🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Qué es un DPO y para qué sirve: guía práctica para empresas en Chile

juanhernandez@preyhq.com
Juan H.
Mar 26, 2026
0 minutos de lectura
Qué es un DPO y para qué sirve: guía práctica para empresas en Chile
Tabla de Contenidos
Heading H2
No espere a que se produzca una infracción para tomar medidas
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

En Chile, hablar de protección de datos ya no es solo un tema legal: es un tema operativo. Cuando una empresa no sabe qué datos personales tiene, dónde están, quién accede o cómo responder a una solicitud o incidente, el riesgo se vuelve invisible hasta que explota.

Aquí es donde entra el DPO (delegado de protección de datos). Más que un “cargo”, el DPO es una función que convierte el cumplimiento en procesos concretos: responsables definidos, controles mínimos, trazabilidad y evidencia. En esta guía te explicamos qué es un DPO, qué hace en la práctica y cómo implementarlo paso a paso en una empresa en Chile, incluyendo un checklist descargable para partir con lo esencial.

TL;DR: qué es un DPO y para qué sirve


Un DPO (delegado de protección de datos) es la persona o función responsable de coordinar y supervisar el cumplimiento de protección de datos en una organización. Su trabajo no es “firmar políticas”, sino asegurar que existan procesos, responsables y evidencia para reducir riesgos y responder a auditorías o incidentes.

Qué hace en la práctica

  • Define y mantiene el “sistema de trabajo” de privacidad: roles, procesos y controles.
  • Gestiona solicitudes de titulares (acceso, rectificación, eliminación) y trazabilidad.
  • Supervisa riesgos en proyectos (nuevos sistemas, proveedores, integraciones, campañas).

Cuándo tu empresa lo necesita con urgencia

  • Tratas datos personales de forma masiva o sensible (clientes, colaboradores, pacientes).
  • Tienes proveedores que procesan datos (cloud, marketing, RR.HH., CRM) sin control claro.
  • No puedes demostrar rápidamente qué datos tienes, dónde están y quién accede.

Evidencia mínima a preparar primero

Inventario de datos y sistemas, responsables por proceso, políticas operativas y registros de solicitudes/incidentes.

¿Es obligatorio designar un DPO?

La designación de un DPO no es obligatoria en todos los casos, pero sí altamente recomendada. La Ley N° 21.719 establece que las organizaciones pueden nombrar un DPO como parte de un Modelo de prevención de infracciones, el cual es voluntario.

Este modelo, definido en los artículos 49 y 50 de la Ley, busca ayudar a las empresas a cumplir con la normativa y reducir riesgos de sanciones. Sin embargo, aunque su implementación no es un requisito obligatorio, en la práctica, el DPO se convierte en la figura clave para garantizar el cumplimiento de la Ley, actuar como enlace con la Agencia de protección de datos y gestionar consultas o reclamos de los titulares de datos.

En resumen, si bien la ley no exige de manera general que todas las empresas nombren un DPO, aquellas que quieran demostrar un compromiso serio con la protección de datos y evitar problemas legales, deberían considerar seriamente su designación.

Qué cambia en la práctica cuando tienes un DPO

Sin un DPO, el cumplimiento suele ser reactivo: políticas que existen, pero no se ejecutan de forma consistente. Con un DPO, la diferencia se nota en tres frentes: procesos, evidencia y respuesta.

1) Procesos que dejan de depender de “una persona clave”

  • Solicitudes de titulares (acceso/eliminación): flujo claro, responsable y tiempos definidos.
  • Nuevos proyectos: revisión de riesgos antes de implementar herramientas o integraciones.
  • Proveedores: evaluación mínima y condiciones de tratamiento con trazabilidad.

2) Evidencia que se puede mostrar sin improvisar

  • Registro de solicitudes y respuestas (qué se pidió, qué se respondió, cuándo).
  • Inventario de datos y sistemas (qué datos, dónde están, quién accede).
  • Registros de revisiones (evaluaciones, decisiones y mitigaciones implementadas).

3) Respuesta más rápida cuando hay incidentes o urgencias

  • Se activa un playbook: contención, comunicación interna, evidencias y lecciones aprendidas.
  • Se reducen decisiones improvisadas y se mejora la trazabilidad.

