No toda empresa chilena necesita un DPD. Pero las que lo necesitan y no lo designan se exponen a multas de hasta UF 10.000. Esta guía aclara los tres roles definidos por la Ley 21.719 (Responsable, Encargado, DPD), cuándo el DPD es obligatorio, qué perfil debe tener y cuándo conviene la modalidad virtual.
Los tres roles que define la Ley 21.719
La ley distingue tres figuras que pueden coexistir en un mismo proyecto:
Responsable del tratamiento
La persona natural o jurídica que decide sobre los fines y los medios del tratamiento de datos personales. Es quien define qué datos se recolectan, para qué, cómo se conservan y por cuánto tiempo. La empresa típica (banco, retailer, SaaS, clínica) actuando con sus propios datos es Responsable.
El Responsable es el sujeto principal de la ley. Es quien responde ante la Agencia y soporta las sanciones más relevantes.
Encargado del tratamiento
La persona natural o jurídica que trata datos personales por cuenta del Responsable. No decide los fines: solo ejecuta el tratamiento siguiendo instrucciones documentadas. Ejemplos típicos:
- Un proveedor de cloud (AWS, Azure, GCP) que aloja la base de datos.
- Una plataforma SaaS de email marketing (Mailchimp, ActiveCampaign).
- Una agencia de marketing que ejecuta campañas con la base de clientes.
- Un payroll externo que procesa nóminas.
El Encargado tiene obligaciones específicas (seguridad, confidencialidad, asistencia al Responsable para derechos y brechas) y responde solidariamente cuando incumple. La relación se rige por un contrato escrito obligatorio.
Delegado de Protección de Datos (DPD)
La figura profesional dentro o asociada al Responsable o al Encargado que supervisa el cumplimiento de la normativa de protección de datos. No es un rol contractual con el titular ni con la Agencia: es un rol interno con funciones definidas legalmente.
Una fintech chilena (Responsable) contrata un proveedor de KYC en EE.UU. (Encargado) y designa un DPD virtual externo que supervisa el cumplimiento. Los tres roles coexisten y cada uno tiene obligaciones distintas.
¿Cuándo es obligatorio designar un DPD?
La Ley 21.719 establece tres supuestos en los que la designación de DPD es obligatoria:
1. Organismos públicos
Todo órgano u organismo de la Administración del Estado, municipalidades, empresas públicas, servicios descentralizados, universidades estatales, etc. La obligación es absoluta y no admite excepciones por tamaño o volumen.
2. Empresas privadas con observación habitual y sistemática a gran escala
Aplica a quienes, como actividad principal, monitorean comportamientos, ubicaciones o características de titulares de forma continua y masiva. Ejemplos típicos:
- Plataformas de e-commerce con seguimiento de comportamiento de compradores.
- Empresas de telecomunicaciones que registran ubicación y patrones de uso.
- Fintech y bancos con scoring crediticio basado en comportamiento.
- Empresas de seguridad con videovigilancia masiva.
- Plataformas de movilidad y delivery con trazabilidad de usuarios.
- Servicios de adtech con perfilamiento publicitario.
3. Empresas privadas con tratamiento a gran escala de datos sensibles
Aplica a quienes tratan masivamente categorías especiales de datos:
- Datos de salud (clínicas, prestadores, isapres, laboratorios).
- Datos biométricos (control de accesos, identificación facial).
- Datos de origen étnico o racial.
- Opiniones políticas, convicciones religiosas, filosóficas o sindicales.
- Vida sexual u orientación sexual.
- Datos genéticos.
- Datos relativos a infracciones, condenas penales o sanciones administrativas.
Cuando no es obligatorio, ¿conviene designarlo igual?
En la mayoría de los casos, sí. Las razones son tres:
- Punto de contacto único: el DPD ordena la comunicación con la Agencia, con los titulares y con las áreas internas. Sin DPD, las solicitudes ARCOP+ se dispersan.
- Accountability demostrable: tener un DPD designado demuestra a la Agencia que hay alguien responsable y que el cumplimiento no es accidental.
- Escalabilidad: la empresa puede crecer y pasar al umbral obligatorio sin darse cuenta. Tenerlo antes evita un retroactivo difícil.
Perfil profesional del DPD
La ley no exige un título específico (legal o técnico), pero sí conocimientos especializados. El perfil completo combina cinco dimensiones:
| Dimensión | Qué se espera |
|---|---|
| Jurídica | Conocimiento de Ley 21.719, Ley 19.628, GDPR, jurisprudencia y reglamentos. |
| Técnica | Comprensión de sistemas de información, bases de datos, cifrado, cloud, seguridad. |
| Procesos | Capacidad para mapear flujos de datos, evaluar riesgos y diseñar controles. |
| Comunicación | Saber traducir entre legal, TI y negocio. Capacitar al personal. Negociar con proveedores. |
| Ética e independencia | Capacidad para informar a la dirección sin filtros y rechazar decisiones que violen la ley. |
Certificaciones útiles (aunque no obligatorias): CIPM/CIPP de la IAPP, ISO 27701 Lead Implementer, DPO certificado por TÜV o AENOR.
DPD interno vs DPD virtual: ¿cuál conviene?
