🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Tu plan de acción para los primeros 90 días como DPO

juan@preyhq.com
Juan O.
Apr 20, 2026
0 minutos de lectura
Tu plan de acción para los primeros 90 días como DPO
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Sobre el autor
juan@preyhq.com
Juan O.

Juan lidera la estrategia de contenido en Prey, trabajando junto a equipos de TI y seguridad en distintos sectores. Su enfoque está en explicar problemas reales como la seguridad de dispositivos y el cumplimiento de forma clara, práctica y aplicable.

TL;DR

Qué debe hacer un DPO en sus primeros 90 días

  • Días 0-30: Diagnosticar procesos, datos, sistemas y dispositivos. Mapear tratamientos reales vs. declarados e identificar el gap de visibilidad.
  • Días 30-60: Completar el RAT con los tratamientos críticos. Establecer canal ARCO, gobernanza y gestión de riesgos con TI para priorizar controles técnicos.
  • Días 60-90: Implementar controles (cifrado, gestión de dispositivos, respuesta a incidentes). Generar evidencia operativa con trazabilidad para demostrar diligencia ante la Agencia.
  • El error más común: Construir un programa de cumplimiento en papel sin conectarlo a la operación, especialmente a los dispositivos donde los datos personales realmente viven.
  • Resultado al día 90: Inventario cruzado con activos de TI, controles técnicos funcionando, procedimiento de respuesta a incidentes y cinco métricas medibles para el directorio.

Los primeros 90 días como DPO rara vez son tranquilos.

Llegas a una organización donde, en teoría, todo está cubierto: políticas de privacidad, contratos actualizados, matrices de riesgo. Pero cuando empiezas a hacer preguntas concretas — dónde están los datos personales, quién accede, desde qué dispositivos — las respuestas se vuelven vagas. El inventario de datos está incompleto, si es que existe. Los controles técnicos que deberían respaldar las políticas no están implementados. Y nadie sabe con certeza qué pasaría si un laptop con datos sensibles desaparece mañana.

Y mientras tanto, el reloj corre.

La Ley 21.719 no evalúa solo lo que declaras. Evalúa lo que puedes demostrar. Y muchos Delegados de Protección de Datos cometen el mismo error en sus primeros meses: enfocarse en el marco legal y dejar para después la realidad operativa. Redactan políticas, revisan contratos, arman documentación — y postergan las preguntas incómodas sobre lo que realmente ocurre con los datos en la operación diaria.

Ahí es donde el cumplimiento se rompe.

Este plan de 90 días está diseñado para evitar eso. No es un marco teórico. Es un roadmap operativo para pasar de "cumplimiento en papel" a control real sobre los datos — con acciones concretas organizadas en tres fases: diagnóstico (días 0-30), implementación (días 30-60) y trazabilidad (días 60-90).

Qué implica asumir el rol de DPO en Chile hoy

La Ley 21.719 no obliga a las organizaciones a designar un Delegado de Protección de Datos. Pero hacerlo tiene un efecto concreto: forma parte del modelo de prevención de infracciones que la propia ley reconoce como factor atenuante al momento de calcular sanciones. No es un requisito legal, pero su ausencia debilita cualquier argumento de diligencia frente a la Agencia de Protección de Datos.

En la práctica, la mayoría de los DPOs en Chile no llegan al cargo con formación específica en protección de datos. Son profesionales de TI o de legal que asumen el rol porque alguien tenía que hacerlo. Y eso no es necesariamente un problema — siempre que entiendan que el DPO no es un rol de auditoría ni de control jurídico. Es el punto de articulación entre TI, legal y la dirección. Su valor está en traducir obligaciones regulatorias en acciones operativas que los equipos puedan ejecutar.

Esa traducción es lo que falla cuando el DPO se queda atrapado en el marco normativo y no baja a la realidad de cómo se procesan, almacenan y mueven los datos personales dentro de la organización.

Quick win: Lee los artículos 14 y 15 de la Ley 21.719, definen las funciones y el alcance del DPO. Luego responde dos preguntas: ¿a quién reportas y con qué frecuencia? Si no puedes responderlas hoy, esa es tu primera conversación pendiente con la dirección.

Días 0-30: entender el terreno sin caer en el paper compliance

Tu primer impulso como DPO probablemente será revisar políticas, contratos y documentación existente. Y sí, es necesario. Pero no es suficiente.

Los primeros 30 días no son para crear nada nuevo. Son para entender qué tan desconectada está la organización entre lo que dice y lo que realmente hace.

Necesitas construir una visión inicial — aunque imperfecta — de cuatro dimensiones: qué procesos de negocio involucran datos personales, qué datos se recopilan y bajo qué base legal, en qué sistemas se almacenan y procesan, y en qué dispositivos físicos terminan viviendo. La mayoría de las organizaciones en Chile no tienen respuesta clara para ninguna de estas preguntas.

