien? ¿Qué está siendo problemático?"
  • "¿Qué necesitarías del programa de privacidad para facilitar tu trabajo?"

Estas conversaciones valen más que cualquier auditoría formal en las primeras semanas.

Semanas 2–4: diagnóstico profundo

4. Mapee los tratamientos de datos

Con base en las reuniones y los documentos existentes, haga un inventario preliminar:

  • ¿Qué áreas de la empresa recopilan datos personales?
  • ¿Qué sistemas almacenan datos personales (CRM, ERP, nóminas, comercio electrónico)?
  • ¿Qué datos sensibles se tratan (salud, biometría, datos financieros, de menores)?
  • ¿Qué proveedores tienen acceso a datos personales?
  • ¿Hay transferencias internacionales de datos?

No necesita ser completo ahora — es un mapeo preliminar para orientar el diagnóstico.

5. Evalúe el nivel de madurez

Con base en lo que encontró, evalúe la madurez del programa en una escala simple (inicial, básico, intermedio, avanzado) para cada dimensión:

  • Gobernanza y documentación (registro de actividades, EIPD, políticas)
  • Seguridad de la información (controles técnicos, gestión de incidentes)
  • Derechos de los titulares (canal de atención, procesos de respuesta)
  • Proveedores (due diligence, contratos con cláusulas de datos)
  • Capacitación y cultura (conocimiento del equipo)
  • Base jurídica (bases documentadas para cada tratamiento)

6. Identifique los riesgos más urgentes

El diagnóstico debe destacar los 3–5 riesgos más urgentes — aquellos que, si se materializan, causarían mayor daño regulatorio, financiero o reputacional. Estos serán los primeros objetivos de su plan de acción.

Mes 2 (días 31–60): diagnóstico, plan y primeros resultados

Semanas 5–6: consolidar el diagnóstico

7. Produzca el reporte de diagnóstico

El diagnóstico debe ser un documento escrito, no una planilla informal. Sirve como:

  • Línea base documentada del estado inicial del programa
  • Argumento para la alta dirección sobre qué necesita recursos
  • Protección profesional para el DPD (documenta el estado que encontró al asumir)

Estructura recomendada:

  • Resumen ejecutivo (1 página para la alta dirección)
  • Inventario de lo encontrado
  • Evaluación de madurez por dimensión
  • Riesgos identificados (priorizados por impacto y urgencia)
  • Recomendaciones iniciales

8. Valide el diagnóstico con stakeholders clave

Antes de presentarlo a la alta dirección, comparta el diagnóstico (o partes de él) con Jurídico, TI y el gestor de negocio más afectado. Esto:

  • Corrige eventuales informaciones incorrectas
  • Crea sentido de participación (las personas apoyan lo que ayudaron a construir)
  • Evita sorpresas políticas en la presentación a la alta dirección

Semanas 7–8: construir el plan de acción

9. Elabore el plan de acción con prioridades claras

El plan de acción debe tener:

  • Iniciativas priorizadas (P1: urgente/alto riesgo, P2: importante, P3: mejora continua)
  • Para cada iniciativa: responsable, plazo, recursos necesarios, criterio de conclusión
  • Estimación de esfuerzo y recursos para cada prioridad
  • Hito de 90 días, 6 meses y 12 meses

Sea realista sobre lo que puede hacerse con los recursos disponibles. Un plan ambicioso no cumplido es peor que un plan modesto ejecutado.

10. Entregue "victorias rápidas" visibles

Mientras elabora el plan de largo plazo, identifique y ejecute algunas mejoras rápidas (1–2 semanas de esfuerzo) que demuestren valor inmediato:

  • Actualizar la política de privacidad desactualizada
  • Publicar formalmente la designación del DPD en el sitio web
  • Crear (o actualizar) el canal de atención al titular
  • Formalizar una plantilla de contrato con encargado de datos para usar con proveedores
  • Mapear un proceso de alto riesgo que no tenía base jurídica documentada

Estas entregas crean credibilidad para el plan mayor.

