¿Qué es un Delegado de Protección de Datos? Guía Chile
Todo sobre el Delegado de Protección de Datos según la Ley 21.719: funciones, obligaciones, quién debe designarlo y cómo implementar este rol en tu empresa.
Equipo StrixSoft
Especialistas en Software, IA y Ciberseguridad
El Delegado de Protección de Datos (DPD) es la persona encargada de supervisar el cumplimiento de la normativa de protección de datos personales dentro de una organización. Según el Artículo 50 de la Ley 21.719, cualquier responsable o mandatario de tratamiento de datos puede designar voluntariamente un delegado. Sin embargo, esta designación se vuelve prácticamente obligatoria si la empresa desea adoptar el Modelo de Prevención de Infracciones del Art. 49, que funciona como atenuante de sanciones.
¿Qué dice la Ley 21.719 sobre el Delegado?
El Artículo 50 de la Ley 21.719 establece que el responsable de datos podrá designar un Delegado de Protección de Datos Personales. A diferencia del GDPR europeo, donde el DPO (Data Protection Officer) es obligatorio en ciertos casos, la ley chilena lo plantea como voluntario. No obstante, el Artículo 49 exige la designación de un encargado de prevención como primer requisito del Modelo de Prevención de Infracciones.
Funciones del Delegado de Protección de Datos
El Art. 50 define las siguientes funciones para el delegado:
Informar y asesorar. El delegado debe informar y asesorar al responsable de datos, a sus empleados y mandatarios sobre las obligaciones que les impone la ley y las demás normas de protección de datos.
Supervisar el cumplimiento. Debe supervisar que el responsable de datos cumpla con la ley, con las políticas internas de privacidad y con el modelo de prevención de infracciones si lo hubiere.
Servir de punto de contacto. Es el enlace oficial con la Agencia de Protección de Datos Personales y con los titulares de datos que ejerzan sus derechos ARCO+.
Desarrollar un plan anual de trabajo. Debe elaborar y ejecutar un programa de actividades que incluya auditorías, capacitaciones, revisión de políticas y evaluaciones de riesgo.
Asistir en la identificación de riesgos. Apoyar a la organización en la identificación de riesgos asociados al tratamiento de datos personales y en la implementación de medidas para mitigarlos.
¿Quién debe designar un Delegado?
Empresas grandes y medianas
Aunque la ley no lo hace obligatorio de forma general, en la práctica es altamente recomendable para cualquier empresa que trate datos personales a escala significativa. Esto incluye empresas con más de 50 empleados, empresas que tratan datos sensibles (salud, financieros, biométricos), empresas con bases de datos de miles de clientes, y organizaciones que realizan perfilamiento o toma de decisiones automatizadas.
Pymes y microempresas
El Artículo 50 inciso final establece que en las micro, pequeñas y medianas empresas, el dueño, el representante legal o la máxima autoridad puede asumir personalmente las funciones del delegado. Esto facilita el cumplimiento sin necesidad de contratar un cargo adicional, aunque la persona que asuma el rol debe capacitarse adecuadamente.
Perfil y requisitos del Delegado
La Ley 21.719 no establece requisitos formales de certificación o titulación para el delegado, pero por la naturaleza de sus funciones se necesita una combinación de conocimientos en:
- Legislación de protección de datos: Comprensión profunda de la Ley 21.719, sus reglamentos y la normativa de la Agencia
- Seguridad de la información: Conocimiento de medidas técnicas de protección, cifrado, control de acceso y gestión de brechas
- Gestión de riesgos: Capacidad de identificar, evaluar y priorizar riesgos asociados al tratamiento de datos
- Habilidades de comunicación: Debe poder interactuar con la gerencia, los equipos técnicos, la Agencia y los titulares de datos
Relación con el Modelo de Prevención de Infracciones
El Artículo 49 de la Ley 21.719 permite a las empresas adoptar un Modelo de Prevención de Infracciones que, si es certificado por la Agencia, funciona como atenuante de responsabilidad ante sanciones (Art. 36 numeral 5). Los elementos mínimos de este modelo son:
- Designación de un encargado de prevención o Delegado de Protección de Datos
- Definición de los medios y recursos para realizar sus funciones
- Identificación del tipo de datos que trata y los riesgos asociados
- Establecimiento de protocolos, reglas y procedimientos para proteger los datos
- Mecanismos de reporte interno y hacia la Agencia
- Sanciones administrativas internas por incumplimiento del modelo
El delegado es, por tanto, la pieza central del modelo de prevención. Sin delegado designado, no hay modelo de prevención certificable.
¿Delegado interno o externo?
La ley no restringe que el delegado sea un empleado o un consultor externo. Ambas opciones tienen ventajas y desventajas.
| Aspecto | Delegado interno | Delegado externo |
|---|---|---|
| Conocimiento del negocio | Alto | Requiere inmersión |
| Independencia | Puede verse comprometida | Mayor objetividad |
| Costo mensual estimado | $1,5M–$3M CLP (parcial) | $800K–$2M CLP (retainer) |
| Disponibilidad | Inmediata | Según contrato |
| Especialización | Variable | Alta si es consultor especializado |
Para empresas medianas, una combinación puede ser ideal: un coordinador interno que gestione el día a día, respaldado por un consultor externo que aporte especialización y auditoría independiente.
Pasos para implementar el rol de Delegado
1. Definir el alcance del cargo. Documenta las funciones específicas, el nivel de autoridad, la línea de reporte (idealmente directo a gerencia general o directorio) y los recursos asignados.
2. Seleccionar y capacitar a la persona. Ya sea un empleado actual o un consultor externo, asegúrate de que tenga o adquiera los conocimientos necesarios en la Ley 21.719 y en seguridad de la información.
3. Formalizar la designación. Documenta la designación formalmente y comunícala a toda la organización. Publica los datos de contacto del delegado para que los titulares puedan ejercer sus derechos.
4. Elaborar el plan anual de trabajo. El delegado debe crear un programa que incluya auditorías de cumplimiento, capacitaciones al personal, revisión de políticas de privacidad y evaluaciones de riesgo periódicas.
5. Integrar con el modelo de prevención. Si la empresa adoptará el Modelo de Prevención del Art. 49, el delegado debe liderar su diseño, implementación y eventual certificación ante la Agencia.
En StrixSoft ayudamos a empresas a implementar la figura del Delegado de Protección de Datos de forma efectiva. Ofrecemos consultoría para diseñar el modelo de prevención, evaluaciones técnicas de seguridad mediante pentesting y desarrollo de herramientas de gestión de datos personales. Contacta a nuestro equipo para preparar tu empresa antes de diciembre de 2026.