Saltar al contenido principal
PrivacidadWeb
Guía9 min de lectura·

Delegado de Protección de Datos (DPO): ¿Tu Empresa lo Necesita?

¿Cuándo la Ley 21.719 exige designar un DPO en Chile? Análisis práctico para pymes: cuándo es obligatorio, qué funciones tiene y cuál es la alternativa si no aplica.

P

PrivacidadWeb

PrivacidadWeb.cl

Cuando una empresa empieza a trabajar en cumplimiento con la Ley 21.719, aparece inevitablemente la pregunta: "¿Necesito contratar a un DPO?" La respuesta corta para la mayoría de las pymes chilenas es no — al menos no en el sentido formal y obligatorio. Pero hay un matiz importante: aunque la Ley 21.719 no exija formalmente un Delegado de Protección de Datos en la mayoría de los casos, sí exige que alguien dentro de tu organización sea responsable del cumplimiento.

Esta guía explica qué es el DPO, cuándo la ley lo requiere, y qué alternativa práctica tienen las pymes que no están obligadas a designar uno formal.

Qué es un DPO y de dónde viene el concepto

El Delegado de Protección de Datos (DPO, por sus siglas en inglés — Data Protection Officer) es una figura que el GDPR europeo popularizó desde 2018: un profesional especializado que actúa como enlace entre la organización, sus empleados y clientes, y la autoridad reguladora de privacidad.

La Ley 21.719 adopta una versión de esta figura, aunque con un enfoque más flexible que su equivalente europeo. Mientras el GDPR hace obligatorio el DPO en un conjunto amplio de casos, la ley chilena establece umbrales más acotados para la obligatoriedad formal, reconociendo que el tejido empresarial chileno tiene una mayoría de pymes que no justifican una estructura de cumplimiento tan pesada.

La figura aparece en la Ley 21.719 bajo el nombre de Encargado de Prevención o como responsable del tratamiento designado, con funciones específicas que la propia ley detalla.

¿Cuándo es obligatorio designar un DPO?

La Ley 21.719 establece la obligación de designar un responsable de cumplimiento en protección de datos principalmente para:

Organismos del sector público: cualquier organismo de la Administración del Estado debe designar un funcionario responsable de cumplimiento de la ley. Esta obligación es explícita e inmediata desde la vigencia plena.

Responsables que realicen tratamientos a gran escala de datos sensibles: si tu empresa trata sistemáticamente y a escala datos de salud, biométricos, datos de menores u otras categorías sensibles como actividad principal — no de forma accesoria — la designación de un responsable formal es prácticamente obligatoria por la naturaleza del riesgo que genera.

Responsables que realicen perfilamiento o decisiones automatizadas a gran escala: plataformas digitales con millones de usuarios, fintechs con algoritmos de scoring masivo o empresas de marketing que realizan perfilamiento intensivo a escala caen en esta categoría.

La regla práctica: si eres una pyme que presta servicios locales, tiene una base de datos de cientos o pocos miles de clientes y no trata datos sensibles como actividad central del negocio, la obligación formal de designar un DPO probablemente no te aplica. Pero eso no significa que puedas ignorar quién en tu organización es responsable del cumplimiento.

Funciones del DPO según la Ley 21.719

Donde el DPO existe —ya sea por obligación o por decisión voluntaria de la empresa— sus funciones incluyen:

Supervisar el cumplimiento interno. El DPO verifica que la organización aplica correctamente la Ley 21.719: que los documentos están actualizados, que los procesos se ejecutan conforme a los procedimientos, que el RAT refleja la realidad operativa y que los plazos se cumplen.

Asesorar en evaluaciones de impacto (DPIA). Cuando la organización considera implementar un nuevo tratamiento de datos de alto riesgo, el DPO evalúa el impacto potencial en los derechos de los titulares y recomienda medidas de mitigación.

Capacitar al equipo. El DPO es responsable de que el personal que accede a datos personales — atención al cliente, RRHH, ventas, tecnología — entienda sus obligaciones y cómo cumplirlas en la práctica cotidiana.

Ser el punto de contacto con la APDP. En fiscalizaciones, requerimientos de información o notificaciones de brechas, el DPO es el interlocutor formal entre la organización y la Agencia de Protección de Datos Personales.

Atender consultas internas. Los empleados y distintas áreas de la empresa pueden consultarle sobre si determinado tratamiento es conforme a la ley, qué base legal usar, o cómo manejar una situación específica.

