Cumplimiento
¿Necesitas un Delegado de Protección de Datos (DPO)? Guía para empresas chilenas

La Ley 21.719 reconoce expresamente la figura del delegado de protección de datos (DPO), pero genera una duda razonable en la mayoría de las empresas chilenas: ¿estoy obligado a tener uno? ¿Me conviene aunque no lo esté? Y si lo designo, ¿debe ser un cargo interno o puedo contratarlo como servicio?
En esta guía respondemos esas preguntas con foco práctico: qué hace un DPO, cuándo pasa de ser recomendable a exigible, qué perfil necesita y cómo se integra con tu equipo legal y de TI para cumplir la ley que entra en vigencia el 1 de diciembre de 2026.
Qué es un Delegado de Protección de Datos (DPO)
El DPO es la persona —interna o externa— encargada de supervisar y coordinar el cumplimiento de la normativa de protección de datos dentro de una organización. No es un simple “encargado de TI” ni un rol puramente legal: es un puente entre lo jurídico, lo técnico y la gestión, con un mandato transversal.
Un rasgo clave que exige la ley es su independencia: el DPO no puede recibir instrucciones sobre cómo ejercer sus funciones de protección de datos. Debe designarse formalmente por escrito, con funciones definidas, y su contacto debe publicarse en la política de privacidad para que titulares y autoridad sepan a quién dirigirse.
Funciones principales del DPO
- Supervisar el cumplimiento. Verifica que el registro de actividades de tratamiento esté actualizado, que los procedimientos de derechos ARCO y portabilidad funcionen y que las medidas de seguridad estén operativas.
- Asesorar internamente. Acompaña a las áreas cuando diseñan procesos que involucran datos personales: evalúa la base de licitud, si corresponde una evaluación de impacto (EIPD) y cómo reducir riesgos desde el diseño.
- Ser punto de contacto con la Agencia (APDP). Es el interlocutor designado cuando la Agencia inicia una investigación o requiere información, y también recibe solicitudes de los titulares.
- Monitorear y capacitar. Da seguimiento continuo al cumplimiento, forma a los equipos y ayuda a gestionar incidentes, incluida la notificación de brechas cuando ocurren.
¿Cuándo necesitas un DPO?
La Ley 21.719 no vuelve obligatorio el DPO para todas las organizaciones. La designación se vuelve exigible en casos determinados y altamente recomendable en muchos otros. Conviene distinguir ambos escenarios.
Cuándo es exigible o esperable
- Cuando la organización adopta voluntariamente un modelo de prevención de infracciones y busca su certificación ante la Agencia: en ese marco la designación de un delegado es parte del estándar esperado.
- En organismos públicos, donde el tratamiento de datos de las personas es masivo por naturaleza.
- En tratamientos a gran escala, especialmente cuando involucran datos sensibles o datos de niños, niñas y adolescentes (NNA), que la ley protege con mayor rigor.
- En actividades cuyo núcleo de negocio implique monitoreo sistemático de personas a gran escala.
Cuándo es recomendable aunque no sea obligatorio
Incluso sin una obligación expresa, designar un DPO ayuda a demostrar el principio de responsabilidad proactiva (accountability): poder probar que gestionas los datos con diligencia. Para una empresa mediana que maneja bases de clientes, marketing y proveedores, tener un responsable claro del tema suele ser la diferencia entre reaccionar tarde y llegar preparado. Si aún estás evaluando tu punto de partida, revisa primero qué es la Ley 21.719 y nuestro checklist para prepararte.
Perfil y competencias del DPO
Un buen DPO combina tres dominios. Rara vez una sola persona los domina por completo, y por eso muchas organizaciones optan por un equipo o por un servicio externo especializado.
| Dominio | Qué debe manejar | Quién suele aportarlo |
|---|---|---|
| Jurídico | Ley 21.719, bases de licitud, derechos de los titulares, contratos con encargados | Abogado especializado o asesoría legal externa |
| Técnico / TI | Seguridad de la información, clasificación de datos, nube, cifrado y respaldos | Ingeniero o partner tecnológico especializado |
| Gestión | Mapeo de procesos, análisis de riesgos, gestión de proveedores y capacitación | Responsable de cumplimiento con experiencia operativa |
Más importante que un título específico es la capacidad de traducir: convertir una obligación legal en una medida técnica concreta, y un riesgo técnico en una decisión de negocio.