Checklist mínimo de operación del DPO (mensual)

  • Revisar cambios en sistemas/proveedores que impacten datos personales.
  • Verificar incidentes/alertas y acciones de contención.
  • Revisar métricas simples: solicitudes recibidas, tiempos de respuesta, pendientes.

Funciones principales del DPO

El Delegado de Protección de Datos (DPO) es la persona encargada de asegurarse de que una empresa u organismo público maneje la información personal de manera adecuada y dentro del marco legal. Su rol no solo implica supervisar el cumplimiento de la ley, sino también educar a la organización, gestionar riesgos y servir como enlace con la agencia de protección de datos personales.

Obligaciones del DPO

  • Asesorar y capacitar: Explicar a la empresa y sus empleados qué deben hacer para cumplir con la normativa de protección de datos y qué riesgos deben evitar.
  • Supervisar el cumplimiento: Encargarse de que la organización respete la normativa vigente y que sus políticas internas reflejen las exigencias de la ley.
  • Evaluar impactos: Participar en la identificación de riesgos al manejar datos personales y asesorar en la implementación de medidas para minimizar posibles daños.
  • Enlace con la agencia de protección de datos: Actuar como representante de la empresa ante la autoridad reguladora, facilitando auditorías y respondiendo a consultas oficiales.
  • Atender a los titulares de datos: Responder preguntas, solicitudes de acceso, corrección o eliminación de datos, asegurando que los ciudadanos puedan ejercer sus derechos de manera efectiva.

Designación del DPO

No todas las empresas tienen las mismas exigencias cuando se trata de la designación de un Delegado de Protección de Datos (DPO), y desgraciadamente, tampoco el mismo presupuesto para designarlo, pero por suerte, esta ley es un poco flexible en cuanto este rol.

La Ley N° 21.719 establece que las grandes empresas deben nombrar un DPO independiente y especializado, mientras que en el caso de las pequeñas y medianas empresas (PYMEs), la responsabilidad puede recaer en el dueño o en la persona que lidera el negocio. Esto permite que cada organización adopte un enfoque acorde con su tamaño y capacidad operativa.

DPO en grandes empresas

Las grandes empresas están obligadas a contar con un DPO que opere con autonomía, sin conflictos de interés y con los recursos adecuados para desempeñar su labor. Este profesional debe estar involucrado en la toma de decisiones estratégicas sobre protección de datos y asegurarse de que la organización cumpla con la normativa. Para ello, debe contar con acceso a herramientas tecnológicas, personal de apoyo y formación continua en regulación y seguridad de la información.

Ejemplos de integración del DPO en decisiones estratégicas:

  • Evaluación de riesgos: Participa en la identificación y mitigación de riesgos asociados al tratamiento de datos personales.
  • Diseño de productos y servicios: Asegura que desde la etapa inicial los proyectos cumplan con los principios de privacidad y seguridad.
  • Auditorías internas: Coordina revisiones periódicas para garantizar el cumplimiento de la normativa y detectar posibles vulnerabilidades.
  • Políticas de seguridad: Contribuye en la definición e implementación de medidas de protección de datos dentro de la empresa.

Cómo implementar el rol DPO en una empresa

Paso 1: define alcance y “qué datos”

  • Qué datos personales tratan (clientes, empleados, usuarios).
  • Qué sistemas participan (CRM, correo, almacenamiento, RR.HH., soporte).
  • Qué terceros procesan datos (proveedores críticos).

Paso 2: asigna responsables por proceso

  • Quién responde solicitudes de titulares.
  • Quién gestiona incidentes relacionados a datos.
  • Quién aprueba proveedores y contratos con tratamiento de datos.

Paso 3: define procesos mínimos (no solo políticas)

  • Solicitudes de titulares: recepción, validación, respuesta y registro.
  • Accesos: quién puede ver qué y bajo qué condiciones.
  • Retención y eliminación: reglas simples y ejecutables.
  • Terceros: evaluación mínima, cláusulas y revisión periódica.

