En la economía digital actual, la protección de los datos personales es mucho más que un mandato legal. Se ha convertido en un pilar estratégico para la sostenibilidad, competitividad y generación de confianza de cualquier organización. El cumplimiento normativo ya no basta: las empresas deben asumir un rol activo en la protección de los derechos de las personas, adoptando prácticas éticas y alineadas con los estándares internacionales.
En este contexto, el Delegado de Protección de Datos (DPO, por sus siglas en inglés) emerge como un actor clave. Aunque en Chile su figura no es obligatoria (salvo que se adopte un modelo de prevención de infracciones), su incorporación puede marcar la diferencia. Más allá de garantizar el cumplimiento de la Ley Nº 21.719[1] (que modifica la Ley N° 19.628 sobre Protección de la Vida Privada), la cual establece obligaciones como la implementación de medidas de seguridad, la transparencia en el tratamiento de datos y la protección de los derechos de los titulares; el DPO eleva los estándares organizacionales. Inspirado en el modelo europeo del Reglamento General de Protección de Datos (GDPR), su papel encarna el principio de responsabilidad proactiva, o accountability.
De esta forma, el DPO no solo asesora a las organizaciones en la implementación de políticas de protección de datos, sino que supervisa su cumplimiento efectivo. Actúa como puente entre las necesidades legales, técnicas y operativas, gestionando riesgos y promoviendo una cultura organizacional centrada en la privacidad. Este enfoque proactivo fortalece la seguridad jurídica y reputacional de la organización, preparándola para auditorías, consultas de las autoridades y gestión de incidentes. Es tal su importancia que la legislación chilena establece directrices claras para la designación y las funciones del DPO. En este sentido, la Ley Nº 21.719 establece que el DPO debe ser designado por la máxima autoridad directiva o administrativa del responsable de datos, como el directorio, el socio administrador o la máxima autoridad de la empresa o servicio, y, en el caso de micro, pequeñas y medianas empresas, las máximas autoridades pueden asumir personalmente estas tareas.
Adicionalmente, el DPO debe contar con autonomía en el desempeño de sus funciones relacionadas con la protección de datos y garantizar que sus otras responsabilidades no generen conflictos de intereses. Para ello, las organizaciones deben proporcionarle recursos materiales y técnicos adecuados que les permitan cumplir con sus labores, considerando el tamaño y la capacidad económica de la entidad.
La independencia es un atributo esencial del DPO, por lo que es importante tener a la vista como se ha resguardado en otras jurisdicciones. Así, en la experiencia de la Unión Europea[2], ésta se garantiza mediante:
- Autonomía operativa: El DPO no recibe instrucciones sobre el ejercicio de sus funciones ni enfrenta conflictos de intereses, como ser responsable de tratamiento de datos o dependiente de un director inmediato (debe reportar a la alta dirección).
- Recursos de apoyo: Se le debe proporcionar personal y formación para desempeñar sus funciones, como asistentes o coordinadores de protección de datos.
- Autoridad para investigar: El DPO tiene acceso a todos los datos personales y procesos de tratamiento, y puede requerir información a los responsables internos.
- Estabilidad del cargo: Se sugiere un período mínimo de nombramiento y condiciones claras para su remoción, reforzando su autonomía.
La Ley N° 21.719 también establece las funciones de este nuevo rol, entre las que destacan: (i) asesorar al responsable y a los encargados de datos sobre las disposiciones legales; (ii) promover políticas de tratamiento de datos; (iii) supervisar el cumplimiento normativo; (iv) capacitar a los empleados; (v) identificar riesgos asociados al tratamiento; (vi) desarrollar planes anuales de trabajo, y (vii) actuar como punto de contacto con la Agencia de Protección de Datos. Además, el DPO tiene la obligación de mantener estricto secreto y confidencialidad sobre los datos personales que conozca en el ejercicio de su cargo.
El éxito de esta figura está estrechamente vinculado a su perfil profesional. Este rol exige una combinación de conocimientos especializados en normativa de protección de datos, dominio de técnicas de seguridad de la información y una comprensión integral del negocio. Aunque no es imprescindible que el DPO sea abogado, esta formación puede constituir una ventaja competitiva significativa. Asimismo, resulta fundamental que posea habilidades de comunicación, integridad y la capacidad de colaborar con equipos multidisciplinarios, cualidades esenciales para construir confianza y credibilidad tanto dentro como fuera de la organización.
Considerando su carácter híbrido y el nivel de especialización requerido, las organizaciones más grandes y complejas pueden beneficiarse de apoyar al DPO con un equipo multidisciplinar. Este enfoque amplifica su capacidad para supervisar e implementar medidas efectivas, asegurando una comunicación fluida con la futura autoridad de protección de datos y respondiendo estratégicamente a auditorías o incidentes.
En definitiva, aunque la figura del DPO no sea obligatoria en Chile, su incorporación es una decisión estratégica que demuestra una visión a largo plazo. Las empresas que adopten este rol estarán mejores preparadas para afrontar los retos de un mercado digitalizado y altamente competitivo, donde la privacidad y la confianza son valores fundamentales. En este sentido, el DPO no solo asegura el cumplimiento normativo, sino que transforma la protección de datos en una fortaleza competitiva que robustece la reputación y sostenibilidad de las organizaciones.
[1] Que “Regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales”.
[2] https://www.edps.europa.eu/data-protection/data-protection/reference-library/data-protection-officer-dpo_en