Empieza por los procesos. Identifica cuáles generan, reciben o transforman datos personales: contratación de personal, atención al cliente, facturación, marketing, control de acceso. Para cada uno, pregunta qué datos se recopilan, de quién, con qué finalidad y quién es responsable.

Luego baja a los sistemas. Pide a TI la lista de plataformas y aplicaciones que procesan datos personales: CRM, ERP, correo electrónico, servicios cloud, bases de datos internas. Crúzala con los permisos de acceso, quién puede ver qué, y si esos accesos están justificados. Identifica si hay dispositivos personales (BYOD) procesando datos corporativos, aunque no exista una política formal.

Muchas organizaciones te van a mostrar documentación impecable en esta etapa. Políticas bien redactadas, matrices completas. Pero cuando preguntas: ¿qué dispositivos acceden a datos personales sensibles? ¿están cifrados? ¿qué pasa si uno se pierde? Las respuestas suelen ser vagas o inexistentes. Ahí está el primer gap real: los datos no viven solo en sistemas, viven en endpoints. Laptops, smartphones, tablets. Especialmente en entornos híbridos, donde los datos salen del perímetro sin que nadie lo registre.

Lo que estás buscando no es perfección documental. Es la distancia entre lo declarado y lo real. Esa distancia es tu mapa de riesgos.

Quick win: Arma una tabla con tres columnas: proceso de negocio, datos personales involucrados, sistemas que los procesan. Complétala con los cinco procesos más críticos. Lo que no puedas completar es, en sí mismo, el primer hallazgo de tu diagnóstico.

Si necesitas construir tu registro de actividades de tratamiento desde cero, esta guía paso a paso para armar el RAT te da la estructura completa.

Días 30-60: traducir cumplimiento en controles reales

Con el diagnóstico en la mano, los siguientes 30 días son para pasar de entender el problema a empezar a controlarlo. Aquí es donde muchos DPOs se quedan atrapados: siguen documentando, definiendo, estructurando, pero sin aterrizar en controles que funcionen fuera del documento.

La primera prioridad es completar el Registro de Actividades de Tratamiento (RAT). Si no puedes completarlo todo, empieza por los cinco tratamientos más críticos — los que involucran datos sensibles, financieros o de menores. Un RAT parcial pero honesto es más útil que uno completo pero ficticio.

En paralelo, necesitas establecer tres cosas:

Canal de atención de derechos ARCO. Los titulares pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición. Necesitas un punto de contacto designado — aunque sea provisional — y un procedimiento mínimo para recibir y responder solicitudes.

Estructura de gobernanza de datos. Quién toma decisiones sobre protección de datos, con qué frecuencia se revisan los avances, cómo se escala a la dirección. Un comité de privacidad mensual con TI, legal y operaciones es suficiente para empezar.

Gestión de riesgos con TI. Esta es la pieza que más DPOs postergan y donde se pierde tracción real. Siéntate con TI a revisar los hallazgos del diagnóstico y haz una evaluación de riesgos conjunta: qué tratamientos tienen mayor exposición, qué vectores de ataque son más probables (dispositivos perdidos, credenciales comprometidas, accesos no autorizados), y qué controles técnicos deben implementarse primero.

Porque no basta con decir "debemos proteger los datos personales". Debes poder responder preguntas concretas. Si un colaborador descarga una base de datos de clientes en su laptop: ¿ese equipo está cifrado? ¿Puedes saber si sale de la oficina? ¿Puedes bloquearlo si hay riesgo? Si la respuesta es no, el control no existe. Aunque la política diga que sí.

La evaluación de riesgos define la hoja de ruta técnica: cifrado de disco, gestión centralizada de dispositivos, políticas de acceso, monitoreo de endpoints. Sin ella, los controles se implementan por intuición en vez de por riesgo  y las áreas de mayor exposición quedan desprotegidas.

Quick win: Agenda una reunión con TI esta semana con un solo objetivo: revisar los cinco riesgos más críticos del diagnóstico y definir qué controles se priorizan. Sal de la reunión con nombres, fechas y responsables.

Días 60-90: construir trazabilidad y preparar la auditoría

El foco cambia. Ya no se trata solo de implementar controles. Se trata de poder demostrarlos.

Empieza por los tratamientos de alto riesgo. Si tu diagnóstico identificó tratamientos que involucran datos sensibles, perfilamiento o monitoreo sistemático, necesitas preparar una evaluación de impacto en protección de datos (DPIA). La DPIA no es solo un documento: es el ejercicio de cruzar el riesgo identificado con los controles implementados y documentar si son proporcionales.

En paralelo, TI debería estar cerrando la implementación de los controles priorizados en la fase anterior: cifrado activo en la flota, gestión centralizada de dispositivos, y un procedimiento documentado de respuesta ante pérdida o robo de equipos con datos personales.