Gestionar solicitudes ARCOP. En organizaciones más grandes, el DPO coordina o supervisa la respuesta a solicitudes de acceso, rectificación, supresión, oposición y portabilidad de titulares. Para revisar el detalle de estos derechos, consulta nuestra guía sobre derechos ARCOP.

¿Puede ser interno o externo?

La Ley 21.719 permite que el DPO sea un empleado de la propia organización o un profesional externo contratado para ese rol. Cada opción tiene ventajas concretas.

DPO interno:

  • Conoce la operación, los sistemas y los procesos de la empresa en profundidad
  • Está disponible de forma continua para consultas del equipo
  • Puede actuar con mayor rapidez ante incidentes
  • Costo recurrente incluido en la nómina, no en honorarios externos

La limitación del DPO interno es el riesgo de conflicto de interés: si el DPO también cumple funciones de tecnología, marketing o ventas, puede verse en la situación de evaluar su propio trabajo. La ley exige que el DPO tenga independencia funcional para emitir recomendaciones — no puede ser subordinado jerárquico del área cuya actividad debe supervisar.

DPO externo:

  • Mayor independencia y objetividad frente a decisiones internas
  • Especialización dedicada en privacidad de datos
  • Flexible: puede contratarse por proyecto, por horas o de forma continua
  • No genera costos de nómina ni de contratación permanente

Para pymes que quieren cobertura profesional sin contratar a tiempo completo, el DPO externo — típicamente un abogado o consultor especializado en privacidad — es una opción práctica y proporcionada.

Relación del DPO con la Agencia de Protección de Datos

La APDP puede requerir información del DPO, convocarlo a reuniones técnicas y comunicarse directamente con él en el contexto de una fiscalización. El DPO actúa como escudo operativo: si la APDP necesita información sobre los tratamientos de la empresa, el DPO es el canal.

Esta relación tiene una implicación práctica importante: el DPO debe conocer profundamente los tratamientos de datos de la organización. Un DPO que no sabe qué herramientas de marketing usa la empresa, qué datos transfiere el software de nómina o cómo se almacenan las fichas de clientes no puede cumplir su rol.

Por eso, la designación del DPO debe ir acompañada de un proceso de onboarding técnico: revisar el RAT, auditar las herramientas utilizadas, y conocer los flujos de datos relevantes.

¿Las pymes necesitan un DPO? El análisis práctico

Para la gran mayoría de las pymes chilenas, la respuesta es no — al menos no en el sentido formal. Pero hay una pregunta que sí aplica a todas: ¿quién en tu empresa es responsable del cumplimiento de la Ley 21.719?

Si la respuesta es "nadie específicamente", tienes un problema. No porque la ley exija un DPO formal, sino porque sin un responsable designado:

  • Nadie sabe qué hacer cuando llega una solicitud ARCOP
  • Nadie revisa que los documentos estén actualizados cuando cambias de proveedor
  • Nadie activa el Protocolo de Brechas cuando hay un incidente
  • Nadie responde cuando la APDP envía un requerimiento

Para pymes, el camino es designar un responsable interno de privacidad — no un DPO con todas las formalidades legales, sino una persona concreta que asuma las responsabilidades operativas del cumplimiento.

La alternativa para pymes: el responsable interno de privacidad

No necesitas contratar a nadie nuevo. En la mayoría de las pymes, el responsable interno de privacidad puede ser:

  • El dueño o director general (en empresas muy pequeñas)
  • El encargado de administración o finanzas (que ya maneja contratos y documentación)
  • El responsable de tecnología (si la empresa tiene)
  • El encargado de RRHH (para lo relativo a datos de empleados)

Lo que sí necesita esta persona es:

Autoridad real: que pueda tomar decisiones sobre datos sin depender de múltiples aprobaciones para actuar en los plazos que la ley exige (30 días para respuestas ARCOP, 72 horas para notificar brechas con datos sensibles).

Acceso a la información: conocer qué datos trata la empresa, dónde están almacenados y con qué herramientas se gestionan.

Capacitación básica: entender los conceptos clave de la Ley 21.719 — no necesita ser abogado, pero sí conocer los derechos ARCOP, el deber de información, el régimen de brechas y las obligaciones de seguridad.

Tiempo asignado: aunque sea parcial, necesita horas reales dedicadas al cumplimiento, no "si sobra tiempo".

