Lo esencial en 30 segundos
- La Ley 21.719 contempla la figura del Delegado de Protección de Datos (DPO).
- No es obligatorio para todos: su exigibilidad depende de la naturaleza, el volumen y el riesgo del tratamiento.
- Es exigible —o muy recomendable— cuando hay datos sensibles a gran escala, monitoreo sistemático de personas o en organismos públicos.
- Puede ser interno o externo (DPO as a service). Para muchas PyMEs, externo es más eficiente.
- Aun cuando no sea obligatorio, designar un responsable es la mejor forma de demostrar responsabilidad proactiva.
“¿Tengo que contratar a alguien solo para esto?” Es la primera reacción de muchas empresas cuando escuchan hablar del DPO. La respuesta corta es: depende —y vale la pena entender de qué depende, porque designar (o no) un Delegado de Protección de Datos tiene efectos concretos en una fiscalización. Si quieres el panorama legal completo, parte por la guía definitiva de la Ley 21.719.
Qué es el DPO (Delegado de Protección de Datos)
El Delegado de Protección de Datos —DPO, por sus siglas en inglés (Data Protection Officer)— es la persona o el servicio que vela por que la organización trate los datos personales conforme a la ley. No es un rol meramente técnico ni puramente legal: es un puente entre la dirección, las áreas que tratan datos (marketing, RR. HH., ventas, TI), los titulares de los datos y la Agencia de Protección de Datos Personales.
Es el equivalente chileno al DPO del GDPR europeo. Si te interesa la comparación, la vemos en Ley 21.719 vs GDPR.
¿La Ley 21.719 obliga a tener un DPO?
La ley contempla la figura, pero no impone un único umbral para todos. La obligatoriedad se evalúa según la naturaleza, el volumen y el riesgo del tratamiento que realiza cada organización. En términos prácticos, hay tres situaciones donde designar un DPO pasa de “recomendable” a “esencial”:
- Cuando se tratan datos sensibles a gran escala (salud, datos biométricos, situación socioeconómica, entre otros).
- Cuando la actividad implica observación o monitoreo sistemático de personas (perfilamiento, scoring, seguimiento).
- En organismos públicos y en sectores especialmente regulados.
Para el resto de las organizaciones, la designación puede no ser estrictamente obligatoria, pero sigue siendo la mejor forma de demostrar responsabilidad proactiva —el principio que atraviesa toda la Ley 21.719: no basta con cumplir, hay que poder demostrar que se cumple.
¿Cuándo se exige? Una guía rápida
Esta tabla orienta la decisión. No reemplaza un análisis caso a caso —el riesgo real depende del tipo y volumen exacto de datos—, pero ayuda a ubicarse:
| Tipo de organización | ¿Necesita DPO? |
|---|---|
| Organismo público | Sí, designación esperada |
| Clínica, centro médico o laboratorio (datos de salud) | Sí, datos sensibles a gran escala |
| Banca, financiera, seguros (scoring/perfilamiento) | Sí, monitoreo sistemático |
| Retail / e-commerce con marketing y perfilamiento masivo | Muy recomendable |
| PyME que trata datos de clientes y trabajadores | Recomendable (interno o externo) |
| Empresa pequeña con tratamiento mínimo y de bajo riesgo | Al menos un responsable designado |
¿Tu sector trata datos sensibles o hace perfilamiento? Revisa el enfoque específico para salud, banca y finanzas o PyMEs.
DPO interno vs externo
La ley no exige que el DPO sea un empleado. Puede ser interno (alguien de tu equipo) o externo (un servicio especializado, conocido como DPO as a service). Cada opción tiene su lugar:
- DPO interno: conoce la organización desde adentro. Tiene sentido en empresas grandes, con volumen y complejidad suficientes para justificar un cargo dedicado.
- DPO externo: aporta experiencia especializada sin el costo de un cargo full-time, con independencia y una mirada actualizada del marco regulatorio. Suele ser la opción más eficiente para PyMEs y mid-market.
En ambos casos hay tres condiciones que la función debe cumplir para ser válida: conocimiento experto, autonomía (que no se le instruya el resultado de su análisis) y una vía directa con la dirección.
Qué funciones cumple el DPO
- Supervisar el cumplimiento de la Ley 21.719 dentro de la organización.
- Asesorar a las áreas que tratan datos y a la dirección.
- Ser el punto de contacto con la Agencia de Protección de Datos Personales y con los titulares.
- Coordinar la atención de los derechos ARSOP y la gestión de brechas.
- Velar por el Registro de Actividades de Tratamiento (RAT) y por las evaluaciones de impacto (EIPD).
- Promover la cultura de privacidad: capacitación y políticas internas.
Qué arriesgas si no lo designas
Cuando la designación es exigible y no existe, se configura una brecha de cumplimiento: además del riesgo de sanción, debilita la defensa de la empresa ante una fiscalización, porque no hay quién acredite el programa ni quién responda por él. Las infracciones de la Ley 21.719 van desde leves (hasta 5.000 UTM) hasta gravísimas (hasta 20.000 UTM); revisa el detalle en multas y sanciones.
Y aun cuando el DPO no sea obligatorio, su ausencia se nota: derechos que no se responden a tiempo, brechas gestionadas a las apuradas y un RAT que nadie mantiene. La figura existe, justamente, para que alguien tenga el cumplimiento como responsabilidad y no como “lo que hacemos cuando podemos”.
Cómo empezar
El primer paso no es contratar a alguien, sino saber si lo necesitas y en qué intensidad. Eso se resuelve con un diagnóstico: qué datos tratas, a qué escala y con qué riesgo. A partir de ahí se define si corresponde un DPO interno, uno externo o, al menos, un responsable designado con un plan claro. Lo vemos también en el checklist de cumplimiento, frente número 1: gobernanza.
¿No sabes si tu empresa necesita un DPO?
En un diagnóstico de 30 minutos evaluamos tu tratamiento de datos y te decimos si corresponde —interno o externo— y por dónde partir. Sin compromiso.
Solicitar diagnósticoPreguntas frecuentes
¿Es obligatorio tener un DPO en Chile con la Ley 21.719?
La Ley 21.719 contempla la figura del Delegado de Protección de Datos (DPO). Su obligatoriedad depende de la naturaleza, el volumen y el riesgo del tratamiento: es exigible —o altamente recomendable— cuando se tratan datos sensibles a gran escala, se realiza monitoreo sistemático de personas o en organismos públicos. Aun cuando no sea estrictamente obligatorio, designar un responsable es una medida clave de responsabilidad proactiva.
¿El DPO puede ser externo?
Sí. El DPO puede ser un colaborador interno o un servicio externo (DPO as a service). Lo relevante es que tenga conocimiento experto, autonomía para ejercer su función, recursos suficientes y una vía directa con la dirección. Para muchas PyMEs, un DPO externo es más eficiente que crear el cargo internamente.
¿Qué funciones cumple el DPO?
Supervisar el cumplimiento de la Ley 21.719, asesorar a la organización, ser el punto de contacto con la Agencia de Protección de Datos Personales y con los titulares, coordinar la atención de derechos ARSOP y la gestión de brechas, y velar por el registro de actividades de tratamiento y las evaluaciones de impacto.
¿Qué arriesga mi empresa si no designa un DPO cuando corresponde?
Cuando la designación es exigible, no contar con un DPO es una brecha de cumplimiento que puede derivar en sanción y debilita la defensa ante una fiscalización. Aun cuando no sea obligatorio, su ausencia suele traducirse en falta de coordinación: derechos sin responder a tiempo, brechas mal gestionadas y un RAT desactualizado.