DPO interno vs. externo (DPO como servicio)
No existe una única respuesta correcta; depende del tamaño, el sector y la sensibilidad de los datos que tratas.
DPO interno. Conoce el negocio desde dentro y está disponible a diario. Su riesgo principal es el conflicto de interés: si la misma persona que decide los tratamientos supervisa su cumplimiento, la independencia se resiente. Además, en organizaciones pequeñas es difícil justificar un cargo dedicado a tiempo completo.
DPO externo (DPO como servicio). La ley no exige que el delegado sea empleado: puede contratarse a un profesional o equipo externo, incluso a tiempo parcial. Esta modalidad aporta especialización e independencia desde el primer día, distribuye el conocimiento legal y técnico en un equipo, y suele ser más costo-eficiente para empresas que no requieren un cargo interno completo.
Modelo híbrido. Un punto de contacto interno para lo operativo, respaldado por un partner externo que aporta la profundidad legal y técnica. Es una fórmula frecuente y equilibrada.
El DPO externo como servicio es especialmente atractivo cuando quieres cumplir bien sin crear estructura nueva: obtienes la figura, los procedimientos y la interlocución con la Agencia sin sumar un cargo de planta.
Cómo se integra el DPO con tu equipo técnico
El DPO no reemplaza a TI ni al área legal: los articula. En la práctica, su trabajo con el equipo técnico incluye:
- Mantener con TI el inventario de datos y sistemas para saber dónde vive cada dato y quién lo trata.
- Revisar juntos las medidas de seguridad —control de accesos, cifrado, respaldos, registros de auditoría— y priorizar mejoras.
- Diseñar los flujos para responder solicitudes de acceso, rectificación, supresión, oposición y portabilidad en los plazos legales.
- Definir el plan de respuesta a incidentes, para que una eventual brecha se detecte, contenga y notifique dentro del plazo que exige la ley.
Cuando lo legal y lo técnico trabajan coordinados por una figura con visión completa, el cumplimiento deja de ser una carrera contra el reloj y pasa a ser parte de la operación normal.
Beneficios frente a la Agencia
Contar con un DPO bien designado tiene efectos concretos ante la Agencia de Protección de Datos Personales:
- Interlocución ordenada. Ante un requerimiento o investigación, hay una persona designada que responde con conocimiento del caso, evitando respuestas improvisadas.
- Evidencia de diligencia. La designación, sus registros y su seguimiento son prueba tangible del principio de responsabilidad, un factor que se valora al evaluar la conducta de la empresa.
- Base para el modelo de prevención. El DPO es una pieza natural de un modelo de prevención de infracciones certificable, que puede ayudar a atenuar la exposición ante eventuales sanciones.
Preguntas frecuentes
¿Toda empresa está obligada a tener un DPO con la Ley 21.719?
No. La designación es exigible o esperable en escenarios determinados —organismos públicos, tratamientos a gran escala de datos sensibles o de NNA, monitoreo sistemático, o cuando se adopta un modelo de prevención certificable—. Fuera de esos casos sigue siendo altamente recomendable como buena práctica de gobernanza.
¿El DPO tiene que ser abogado?
No necesariamente. Necesita una combinación de conocimiento legal, técnico y de gestión. Por eso muchas organizaciones lo resuelven con un equipo o con un servicio externo que reúne esos perfiles, en lugar de exigirle todo a una sola persona.
¿Puedo contratar un DPO externo en vez de designar a un empleado?
Sí. La ley no exige que el delegado sea empleado de la organización. Un DPO externo, incluso a tiempo parcial, aporta especialización e independencia, y suele ser más eficiente para empresas que no justifican un cargo interno dedicado.
¿Evaluando si necesitas un Delegado de Protección de Datos? En basedatos.cl ofrecemos DPO externo como servicio: abogados e ingenieros que asumen la interlocución con la Agencia, dejan tus procesos en orden y protegen tus bases de datos. Escríbenos en /contacto para una evaluación inicial.
Este contenido es informativo y no constituye asesoría legal para un caso particular.