Las tareas concretas de este responsable interno son: gestionar el RAT, responder solicitudes ARCOP, activar el Protocolo de Brechas ante incidentes, mantener actualizada la Política de Privacidad cuando la empresa cambia de herramientas, y ser el punto de contacto para consultas del equipo.

Cómo designar formalmente al responsable (pyme o no)

Si decides designar a alguien —sea como DPO formal o como responsable interno— estos son los pasos mínimos:

1. Elige a la persona. Considera quién tiene la disponibilidad, el acceso a información y la autoridad necesaria. Para un DPO formal externo, busca profesionales con formación en derecho de datos o ciberseguridad.

2. Documenta la designación. Un correo o acta interna que registre la designación, el alcance del rol y la fecha desde que aplica. Para el DPO externo, un contrato de servicios.

3. Publica el canal de contacto. La Política de Privacidad y el sitio web deben indicar cómo los titulares pueden contactar al responsable de privacidad — generalmente un correo dedicado (privacidad@tuempresa.cl).

4. Haz el onboarding. La persona designada debe revisar y firmar el RAT, conocer los protocolos ARCOP y de brechas, y tener acceso a los sistemas donde se almacenan datos.

5. Revisa anualmente. El cumplimiento de privacidad no es estático. El responsable debe revisar al menos una vez al año que los documentos reflejan la realidad operativa actual.

Para saber si tu empresa necesita un DPO formal o si basta con un responsable interno, el primer paso es entender tu nivel de exposición.

Haz el Diagnóstico de Cumplimiento gratis →

También te recomendamos revisar nuestra guía completa de los 8 pasos para pymes para entender el contexto completo de lo que necesitas implementar.

Preguntas frecuentes

¿La Ley 21.719 me multa si no designo un DPO?

Solo si tu empresa estaba obligada a designar uno y no lo hizo. Para la mayoría de las pymes, la ausencia de DPO formal no es una infracción directa. Lo que sí puede generar multas es no tener a nadie que responda solicitudes ARCOP en plazo, no notificar brechas o no mantener documentación actualizada — independiente de si esa persona tiene el título de DPO o no.

¿El DPO puede ser el mismo dueño de la empresa?

Sí, en el caso de un responsable interno informal. Para el DPO formal (en los casos donde es obligatorio), la ley exige independencia funcional: el DPO no puede tener conflictos de interés significativos. Si el dueño también gestiona los sistemas que debería supervisar, puede haber un conflicto. En organizaciones pequeñas donde el dueño tiene visión completa de la operación, es una opción aceptable en la práctica.

¿Qué formación necesita un DPO?

La Ley 21.719 no exige una certificación específica. Se espera que tenga conocimientos sólidos en derecho de protección de datos, comprensión de los sistemas tecnológicos relevantes para la organización, y capacidad de gestión interna. En Chile, la formación más relevante combina derecho de privacidad con conceptos de ciberseguridad y gestión de riesgos.

¿El DPO responde personalmente ante la APDP si hay una sanción?

No. La responsabilidad ante la APDP es de la empresa (el responsable del tratamiento), no del DPO personal. El DPO es un coordinador interno, no el responsable legal. Sin embargo, si el DPO actúa de mala fe o encubre infracciones, puede existir responsabilidad civil o penal, pero eso es diferente a la sanción regulatoria de la APDP.

¿Puedo contratar a la misma empresa que me ayuda con compliance para que sea mi DPO externo?

Sí, es una práctica común. Una consultora o estudio de abogados especializado puede proveer servicios de DPO externo como parte de un servicio de compliance continuo. Lo importante es que el contrato sea claro sobre el alcance del rol, la disponibilidad y cómo se gestiona el punto de contacto con la APDP.

Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos personales.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🌐Guía

Transferencia Internacional de Datos: Requisitos bajo la Ley 21.719

Si usas Gmail, AWS, HubSpot, Stripe o cualquier SaaS extranjero, estás haciendo transferencia internacional de datos. Guía práctica para regularizarla bajo la Ley 21.719.

📋Guía

Ley 21.719: La Nueva Ley de Datos Personales en Chile — Guía Completa (2026)

Todo sobre la nueva ley de datos personales en Chile (Ley 21.719): plazos, multas de hasta $1.400M CLP, derechos ARCOP, obligaciones y cómo preparar tu empresa antes de diciembre 2026.

📋Guía

Las 10 Obligaciones del Responsable de Datos bajo la Ley 21.719

La Ley 21.719 impone 10 obligaciones concretas a todo responsable del tratamiento de datos en Chile. Guía práctica con herramientas para cumplir cada una.