Ambas modalidades son legales. La decisión depende del tamaño y madurez de la empresa.
| Dimensión | DPD interno (FTE) | DPD virtual (externo) |
|---|---|---|
| Costo anual | CLP 36–90 M (sueldo + cargas + capacitación) | CLP 12–48 M (retainer mensual) |
| Dedicación | Tiempo completo | Modular: 20–80 h/mes según necesidad |
| Profundidad de conocimiento del negocio | Alta (vive el día a día) | Media (sesiones recurrentes) |
| Experiencia multi-industria | Limitada al historial del profesional | Amplia (varios clientes simultáneos) |
| Independencia | Más expuesta a presiones internas | Más fuerte (relación contractual externa) |
| Adecuada para | Bancos, isapres, retailers grandes, grupos económicos | Startups, scale-ups, empresas medianas, organismos pequeños |
Funciones formales del DPD
La Ley 21.719 atribuye al DPD un conjunto de funciones obligatorias:
- Informar y asesorar al Responsable, al Encargado y a sus colaboradores sobre las obligaciones legales en protección de datos.
- Supervisar el cumplimiento de la ley y de las políticas internas, incluyendo asignación de responsabilidades, concientización, capacitación y auditorías.
- Asesorar sobre la EIPD y supervisar su realización.
- Cooperar con la Agencia de Protección de Datos.
- Actuar como punto de contacto con la Agencia y con los titulares de datos.
Para ejercer estas funciones, debe contar con: independencia funcional, acceso a información, recursos suficientes, formación continua, protección frente a represalias por su actuación, y publicación de sus datos de contacto.
Conflicto de interés: qué no puede ser el DPD
El DPD no puede simultáneamente:
- Decidir sobre los fines y medios del tratamiento (sería ser juez y parte).
- Ocupar roles típicamente incompatibles: CMO, CHRO operativo, CIO/CTO con decisiones sobre datos, gerente de marketing.
- Estar sujeto a instrucciones operativas sobre el ejercicio de sus funciones de DPD.
- Ser sancionado o despedido por cumplir su rol.
Sí puede ser un rol combinable con figuras compatibles: auditor interno, compliance officer, asesor legal externo no involucrado en operaciones diarias.
Comparación con el DPO del GDPR europeo
| Aspecto | DPD (Chile · Ley 21.719) | DPO (UE · GDPR) |
|---|---|---|
| Obligatoriedad | Sector público + observación sistemática gran escala + datos sensibles gran escala | Idéntico (Art. 37 GDPR) |
| Independencia funcional | Sí | Sí |
| Reporta a | Alta dirección | Más alto nivel de dirección |
| Punto de contacto con autoridad | Agencia de Protección de Datos Personales | Autoridad de control nacional |
| Externo permitido | Sí | Sí |
| Datos de contacto publicados | Sí (publicación + comunicación a la Agencia) | Sí (publicación + comunicación a la autoridad) |
En la práctica, ambos roles son equivalentes. Un profesional certificado como DPO/GDPR está bien preparado para asumir el rol de DPD/Ley 21.719 tras un periodo corto de familiarización con la ley chilena.
¿Necesitas un DPD pero no quieres contratar uno interno?
Confiden360 ofrece servicio de DPD virtual con un equipo de profesionales certificados, presencia operativa en Chile y plataforma Confirmer360 incluida para gestión del cumplimiento.
Consultar DPD virtual → Ver servicio →Preguntas frecuentes
¿Toda empresa chilena necesita un DPD?
No. La Ley 21.719 exige DPD a organismos públicos y a empresas privadas que realizan observación sistemática y a gran escala de titulares, o que tratan datos sensibles a gran escala. Las demás pueden designarlo voluntariamente.
¿Qué se entiende por "gran escala"?
La ley no fija un umbral numérico exacto. Se evalúa volumen de titulares, volumen de datos, duración del tratamiento y alcance geográfico. Ejemplos típicos: una clínica con miles de pacientes, una fintech, un retailer con programa de fidelidad, una empresa de seguros.
¿Puede el DPD ser un empleado existente?
Sí, siempre que no haya conflicto de interés. Debe tener independencia funcional y reportar a la alta dirección. No puede ser quien define los tratamientos (CMO, CHRO operativo, CIO con decisiones sobre datos).
¿Qué diferencia hay entre DPD y DPO?
DPD es el término de la Ley 21.719 chilena. DPO es el término del GDPR europeo. La función es prácticamente idéntica: asesorar, supervisar el cumplimiento y actuar como punto de contacto con la autoridad.
¿Qué pasa si no designo un DPD aunque sea obligatorio?
Es una infracción específica sancionable. La omisión de la designación obligatoria del DPD puede multarse como infracción grave (hasta UF 10.000), además de la responsabilidad por los incumplimientos derivados.
¿El DPD virtual es válido legalmente?
Sí. La ley permite que el DPD sea interno o externo. La figura del DPD virtual (externo contratado por la empresa) es perfectamente válida y suele ser la opción más eficiente para empresas medianas.
¿Qué perfil profesional debe tener el DPD?
Conocimientos de derecho de protección de datos, comprensión técnica, habilidades de comunicación interna y experiencia previa con normativas comparables (GDPR, Ley 19.628, SOC 2, ISO 27701). No se exige título legal.
¿El DPD me protege de sanciones?
No directamente. El responsable del tratamiento sigue siendo el responsable legal. Pero un DPD competente reduce drásticamente la probabilidad de incumplimientos sancionables.