La trazabilidad es lo que convierte esos controles en evidencia. Un regulador puede preguntarte: ¿cuándo ocurrió el incidente? ¿Qué datos había en el dispositivo? ¿Qué acción ejecutaste? ¿En cuánto tiempo? Si no puedes responder con datos concretos — timestamps, logs, reportes de cifrado, registros de acciones remotas — el cumplimiento no se puede demostrar. No importa cuántas políticas tengas firmadas.

El artículo 37 de la Ley 21.719 reconoce la diligencia demostrada como factor atenuante en el cálculo de sanciones. Un expediente con trazabilidad completa: hora del reporte, hora del bloqueo, estado del cifrado previo, confirmación de borrado. No es burocracia. Es la diferencia entre una multa de 5.000 UTM y una de 20.000.

La evidencia operativa que deberías estar generando en esta fase incluye: inventario de datos actualizado y cruzado con activos de TI, reportes de estado de cifrado por dispositivo, logs de acceso a sistemas con datos personales, registros de acciones remotas ejecutadas, y cronología de respuesta ante cualquier incidente.

Quick win: Define hoy el playbook de "laptop perdida con datos personales". Quién recibe el reporte, quién ejecuta el bloqueo, quién evalúa el riesgo, quién decide si se borra, quién notifica. Ponlo en una página. Ese documento es tu primer procedimiento de respuesta a incidentes funcional.

El punto ciego de todo DPO: los dispositivos

Si ejecutaste las tres fases, tienes un programa sólido: RAT, gobernanza, gestión de riesgos, controles técnicos y evidencia en construcción. Pero hay un punto que atraviesa todo el plan y que merece atención propia, porque es donde la mayoría de los programas de cumplimiento se quiebran en la práctica.

Los datos personales no se quedan en el servidor. Se descargan, se sincronizan, se comparten, se almacenan localmente. Terminan viviendo en dispositivos que operan fuera del perímetro de red tradicional, especialmente en entornos de trabajo remoto, equipos híbridos y BYOD, donde el dato deja de estar contenido en sistemas y pasa a convivir en equipos que la organización no controla completamente.

Como DPO, deberías poder responder estas preguntas:

  • ¿Puedes ver dónde están tus dispositivos en este momento?
  • Si un laptop se pierde, ¿puedes bloquearlo remotamente?
  • ¿Puedes confirmar que el cifrado de disco está activo en toda la flota?
  • Si necesitas borrar datos de un equipo comprometido, ¿cuánto tardas?
  • ¿Tienes un historial de ubicación y actividad de cada dispositivo?

Si la respuesta a más de dos es "no sé" o "depende", tu cumplimiento es parcial aunque tu documentación esté completa.

Cómo la gestión de dispositivos cierra este gap

Lo que necesitas como DPO para cerrar esta brecha se reduce a tres capacidades: visibilidad (saber dónde están los datos y los dispositivos), control (poder actuar sobre ellos — bloquear, borrar, restringir), y evidencia (demostrar que lo hiciste, con timestamps y registros).

Una plataforma de gestión de dispositivos conecta estos tres puntos. Permite localizar un equipo comprometido con GPS y triangulación Wi-Fi, bloquear la pantalla mientras se evalúa el riesgo, verificar el estado de cifrado, ejecutar un borrado remoto si los datos son sensibles, y documentar cada acción automáticamente para el expediente del incidente.

Imagina el escenario: un empleado reporta que perdió su laptop en un café el viernes a las 18:00. Con una plataforma de gestión de dispositivos, TI localiza el equipo, confirma que el cifrado estaba activo, ejecuta un bloqueo remoto preventivo y documenta la respuesta completa, todo antes de que termine el día. Sin estas herramientas, el proceso toma días. Y cada hora sin respuesta es exposición acumulada.

Plataformas como Prey cubren este flujo en entornos multi-OS (Windows, macOS, Linux, Android, iOS) incluyendo geofencing para detectar movimientos fuera de zonas autorizadas y un historial de ubicaciones que permite reconstruir la trazabilidad completa. Para un DPO que necesita demostrar diligencia, la diferencia entre "actuamos en 4 minutos" y "no pudimos actuar" puede definir el nivel de la sanción.

Quick win: Haz una lista con las cinco preguntas de arriba y márcalas como "sí", "parcial" o "no". Comparte el resultado con TI. Si hay más de un "no", prioriza la gestión centralizada de dispositivos como el siguiente control a implementar.

Cómo medir y reportar el avance al directorio

Al final de los 90 días, necesitas presentar resultados a la dirección. No en lenguaje legal en métricas que demuestren avance operativo.

