Delegado de Protección de Datos en Chile

Resumen. La Ley 21.719 obliga a designar un Delegado de Protección de Datos en organismos públicos, en organizaciones cuya actividad principal exige monitoreo regular y sistemático del titular a gran escala, y en organizaciones que tratan a gran escala categorías especiales de datos. Para las demás Pymes la designación no es obligatoria, pero opera como buena práctica. Esta guía describe el alcance del rol, los requisitos de autonomía, las funciones legales y los errores frecuentes en la implementación chilena.

Qué es el Delegado de Protección de Datos

El Delegado de Protección de Datos —en inglés Data Protection Officer, DPO— es la persona designada por la organización para velar por el cumplimiento de la normativa de protección de datos personales. No es un cargo de gobierno corporativo en el sentido tradicional: no toma decisiones de negocio, no autoriza tratamientos. Asesora, supervisa, sirve de punto de contacto con la Agencia de Protección de Datos Personales y con los titulares.

La figura proviene del Reglamento General de Protección de Datos europeo de 2018. La Ley 21.719 la adopta con adaptaciones al contexto chileno: criterios de obligatoriedad más acotados, autonomía exigida con la misma firmeza, posibilidad de designación interna o externa.

Cuándo es obligatorio

La Ley 21.719 obliga a designar DPO en tres situaciones:

1. Organismos públicos

Todos los organismos públicos —ministerios, servicios, municipalidades, empresas del Estado— deben designar DPO. La obligación es absoluta y no admite excepción por tamaño o volumen de tratamiento.

2. Tratamiento que exige monitoreo regular y sistemático a gran escala

Una organización cuya actividad principal consista en operaciones de tratamiento que requieran observación regular y sistemática del titular —seguimiento de comportamiento de usuarios, perfiles de marketing, análisis de tráfico web, telemetría de aplicaciones, geolocalización continua— queda obligada cuando esa observación se realiza a gran escala.

"Gran escala" no tiene umbral numérico en la ley. La práctica internacional considera:

  • Número de titulares observados (decenas de miles, no decenas).
  • Volumen y variedad de datos.
  • Duración y permanencia de la observación.
  • Extensión geográfica del tratamiento.

3. Tratamiento a gran escala de categorías especiales

Cuando una organización trata a gran escala datos sensibles —salud, biométricos, genéticos, origen étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, vida sexual, orientación sexual, datos de niños— queda obligada a designar DPO.

Los ejemplos típicos en Chile: clínicas y hospitales privados, isapres, laboratorios clínicos, instituciones educacionales con grandes volúmenes de datos de menores, empresas con sistemas biométricos masivos.

Cuándo no es obligatorio

Una Pyme estándar —retail, servicios profesionales, comercio, manufactura— que trata datos personales de clientes y empleados sin monitoreo sistemático masivo ni categorías especiales a gran escala no queda obligada a designar DPO.

La designación voluntaria opera como buena práctica. Reduce el riesgo regulatorio, simplifica la respuesta ante incidentes y permite responder con autoridad ante consultas de titulares.

Las funciones del DPO

La Ley 21.719 atribuye al DPO cinco funciones principales:

  1. Informar y asesorar al responsable y a los empleados sobre las obligaciones de protección de datos.
  2. Supervisar el cumplimiento de la normativa y de las políticas internas de protección de datos, incluyendo la asignación de responsabilidades, la sensibilización y la formación del personal.
  3. Asesorar en evaluaciones de impacto en la protección de datos (PIA / DPIA) y supervisar su aplicación.
  4. Cooperar con la Agencia de Protección de Datos Personales —servir como punto de contacto en consultas, fiscalizaciones y procedimientos.
  5. Atender a los titulares que ejerzan derechos ARCO o que reclamen sobre el tratamiento.

El DPO no decide; aconseja. La responsabilidad final del cumplimiento recae sobre el responsable del tratamiento.

Requisitos del rol

La ley exige cuatro condiciones al DPO:

Conocimientos especializados. Formación o experiencia acreditada en derecho de protección de datos y en la práctica operativa. La ley no exige título profesional específico, pero la idoneidad debe quedar documentada.

Autonomía funcional. El DPO no recibe instrucciones sobre el ejercicio de sus funciones. La organización no puede sancionarlo por las opiniones legales que emita en cumplimiento del rol.

Reporte directo al máximo órgano de administración. El DPO informa al directorio o equivalente, no a un mando intermedio. Ese reporte directo protege la autonomía y asegura que las observaciones lleguen a quien decide.

Recursos suficientes. Tiempo dedicado, presupuesto, acceso a información y a sistemas, apoyo administrativo cuando corresponda. Un DPO con cero recursos lee como nominal en una auditoría.

