¿Qué es un Delegado de Protección de Datos (DPO)?

Es un responsable —interno o externo— que supervisa que el tratamiento de datos de la empresa cumple la Ley 21.719 de forma continua, asesora a la organización, y actúa como punto de contacto con la Agencia de Protección de Datos y con los titulares. Debe ejercer con independencia para evitar conflictos de interés.

¿Todas las empresas están obligadas a tener un DPO?

No. La obligación depende de la naturaleza y la escala del tratamiento. El criterio de fondo apunta a designarlo cuando se tratan datos a gran escala, datos sensibles (salud, biométricos, menores), hay monitorización sistemática de personas, o se trata de organismos públicos. Los umbrales precisos se concretarán en la normativa de la Agencia.

¿El DPO puede ser externo?

Sí. Puede ser un empleado o un servicio externo (un despacho o consultor especializado). Para muchas pymes y empresas medianas, el DPO externo aporta independencia y especialización sin el coste de un puesto a tiempo completo. Lo que no es válido es nombrar de DPO a quien decide los tratamientos, por falta de independencia.

¿Por dónde empiezo si creo que necesito un DPO?

Por el diagnóstico: mapear qué datos trata tu empresa y con qué finalidad, empezando por lo más visible (la web, sus formularios y rastreadores), identificar los focos de riesgo y documentarlo. Designar un DPO sin ese mapa es poner el tejado antes que los cimientos.

DPO y Ley 21.719: ¿necesita tu empresa un delegado de datos?

En corto: la Ley 21.719 introduce la figura del Delegado de Protección de Datos (DPO) —un responsable interno o externo que supervisa el cumplimiento y hace de puente con la Agencia. No todas las empresas están obligadas a designar uno, pero si tratas datos a gran escala o datos sensibles, la pregunta deja de ser opcional. Y antes de decidir si lo necesitas, conviene saber qué datos estás tratando de verdad.

Entre las novedades de la Ley 21.719, una afecta directamente a la organización interna de las empresas: la aparición del Delegado de Protección de Datos, conocido por sus siglas en inglés, DPO. Es una figura tomada del modelo europeo (GDPR) y su función es asegurar que el tratamiento de datos se hace conforme a la ley, de forma continua y no como un trámite puntual.

Qué hace un DPO

El DPO no es un cargo decorativo ni un mero "encargado de informática". Sus funciones son de gobernanza:

Supervisar el cumplimiento: velar por que las políticas, los consentimientos y las medidas de seguridad se apliquen de verdad.
Asesorar a la organización: orientar a dirección y equipos sobre cómo tratar datos de forma lícita.
Ser el punto de contacto con la Agencia: el interlocutor formal ante la autoridad y ante los titulares que ejercen sus derechos.
Actuar con independencia: reportar al máximo nivel y no recibir instrucciones sobre cómo ejercer su función, para evitar conflictos de interés.

¿Está tu empresa obligada a tener uno?

La obligación no es universal: depende de la naturaleza y la escala del tratamiento. Los umbrales precisos se concretarán en la normativa de aplicación de la Agencia, pero el criterio de fondo, alineado con el estándar internacional, apunta a designar un DPO cuando concurren situaciones como:

Tratamiento a gran escala: volúmenes significativos de datos personales como actividad central del negocio (e-commerce con muchos clientes, plataformas, fintech).
Datos sensibles: tratar de forma habitual datos de salud, biométricos, de menores u otras categorías especiales.
Monitorización sistemática: seguimiento y perfilado continuo de personas (publicidad comportamental, scoring, vigilancia).
Organismos públicos: por regla general, obligados a designarlo.

Aunque no estés estrictamente obligado, designar un DPO —o al menos un responsable interno con esa función— es una señal de responsabilidad proactiva. Y la responsabilidad proactiva es justamente lo que la Agencia valora al graduar una eventual sanción.

¿Interno o externo?

El DPO puede ser un empleado o un servicio externo contratado. Para muchas pymes y empresas medianas, el DPO externo (un despacho o consultor especializado) es la opción razonable: aporta la independencia y la especialización sin el coste de un puesto a tiempo completo. Lo que no funciona es nombrar de DPO al gerente de TI "porque le tocan los sistemas": la función exige conocimiento normativo e independencia respecto de quien decide los tratamientos.

Antes del DPO, el mapa: ¿qué datos trata tu web?

La primera tarea de cualquier responsable de datos es saber qué se está tratando y dónde. Nuestra verificación inicial gratuita mapea las señales públicas de tu sitio frente a la Ley 21.719 —un punto de partida, sin instalar nada.

Escanear mi web · Gratis

Por dónde empezar (con o sin DPO)

Tanto si designas un DPO como si todavía no, el trabajo de fondo es el mismo y empieza por el diagnóstico:

Mapear qué datos tratas y con qué finalidad —empezando por lo más visible: tu web y sus formularios, rastreadores y flujos.
Identificar los focos de riesgo antes de que sean un problema: consentimiento mal capturado, datos sensibles sin control, transferencias a terceros.
Documentarlo: porque, como en todo lo demás de la Ley 21.719, lo que no puedes demostrar es como si no existiera.

Designar un DPO sin ese mapa es poner el tejado antes que los cimientos. Por eso, igual que con el resto de la adecuación, el primer paso no es contratar a nadie, sino entender dónde estás.

Empieza por saber dónde estás

Escaneamos las señales públicas de tu web e identificamos los principales hallazgos frente a la Ley 21.719. Es el punto de partida para cualquier decisión de gobernanza —gratis y sin compromiso.

Escanear mi web · Gratis

Este artículo se publica con fines informativos y de divulgación técnica respecto a la Ley N.º 21.719 de la República de Chile. Los análisis de AGLAYA corresponden a diagnósticos técnicos preliminares basados en las capas tecnológicas visibles de los sitios web evaluados. No constituyen asesoría jurídica, defensa legal, dictamen de cumplimiento formal ni certificación de adecuación normativa. Para la aplicación legal específica de estas normas a su organización, se recomienda la contratación de asesoría jurídica especializada.