Cinco indicadores son suficientes para el primer informe:

  • % de tratamientos registrados en el RAT. Si identificaste 20 tratamientos críticos y documentaste 12, tu avance es 60%. Honesto y medible.
  • % de dispositivos con cifrado activo. Este número viene directo de TI. Si es menor al 80%, es una señal de alerta.
  • Tiempo de respuesta ante solicitudes ARCO. Si ya recibiste alguna, mide cuánto tardaste. Si no, define el SLA objetivo.
  • Estado de DPIA para tratamientos de alto riesgo. Cuántos identificaste, cuántos tienen DPIA iniciada, cuántos completada.
  • Incidentes detectados y tiempo de resolución. Incluye brechas, solicitudes de titulares y hallazgos del diagnóstico.

No necesitas un dashboard sofisticado. Un spreadsheet con estos cinco indicadores, actualizado mensualmente, es suficiente para demostrar que el programa no es solo documentación, es un esfuerzo operativo con resultados medibles.

Quick win: Arma el spreadsheet esta semana. Completa lo que puedas con datos reales. Lo que no puedas completar es, en sí mismo, un hallazgo que justifica las próximas acciones. Presenta el primer informe en el día 90.

Si necesitas un marco más amplio para el programa completo, consulta el modelo de cumplimiento de la Ley 21.719.

Conclusión

Los primeros 90 días como DPO no definen qué tan bien conoces la ley. Definen si eres capaz de convertir ese conocimiento en control real.

Porque el mayor riesgo hoy no está en lo que dice la política. Está en la distancia entre esa política y lo que ocurre en los procesos, los sistemas y los dispositivos que nadie está monitoreando.

Un DPO que llega al día 90 con tres cosas — visibilidad sobre dónde están los datos y los dispositivos, control para actuar cuando algo falla, y evidencia para demostrarlo ante la Agencia — tiene una posición radicalmente distinta que uno que llega con un folder de políticas sin respaldo operativo.

El cumplimiento no es un documento. Es la capacidad de demostrar, con datos concretos, que los datos personales están protegidos en la práctica. No solo en el papel.

Preguntas frecuentes

¿Es obligatorio designar un DPO en Chile?

No. La Ley 21.719 establece la designación como voluntaria. Sin embargo, contar con un DPO forma parte del modelo de prevención de infracciones, lo que puede reducir las sanciones en caso de incidentes.

¿Qué perfil debe tener un DPO bajo la ley chilena?

La ley exige idoneidad y conocimiento especializado en protección de datos. En la práctica, puede ser un profesional de TI, legal o compliance con formación en la materia. Puede ser interno o externo a la organización.

¿Cuáles son las primeras acciones que debe tomar un DPO?

Mapear los procesos que involucran datos personales, inventariar los datos y sus bases legales, identificar los sistemas y dispositivos donde se procesan, y medir el gap entre lo declarado y lo real. Este diagnóstico debería completarse en los primeros 30 días.

¿Qué es el RAT y por qué es prioritario?

El Registro de Actividades de Tratamiento documenta todos los tratamientos de datos personales de la organización. Es una obligación de la Ley 21.719 y la base sobre la cual se construyen las evaluaciones de impacto, los controles y la evidencia ante la Agencia.

¿Cómo demuestra un DPO el cumplimiento ante la Agencia?

A través de evidencia operativa: registros de tratamiento, logs de auditoría, reportes de cifrado de dispositivos, procedimientos de respuesta a incidentes documentados con timestamps, y registros de capacitación del personal.

¿Puede un grupo empresarial tener un solo DPO?

Sí. La ley permite que un grupo empresarial designe un solo delegado, siempre que sea accesible para todas las entidades del grupo.

Sobre el mismo tema

Modelo de Prevención de Infracciones (MPI): guía para cumplir con la Ley 21.719
Modelo de Prevención de Infracciones (MPI): guía para cumplir con la Ley 21.719

Qué es el MPI bajo la Ley 21.719, qué elementos exige el DS 662/2025, cómo certificarlo ante la Agencia de Protección de Datos y por qué funciona como atenuante de sanciones. Guía práctica para IT y compliance.

Apr 17, 2026
Continuar leyendo
Errores comunes al crear un RAT bajo la Ley 21.719: señales de alerta que deberías corregir ahora
Errores comunes al crear un RAT bajo la Ley 21.719: señales de alerta que deberías corregir ahora

Finalidades genéricas, bases legales incorrectas, transferencias omitidas: los errores más frecuentes en el Registro de Actividades de Tratamiento bajo la Ley 21.719 y cómo resolverlos antes de una fiscalización.

Apr 9, 2026
Continuar leyendo
Qué es una Data Processing Agreement (DPA) y cuándo aplicarla
Qué es una Data Processing Agreement (DPA) y cuándo aplicarla

Qué es un DPA, cuándo la Ley 21.719 te obliga a firmarlo, y cómo respaldar cada cláusula con controles verificables sobre dispositivos.

Apr 9, 2026
Continuar leyendo