DPO interno o externo

La organización puede designar a un empleado existente como DPO o contratar el servicio externamente. Cada modalidad tiene ventajas:

DPO interno. Conoce la cultura, la operación y las personas. Tiene acceso inmediato a los sistemas. Riesgo: conflictos de interés —no puede ocupar cargos que decidan sobre tratamientos (gerente de marketing, jefe de tecnología, gerente de personas).

DPO externo. Aporta especialización legal y técnica acumulada en otras organizaciones. Mantiene distancia institucional, lo que refuerza la autonomía. Riesgo: menor familiaridad con la operación; requiere tiempo de aprendizaje.

Para Pymes que no alcancen el umbral de obligatoriedad pero quieran adoptar la práctica, el DPO externo compartido es la modalidad más eficiente en costo.

Errores frecuentes

La práctica chilena pre Ley 21.719 ya muestra patrones que la APDP, una vez activa, sancionará:

  1. Designación sin acto formal. Una persona ejerce de hecho el rol, pero no hay decisión escrita del máximo órgano. La APDP lo lee como ausencia de DPO.
  2. DPO con conflicto de interés. El gerente de tecnología o de marketing como DPO. Ambos cargos deciden sobre tratamientos; la ley exige que el DPO no decida.
  3. Sin línea de reporte directa. El DPO depende de gerencia de operaciones o de finanzas, no del directorio. La autonomía queda comprometida.
  4. Sin recursos. Designación formal con cero tiempo dedicado y cero presupuesto. El rol existe en papel.
  5. No comunicar el contacto del DPO. La política de privacidad y los avisos al titular omiten cómo contactarlo. El titular reclama; la APDP confirma la infracción.
  6. Capacitación ausente. El DPO designado no recibe formación en protección de datos. La idoneidad no se acredita.

Cuándo conviene actuar

Una organización que califica como obligada bajo Ley 21.719 tiene hasta el 1 de diciembre de 2026 para implementar el régimen completo, incluido el DPO. La Pyme con período de gracia tiene hasta el 1 de diciembre de 2027.

En la práctica, designar al DPO temprano permite que el rol participe en la implementación del régimen —mapas de datos, evaluaciones de impacto, redacción de la política de privacidad, capacitación interna. Esperar a diciembre de 2026 deja el régimen sin coordinador durante la fase más intensiva de trabajo.

Para el panorama legal completo, revise la guía sobre Ley 21.719 y derechos ARCO y, para la articulación con el canal de denuncias, el bundle Canal + ARCO.

Preguntas frecuentes

¿Toda empresa chilena debe designar un DPO? No. Solo los organismos públicos, las organizaciones que monitorean al titular a gran escala y las que tratan categorías especiales a gran escala. Para el resto, la designación es buena práctica voluntaria.

¿Qué califica como "gran escala"? La ley no fija un umbral numérico. La práctica internacional evalúa volumen de titulares, variedad de datos, duración del tratamiento y extensión geográfica.

¿Puede ser DPO un empleado de la organización? Sí, si tiene conocimientos especializados, autonomía y no ocupa otro cargo que decida sobre el tratamiento. Marketing, tecnología y recursos humanos quedan excluidos por conflicto de interés.

¿Puede ser DPO un servicio externo? Sí. La Ley 21.719 admite ambas modalidades. Para Pymes que no alcanzan el umbral pero quieren adoptar la práctica, el DPO externo compartido suele ser la opción más eficiente.

¿A quién reporta el DPO? Al máximo órgano de administración —directorio o equivalente. El reporte directo protege la autonomía exigida por la ley.

¿Qué riesgo asume personalmente el DPO? La responsabilidad principal recae sobre el responsable del tratamiento, no sobre el DPO. El DPO puede tener responsabilidad personal si actúa con dolo o negligencia grave, pero su rol es asesorar, no decidir.

¿Desde cuándo debo designarlo? Las organizaciones obligadas tienen hasta el 1 de diciembre de 2026, fecha de entrada en vigencia plena de la ley. La práctica recomienda hacerlo antes para que participe en la implementación del régimen completo.


Fuentes citadas

  • BCN — Ley N° 21.719 sobre Protección de Datos Personales.
  • Comisión Europea — guidelines on Data Protection Officers under GDPR (referencia comparativa).

Este artículo orienta de manera general y no constituye asesoría legal. Para una conversación sobre la designación del DPO en su organización, contáctenos o revise la guía completa sobre Ley 21.719.

Última revisión: 6 de junio de 2026 · Equipo Legal Anguita Osorio Abogados