Paso 4: arma la evidencia desde el día 1

  • Registro de solicitudes (aunque sea una planilla al inicio).
  • Inventario de datos/sistemas (primera versión), incluyendo el registro de actividades de tratamiento (RAT).
  • Bitácora de decisiones (cambios, mitigaciones, responsables).

Paso 5: instala un ciclo de mejora

  • Revisión mensual de pendientes y riesgos.
  • Revisión trimestral de proveedores y controles críticos.
  • Actualización del inventario y de los flujos.

DPO en pequeñas y medianas empresas (PYMEs)

Las PYMEs tienen mayor flexibilidad en la designación del DPO. En muchos casos, el dueño o el gerente general pueden asumir este rol, siempre y cuando cuenten con conocimientos requeridos en protección de datos. Sin embargo, debido a limitaciones de recursos, muchas PYMEs pueden optar por soluciones externas.

Fractional DPO y MSPs: Alternativas para PYMEs

Para aquellas empresas que no pueden contar con un DPO a tiempo completo, existen algunas soluciones tipo Fractional DPO, un profesional externo que presta sus servicios por horas o proyectos específicos o también los proveedores de servicios externos (MSPs), empresas especializadas que gestionan la protección de datos y ayudan a cumplir con la normativa. Estas soluciones permiten que las PYMEs accedan a asesoría experta sin asumir costos elevados.

Requisitos para la designación del DPO

Elegir al Delegado de Protección de Datos (DPO) no es una decisión menor. La persona designada debe contar con un sólido conocimiento en legislación de protección de datos y experiencia en la aplicación de buenas prácticas para el tratamiento seguro de información personal. Además, es fundamental que pueda actuar con autonomía, sin presiones internas que afecten su objetividad, y que cuente con los recursos necesarios para cumplir con sus responsabilidades.

Requisitos clave para el DPO:

  • Conocimiento en normativas de protección de datos: Debe estar familiarizado con la Ley N° 21.719 y otros estándares internacionales como el GDPR y Directiva NIS 2 de la Unión Europea.
  • Formación en seguridad de la información: Es ideal que tenga experiencia en ciberseguridad, auditoría de datos y gestión de riesgos.
  • Independencia en la toma de decisiones: No debe estar sujeto a presiones que comprometan su rol de fiscalización dentro de la empresa.
  • Capacidad de comunicación y liderazgo: Su función implica coordinar equipos, capacitar empleados y asesorar a la alta dirección.
  • Acceso a herramientas y recursos: Para cumplir su trabajo, necesitará apoyo constantes de otros roles técnicosy herramientas de seguridad utilizadas en la organización tales como:
    • Plataformas de gestión de privacidad y cumplimiento (OneTrust, TrustArc, Vanta).
    • Sistemas de seguridad de dispositivos y MDM (Mobile Device Management) para proteger y validad los controles de seguridad de dispositivos como celulares, laptops y tablets corporativos y sus datos (Prey, Miradore, Kandji)
    • Software de monitoreo de amenazas y detección de vulnerabilidades (Splunk, Tenable, Qualys).
    • Herramientas de gestión de acceso e identidad (Okta, Microsoft Entra, Ping Identity).
    • Sistemas de encriptación y resguardo de datos para proteger información sensible en tránsito y en reposo.
Te recomendamos

Checklist de Cumplimiento – Ley de protección de datos (21.719)

¿Quieres empezar con una hoja de ruta clara? Descarga este checklist práctico y prepara a tu organización para cumplir con las nuevas exigencias de la Ley de protección de datos de Chile.

Descargar gratis
Portada del checklist de cumplimiento de la Ley Marco de Ciberseguridad en Chile

Beneficios de contar con un DPO en la organización

Un Delegado de Protección de Datos (DPO) no solo ayuda a que la empresa cumpla con la ley, sino que también mejora la gestión de la información personal y refuerza la seguridad digital. Su supervisión permite implementar controles efectivos para proteger datos sensibles, prevenir accesos no autorizados y reducir la exposición a ciberataques. Además, al asesorar en prácticas seguras para el almacenamiento y tratamiento de datos, contribuye a evitar filtraciones y fraudes que puedan comprometer a la organización y a sus clientes.

