Askesis
Ley 21.719

Qué es un DPO y si tu empresa necesita uno

Descubre qué es el Encargado de Protección de Datos (DPO), cuándo es obligatorio según la Ley 21.719 de Chile, y cómo nombrarlo correctamente en tu empresa.

Equipo Askesis17 de abril de 20266 min de lectura

El Encargado de Protección de Datos —conocido por sus siglas en inglés como DPO (Data Protection Officer)— es una figura clave en la Ley 21.719. Muchas empresas chilenas no saben si están obligadas a nombrarlo, cuáles son sus responsabilidades reales, o si pueden cumplir con la ley sin uno.

Esta guía responde todas esas preguntas con precisión.

¿Qué hace un DPO?

El DPO es el responsable dentro de la organización de supervisar que el tratamiento de datos personales cumple con la ley. No es quien "firma los papeles": es el experto interno que guía las decisiones de privacidad.

Sus funciones principales son:

  • Informar y asesorar a la dirección y al personal sobre sus obligaciones legales
  • Supervisar el cumplimiento de las políticas de protección de datos
  • Gestionar el Registro de Actividades de tratamiento
  • Coordinar las Evaluaciones de Impacto (EIPD) en tratamientos de alto riesgo
  • Atender las solicitudes de titulares (derechos ARCO)
  • Ser el punto de contacto con la Agencia de Protección de Datos Personales
  • Gestionar incidentes y coordinar la notificación de brechas en 72 horas

El DPO debe tener independencia funcional: no puede recibir instrucciones de la dirección sobre cómo ejercer sus funciones de supervisión. Si el CEO le dice "no notifiques esta brecha", el DPO debe notificar igual.

¿Cuándo es obligatorio el DPO según la Ley 21.719?

La ley establece tres supuestos de obligatoriedad:

1. Tratamiento a gran escala de datos de naturaleza especial (sensibles)

Si tu empresa trata habitualmente datos sensibles (salud, biométricos, geolocalización precisa, orientación sexual, datos de menores) de un número significativo de personas, debes designar un DPO.

Ejemplos: clínicas, farmacias, apps de salud, guarderías, plataformas de seguros.

2. Tratamiento a gran escala de datos de personas naturales

Si el tratamiento de datos personales es una actividad principal o central del negocio y afecta a un volumen importante de personas.

Ejemplos: plataformas de e-commerce con miles de clientes, empresas de marketing digital, servicios de fidelización.

3. Monitoreo sistemático a gran escala de personas

Si tu empresa realiza vigilancia o seguimiento continuo de individuos (geolocalización de flotas, monitoreo de empleados, sistemas de CCTV analizados con IA).

Ejemplos: empresas de logística con tracking de conductores, servicios de seguridad privada con videoanalítica.

El criterio clave: "a gran escala"

La ley no define un número exacto de titulares. La Agencia de Protección de Datos publicará criterios interpretativos, pero como referencia internacional, el RGPD europeo considera factores como:

  • Número de personas afectadas (en términos absolutos y relativos a la población)
  • Volumen de datos tratados
  • Duración del tratamiento
  • Extensión geográfica

Una PYME de retail con 5.000 clientes activos probablemente no está en el umbral de "gran escala". Una startup de fintech con 50.000 usuarios posiblemente sí.

¿Qué pasa si no es obligatorio pero igual nombras uno?

Nada malo: puedes designar un DPO voluntariamente. De hecho, para muchas empresas en la zona gris (entre 1.000 y 50.000 titulares de datos) es la decisión más prudente.

Un DPO voluntario:

  • Demuestra compromiso con la privacidad ante clientes y socios
  • Facilita la relación con la Agencia si hay una inspección
  • Puede ser un argumento comercial diferenciador

DPO interno vs. DPO externo

La ley permite que el DPO sea un empleado de la empresa o un externo contratado. Cada opción tiene ventajas:

DPO interno

Ventajas: conoce los procesos de la empresa, respuesta rápida, menor costo en medianas y grandes empresas.
Desventajas: riesgo de conflicto de intereses, debe tener formación especializada.

Perfiles típicos: abogado interno con formación en privacidad, CISO o Director de TI con formación legal, o un rol dedicado en empresas grandes.

DPO externo

Ventajas: independencia garantizada, experiencia especializada, sin costo de contratación permanente.
Desventajas: menor conocimiento del negocio, tiempo de respuesta variable.

Proveedores típicos: consultoras legales especializadas en datos, firmas de ciberseguridad, servicios DPO-as-a-service.

Para una PYME, el DPO externo suele ser la opción más práctica y económica. El costo mensual de un servicio DPO externo ronda los $300.000–$800.000 CLP, mientras que contratar un DPO interno dedicado puede superar los $3 millones mensuales en sueldo.

Qué no puede ser el DPO

La ley establece incompatibilidades importantes. No puede ejercer como DPO quien:

  • Tome decisiones sobre las finalidades del tratamiento (el CEO, el CMO)
  • Tenga un conflicto de intereses estructural con la función de supervisión
  • Carezca de los conocimientos técnicos y jurídicos necesarios

En la práctica, esto significa que el dueño de una PYME no puede ser su propio DPO sin formación específica en protección de datos.

Cómo nombrar al DPO: los pasos formales

1. Selección con criterios objetivos

Documenta por qué esa persona (o empresa) tiene la formación y experiencia adecuadas.

2. Designación formal

Emite un acto formal (acuerdo de directorio, resolución de gerencia) que lo designe explícitamente.

3. Publicación interna y externa

El nombre y datos de contacto del DPO deben ser accesibles para los empleados y para los titulares de datos (en la política de privacidad del sitio web).

4. Comunicación a la Agencia

Una vez que la Agencia de Protección de Datos esté operativa, es probable que se requiera registrar al DPO en el registro oficial.

5. Garantía de independencia

Documenta que el DPO no recibe instrucciones sobre sus funciones de supervisión y que tiene acceso directo a la dirección.

El DPO en la práctica: un día típico

Para desmitificar el rol, esto es lo que un DPO hace en el día a día:

  • Revisar que los nuevos proyectos de producto o marketing respetan la ley desde el diseño (privacy by design)
  • Gestionar las solicitudes ARCO que llegan por correo o formulario web
  • Actualizar el Registro de Actividades cuando se contrata un nuevo proveedor SaaS
  • Coordinar la revisión anual de contratos con encargados de datos
  • Preparar reportes periódicos para la dirección

No es un trabajo de tiempo completo para la mayoría de las PYMEs: muchas compañías con DPO externo tienen 4–8 horas mensuales de dedicación efectiva.

Conclusión

Si tu empresa trata datos personales de forma sistemática y a escala, necesitas un DPO. Si estás en la zona gris, nombrarlo voluntariamente es una inversión en cumplimiento que puede evitar multas graves.

Askesis incluye un campo de DPO en el perfil de empresa para que sus datos de contacto aparezcan automáticamente en los documentos legales generados (políticas de privacidad, registros de tratamiento). Si aún no has configurado el tuyo, puedes hacerlo en Configuración de empresa.

Temas relacionados:

DPO Chileencargado protección de datosdelegado protección datos ley 21719qué es DPO empresa chile

¿Quieres saber qué tan preparada está tu empresa?

Realiza el análisis de brecha Ley 21.719 gratuito de Askesis y obtén un diagnóstico en menos de 10 minutos.

Hacer el análisis gratis
Volver al blog