Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

7 de mayo de 2026

DPO en Chile: cuándo es obligatorio y qué debe hacer

```html

DPO en Chile: cuándo es obligatorio y qué debe hacer

Si diriges una PyME o eres gerente general, probablemente has escuchado hablar del DPO (Delegado de Protección de Datos). La Ley 21.719 introdujo esta figura en Chile con la intención de que alguien en tu empresa sea responsable de vigilar el cumplimiento en materia de datos personales. Pero aquí está el punto: no todas las empresas están obligadas a tener uno. La pregunta es: ¿tu empresa está en los tres supuestos que marca la ley? Y si es así, ¿qué significa realmente designar a alguien en ese rol?

¿Cuándo es obligatorio designar un DPO?

La Ley 21.719, en su artículo 19, establece que debes designar un Delegado de Protección de Datos en tres casos específicos:

  • Organismos públicos: Si tu empresa es parte de la administración estatal, municipal o tiene naturaleza pública, la designación es obligatoria sin excepciones.
  • Tratamiento de datos a gran escala: Si tu negocio procesa datos personales de forma habitual y sistemática en grandes volúmenes (por ejemplo, una empresa de telecomunicaciones, un banco, una plataforma de e-commerce con decenas de miles de clientes). La ley no define un número exacto, pero se refiere a que sea una actividad principal y masiva.
  • Datos sensibles o delicados tratados sistemáticamente: Si trabajas con información de salud, antecedentes penales, datos biométricos, financieros o religiosos de forma regular, necesitas un DPO.

Ejemplo práctico: un retailer con 50 sucursales que gestiona bases de datos de clientes (compras, números de tarjeta) necesita DPO. Un estudio de abogados con 15 profesionales que solo guarda datos básicos de clientes, probablemente no.

Las tres funciones clave del DPO

Si ya determinaste que tu empresa necesita un DPO, debes entender qué hace exactamente esta persona. Según la ley, tiene tres misiones principales:

1. Asesoría y cumplimiento

El DPO debe asesorar a tu organización sobre cómo cumplir con la Ley 21.719. Desde qué datos recopilar hasta cómo guardarlos, cómo responder solicitudes de personas sobre sus datos, implementar medidas de seguridad, etc. No es solo un papel administrativo; es un consejero estratégico en privacidad.

2. Control y supervisión

Debe supervisar que los procesos de tu empresa respeten la ley. Hace auditorías internas, revisa bases de datos, controla que se respeten los derechos de los titulares (acceso, rectificación, eliminación), y documenta todo para demostrar cumplimiento.

3. Contacto con la CPDT

El DPO es el punto de contacto oficial con la Comisión para la Protección de la Vida Privada (CPDT). Si esa entidad tiene preguntas, dudas o presenta un reclamo, el DPO es quien responde y coordina la solución.

¿Interno o externo? Y por qué tu gerente de TI no puede serlo

Puedes contratar a un DPO interno (un empleado de tu empresa) o externo (un consultor o empresa especializada que actúe en ese rol para ti). La ley no discrimina, pero hay un requisito fundamental: no puede haber conflicto de interés.

Aquí viene lo importante: tu gerente de TI o de sistemas no debería ser el DPO. ¿Por qué? Porque suele ser responsable de construir y mantener los sistemas donde se guardan los datos. Si esa misma persona supervisa el cumplimiento legal, hay un conflicto obvio: no puede auditar críticamente su propio trabajo. Es como pedirle a un constructor que inspeccione su propia obra.

Lo ideal es un DPO con independencia, que pueda cuestionar procesos sin temor a afectar su evaluación de desempeño en otras áreas. Si es interno, que reporte directamente a la dirección, no a sistemas o seguridad. Si es externo, es aún mejor porque agrega objetividad.

Cómo designar un DPO: documentación obligatoria

No basta con asignarle el rol a alguien. Debes documentar formalmente la designación. El artículo 19 de la Ley 21.719 exige que informes a la CPDT sobre quién es tu DPO, sus datos de contacto y su designación. Internamente, debes generar un acta o resolución que establezca claramente:

  • Nombre y datos del DPO
  • Fecha de designación
  • Funciones específicas asignadas
  • Línea de reporte (a quién responde)
  • Recursos disponibles
  • Declaración de ausencia de conflicto de interés

Mantén esta documentación a disposición. Es parte de tu demostración de cumplimiento ante la CPDT si llega a auditar.

¿Puedes compartir un DPO en grupos de empresas?

Sí, pero con condiciones. Varios grupos empresariales pueden tener un único DPO que actúe para todas las filiales u empresas del conglomerado, siempre que:

  • El DPO esté disponible y accesible para todas
  • Sea independiente y sin conflictos en ninguna de las empresas
  • Tenga la capacidad de supervisar el cumplimiento en cada una
  • Se documente claramente que es compartido

Es una práctica común en holdings o grupos económicos para optimizar costos, pero requiere una estructura clara y comunicación explícita con la CPDT.

Conclusión: es más que un titulo

Designar un DPO no es solo cumplir un requisito legal. Es invertir en que alguien vele por la confianza de tus clientes y el cumplimiento de tu empresa. Si tu empresa cae en los tres supuestos de obligatoriedad, es momento de hacerlo bien: elige a la persona adecuada, documenta la designación e informa a la CPDT.

¿Aún no tienes claro si tu empresa necesita DPO? PrivacTech te ayuda a hacer un análisis rápido de tu situación de compliance con la Ley 21.719, incluyendo si debes designar un Delegado de Protección de Datos y cómo hacerlo correctamente. Entra a privactech.com y realiza tu análisis gratis hoy mismo.

```