Contar con un DPO también minimiza riesgos legales y financieros. Su labor garantiza que la empresa respete los derechos de los titulares de datos y evite sanciones por incumplimiento normativo. Además, fortalece la confianza de clientes, socios y reguladores, demostrando un compromiso real con la privacidad. Al mantenerse alineado con estándares internacionales como el GDPR, el DPO facilita la expansión a mercados globales y permite establecer relaciones comerciales con organizaciones que exigen altos niveles de protección de datos.

Conclusión

La nueva Ley de Protección de Datos N° 21.719 marca un antes y un después en la forma en que las empresas y organismos en Chile deben manejar la información personal. Aunque la designación de un Delegado de Protección de Datos (DPO) no es obligatoria para todas las organizaciones, su papel es clave para garantizar el cumplimiento normativo, mitigar riesgos y fortalecer la confianza de clientes y socios comerciales.

Adoptar un enfoque proactivo en la protección de datos no solo evita sanciones y problemas legales, sino que también ayuda a las empresas a diferenciarse en un entorno cada vez más digital y regulado. Ya sea a través de un DPO interno, un Fractional DPO o el apoyo de un proveedor externo, contar con un especialista en privacidad y seguridad de datos es una inversión estratégica para cualquier organización que valore la integridad de su información y la confianza de sus clientes.

FAQs

¿Qué es un DPO y para qué sirve en una empresa?

Es la función que coordina y supervisa el cumplimiento de protección de datos, asegurando procesos, responsables y evidencia. Sirve para reducir riesgos y para responder con trazabilidad ante auditorías, solicitudes o incidentes.

¿El DPO tiene que ser un abogado?

No necesariamente. Puede ser un perfil de compliance, legal, TI o híbrido, siempre que tenga independencia operativa, conocimiento práctico y acceso a las áreas necesarias para coordinar procesos y evidencias.

¿Qué evidencia debería poder mostrar una empresa con DPO?

Como mínimo: inventario de datos/sistemas, registro de solicitudes de titulares, procesos documentados (y ejecutados), controles de acceso, evaluación de proveedores y bitácora de incidentes/acciones.

¿Cómo se implementa un DPO si soy PYME y no tengo equipo de seguridad?

Empieza por lo esencial: inventario simple, responsables por proceso, registro de solicitudes e incidentes, y políticas mínimas operativas. El objetivo es hacer el cumplimiento ejecutable, no perfecto desde el día 1.

¿Qué diferencia hay entre “cumplimiento en papel” y cumplimiento operativo?

El cumplimiento en papel existe en documentos; el operativo se demuestra con ejecución y evidencia: registros, reportes, revisiones, controles activos y responsables claros.

¿Cuándo conviene revisar proveedores y contratos?

Cuando un proveedor almacena, procesa o accede a datos personales. Prioriza cloud, CRM, RR.HH., marketing, soporte y analítica. La clave es que exista trazabilidad de evaluación y condiciones de tratamiento.

Sobre el mismo tema

Filtración de datos personales en Chile: plan de acción del DPO bajo la Ley 21.719
Filtración de datos personales en Chile: plan de acción del DPO bajo la Ley 21.719

Guía paso a paso para que el DPO gestione una filtración de datos personales según la Ley 21.719. Contención técnica, notificación a la Agencia y sanciones de hasta 20.000 UTM.

Apr 1, 2026
Continuar leyendo
Guía del DPO: de la normativa a la práctica para el cumplimiento de la Ley 21.719
Guía del DPO: de la normativa a la práctica para el cumplimiento de la Ley 21.719

Guía práctica para DPO en Chile: implementa la Ley 21.719 paso a paso, gestiona riesgos, protege datos y demuestra cumplimiento con evidencia real.

Mar 26, 2026
Continuar leyendo
Qué es un DPO y para qué sirve: guía práctica para empresas en Chile
Qué es un DPO y para qué sirve: guía práctica para empresas en Chile

Guía práctica para equipos de TI, Legal y Compliance: rol del DPO, responsabilidades, pasos para designarlo y qué evidencia preparar para auditoría en Chile.

Mar 26, 2026
Continuar leyendo