Mes 3 (días 61–90): presentar, aprobar y ejecutar

Semanas 9–10: presentar a la alta dirección

11. Prepare la presentación ejecutiva

La presentación a la alta dirección debe:

  • Ser objetiva y visual (máximo 10–12 diapositivas)
  • Mostrar el diagnóstico en términos de riesgo de negocio, no solo legal
  • Cuantificar los riesgos cuando sea posible (potencial de multa, exposición reputacional)
  • Proponer el plan con los recursos necesarios
  • Solicitar aprobación formal para ejecutar

12. Posicione el cumplimiento como ventaja competitiva

El argumento más efectivo para la alta dirección no es "necesitamos hacer esto porque lo exige la ley" — es "esto nos protege de riesgos que cuestan más que el programa, y nos posiciona mejor ante clientes B2B que exigen cumplimiento comprobado".

Traiga datos del sector, ejemplos de multas de la APDP (que comenzarán en diciembre de 2026) o de otras autoridades internacionales, y ejemplos de contratos perdidos por falta de cumplimiento.

Semanas 11–12: ejecutar las primeras iniciativas aprobadas

13. Inicie las capacitaciones

Con el diagnóstico y el plan aprobados, comience la capacitación de las áreas con mayor exposición de riesgo. La capacitación es inversión de alto retorno — equipos capacitados cometen menos errores y accionan al DPD antes de que un problema se convierta en crisis.

14. Implemente los controles prioritarios

Con base en el plan aprobado, inicie la implementación de los controles de mayor impacto — típicamente: base jurídica documentada para tratamientos críticos, canal de titular funcional, contratos con los 5 proveedores más importantes.

15. Establezca el ritmo de reporte

Defina con la alta dirección la cadencia de actualización: ¿reunión trimestral de estatus? ¿Dashboard mensual? ¿Informe anual al directorio? Establezca ese ritmo en el primer trimestre — no espere que la alta dirección pregunte.

Lo que NO hacer en los primeros 90 días

No intente resolver todo de una vez. El programa de cumplimiento de la Ley 21.719 es un camino de meses o años. Intentar hacer todo al mismo tiempo resulta en nada bien hecho.

No opere solo. El DPD no construye cumplimiento en silencio — lo construye con las áreas de negocio. Involucre, no imponga.

No sea el "departamento del no". Los DPDs que bloquean iniciativas de negocio sin ofrecer alternativas pierden apoyo rápidamente. El rol del DPD es orientar cómo hacer — no solo señalar lo que no puede hacerse.

No descuide la documentación. Desde el primer día, documente lo que encontró, lo que decidió y por qué. Esa documentación es su protección profesional y evidencia de buena fe ante la APDP.

No ignore lo informal. Mucho del tratamiento de datos ocurre fuera de los sistemas formales — planillas de Excel con datos de clientes, correos con datos de trabajadores, grupos de WhatsApp con información sensible. El diagnóstico debe alcanzar lo informal, no solo lo documentado.

Conclusión: los 90 días son el fundamento, no el programa

Al final de 90 días, tendrá un diagnóstico documentado, un plan aprobado, algunas entregas concretas y una red de stakeholders que entiende y apoya el programa. Eso es el fundamento — el programa en sí se construye en los meses y años siguientes.

El DPD que siembra bien los primeros 90 días cosecha un programa que crece con el apoyo de la organización. El que no siembra bien pasa los años siguientes peleando por recursos y credibilidad que nunca llegan.

Descargue el eBook "10 Primeros Pasos para el Cumplimiento de la Ley 21.719" y acelere la estructuración de su programa desde los primeros días.

Compartir
#primeros días DPD#DPD iniciante Ley 21.719#plan acción delegado#cómo comenzar DPD#DPD recién designado#delegado datos personales Chile

Artículos relacionados

DPD en Hospitales y Clínicas: Cómo Estructurar el Cargo en la PrácticaDPO y Carrera · 13 minDPD en Organismos Públicos: Modelo de Resolución para Designar el Cargo [2026]DPO y Carrera · 14 minDelegado de Protección de Datos en la Práctica: Cómo Designar y Estructurar el CargoDPO y Carrera · 13 minEl DPD y la APDP: obligaciones de comunicación, registro y representaciónDPO y Carrera · 10 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista