Skip to content

La nueva legislación chilena (Ley N° 21.719) introduce la figura del Delegado de Protección de Datos (DPO), un rol técnico y especializado clave para supervisar el cumplimiento normativo. Aunque voluntario para la mayoría del sector privado, su designación es una decisión estratégica con importantes beneficios legales.

Designación Voluntaria con Incentivo Legal: El Modelo de Prevención

A diferencia del GDPR europeo, la ley chilena establece la designación del DPO como voluntaria para la mayoría de las empresas privadas (los organismos públicos sí están obligados).

Sin embargo, la normativa incentiva fuertemente su nombramiento a través del Modelo de Prevención de Infracciones (Artículo 49).

¿Cómo funciona el incentivo?

Las empresas pueden adoptar un modelo de cumplimiento (compliance) que, si es certificado por la Agencia (APDP), constituye una circunstancia atenuante de responsabilidad ante eventuales sanciones. Un requisito indispensable (sine qua non) para certificar este modelo es contar con un DPO designado y operativo.

En la práctica, el DPO se transforma en una pieza clave de la defensa legal: su presencia demuestra la diligencia debida de la empresa y puede reducir significativamente el impacto de una multa.

Funciones Clave: Garante Interno y Autoridad Técnica

El DPO no es un cargo administrativo; actúa como un supervisor independiente y un asesor estratégico. Sus responsabilidades principales incluyen:

  1. Asesoría Especializada: Informar y aconsejar a la alta dirección y áreas operativas. Esto implica traducir la norma jurídica a requisitos técnicos y de negocio concretos.
  2. Supervisión y Auditoría Interna: Monitorear la observancia de la ley, revisar políticas internas, supervisar la realización de Evaluaciones de Impacto (EIPD) y asegurar la capacitación del personal.
  3. Punto de Enlace (Interlocutor): Actuar como el contacto oficial ante la APDP (para consultas o fiscalizaciones) y como el canal principal para que los titulares (clientes, empleados) ejerzan sus derechos (ARCO-P).

Perfil Profesional: ¿Abogado, Ingeniero o un Híbrido?

La ley exige que el DPO cuente con "idoneidad y conocimientos especializados". En la práctica, este es un rol multidisciplinario que demanda:

  • Dominio Legal: Conocimiento profundo de la Ley N° 21.719, normativas sectoriales y estándares internacionales de privacidad.
  • Comprensión Técnica: Entendimiento de seguridad de la información, arquitectura de datos, ciberseguridad (Ley N° 21.663) y gestión de riesgos.
  • Habilidades de Gestión: Capacidad de comunicación efectiva y liderazgo para impulsar un cambio cultural en la organización.

La exigencia de independencia y el conflicto de interés

Para ejercer sus funciones con eficacia, la ley exige que el DPO cuente con independencia y autonomía. Esto implica que:

  • No debe recibir instrucciones sobre cómo desempeñar sus tareas de supervisión.
  • Debe reportar directamente al nivel jerárquico más alto (Directorio o Gerencia General).

Evitar Conflictos de Interés: Es fundamental que el DPO no supervise sus propias decisiones. Cargos que definen los fines y medios del tratamiento de datos son incompatibles con el rol.

  • Ejemplos de roles incompatibles: Gerente de Marketing, Gerente Comercial, Gerente de TI (CIO/CTO).

DPO interno vs. externo (dpo as a service)

  • DPO Interno: Ofrece conocimiento profundo de los procesos internos, pero puede enfrentar presiones y dificultades para mantener su independencia objetiva.
  • DPO Externo (DPO as a Service): Es una opción válida y cada vez más utilizada. Permite acceder a un equipo de expertos (abogados e ingenieros), garantiza imparcialidad y elimina los conflictos de interés. Es una solución eficaz para empresas que buscan un cumplimiento robusto sin aumentar su plantilla fija.

 

Noticias relacionadas

Guía Básica de la Nueva Ley de Datos (N° 21.719): Definiciones y Principios Fundamentales

La nueva Ley de Protección de Datos Personales cambia las reglas del juego en Chile, otorgando a las personas un control real sobre su información y creando una autoridad fuerte para fiscalizar su cumplimiento. A continuación, se explican los conceptos esenciales de la normativa.

Más Allá de la Multa: Cuándo un Ciberataque se Transforma en un Hecho Esencial para la CMF

El panorama de riesgos tras un ataque informático ha cambiado drásticamente. Anteriormente, el costo se medía principalmente en términos operativos. Hoy, la Ley Marco de Ciberseguridad (N° 21.663) y la Ley de Protección de Datos Personales (N° 21.719) añaden el riesgo de multas administrativas significativas.

Sin embargo, limitar el análisis a estas dos aristas es insuficiente. El riesgo se extiende a otros ámbitos regulatorios críticos:

  1. Delitos Económicos: Los efectos de la Ley N° 21.595 si el incidente constituye un delito informático y revela fallas en los modelos de prevención de la empresa.
  2. Responsabilidad ante el Mercado de Capitales: Para las sociedades anónimas abiertas y entidades registradas ante la Comisión para el Mercado Financiero (CMF), la obligación de informar al mercado.

Sistemas de CCTV y sus Desafíos Regulatorios

Históricamente, los sistemas de circuito cerrado de televisión (CCTV) han sido gestionados como herramientas pasivas, responsabilidad exclusiva del área de operaciones o seguridad física. Bajo el nuevo marco legal chileno, esta visión es insuficiente y expone a la organización a riesgos significativos.

Los sistemas de CCTV ilustran perfectamente la convergencia de las nuevas normativas. Un solo sistema de cámaras genera hoy una triple obligación regulatoria y, consecuentemente, un triple riesgo de sanción.