El rol del Delegado de Protección de Datos bajo la Ley Sobre Protección de los Datos Personales

La Ley N°19.628 sobre protección de los datos personales, modificada por la Ley N°21.719, introduce de manera expresa una nueva figura: el Delegado de Protección de Datos (Data Protection Officer o “DPO”).

Este rol constituye uno de los pilares del nuevo marco normativo, alineando a Chile con los estándares internacionales en materia de privacidad y cumplimiento, especialmente con el Reglamento General de Protección de Datos de la Unión Europea (“GDPR”).

El DPO se concibe como un garante interno del cumplimiento normativo y de la gestión responsable de los datos personales dentro de las organizaciones. Su función trasciende lo meramente técnico, pues busca instaurar una cultura de protección de datos, integrando la privacidad como un componente estructural de la gestión empresarial y de la toma de decisiones estratégicas.

Designación y autonomía

El DPO deberá ser designado por la máxima autoridad directiva o administrativa de las organizaciones, como, por ejemplo, el directorio, socio administrador o gerente general. En el caso de micro, pequeñas o medianas empresas, la ley permite que el propio dueño o sus máximas autoridades asuman directamente estas funciones, en la medida que no exista un conflicto de interés. 

Asimismo, las empresas pertenecientes a un mismo Grupo Empresarial podrán compartir un único DPO, siempre que operen bajo estándares y políticas comunes en materia de protección de datos.  

La designación debe recaer en una persona que posea la idoneidad, capacidad y conocimientos específicos en la materia, y el responsable deberá garantizar que cuente con los medios, recursos y facultades suficientes para el adecuado desempeño de sus funciones.

El DPO, además, debe ejercer su labor con autonomía e independencia respecto de la administración y observar un estricto deber de confidencialidad en relación con los datos personales a los que acceda.

Principales funciones: 

• De acuerdo con la nueva Ley N°19.628, el DPO tiene las siguientes funciones esenciales:
• Informar y asesorar sobre las obligaciones legales y reglamentarias en materia de protección de datos personales, tanto al responsable como a los encargados y dependientes que intervengan en las operaciones de tratamiento.
• Promover y participar en la elaboración, aplicación y mejora continua de la política interna de protección y tratamiento de datos de la organización.
• Supervisar el cumplimiento de la ley y de las políticas internas en materia de protección de datos.
• Impulsar la formación y capacitación continua del personal que participe en operaciones de tratamiento.
• Asistir en la identificación y gestión de riesgos, recomendando medidas para resguardar los derechos de los titulares.
• Elaborar un plan anual de trabajo y rendir cuenta de sus resultados ante la dirección de la entidad.
• Responder consultas y solicitudes de los titulares de datos personales.
• Garantizar la confidencialidad de los datos personales tratados en el ejercicio de sus funciones.
• Cooperar y actuar como punto de contacto con la futura Agencia de Protección de Datos Personales.

¿Es obligatorio designar un DPO? 

A diferencia de lo dispuesto en el artículo 37.1 del GDPR, en que se recogen supuestos donde es obligatorio la designación de un DPO, la nueva Ley N°19.628 no impone la obligación de designar un DPO. Sin perjuicio de que la ley hace su designación obligatoria en el marco de la adopción del Modelo de Prevención de Infracciones, cuya correcta implementación puede atenuar la responsabilidad de la organización en caso de alguna infracción.

Desde nuestra perspectiva, su nombramiento se vuelve altamente recomendable —e incluso necesario— en organizaciones que realizan tratamientos masivos, sistemáticos o de datos sensibles. 

De esta manera, la figura del DPO no debe entenderse únicamente como una exigencia formal, sino como una pieza estratégica del modelo de cumplimiento.

Su implementación efectiva permitirá a las organizaciones anticiparse a riesgos, fortalecer la confianza de los titulares y demostrar un compromiso real con la protección de datos personales.

Rosario Alonso Asociada del Área de Protección de Datos Personales y Compliance de ECIJA Chile