DPO as a Service

DPO as a Service — KLG Technology

Ciberseguridad · KLG Technology

La Ley 21.719 de Protección de Datos Personales exige un Delegado de Protección de Datos (DPO) para organismos públicos y empresas con tratamiento masivo de datos. KLG provee ese rol en modalidad de servicio externo: conocimiento profundo de la ley, disponibilidad inmediata y coordinación integrada con el CISO para cubrir el cumplimiento completo.

🔒 DPO Art. 50 Ley 21.719

🏛 Contraparte ante la APDP

👤 Derechos ARCO gestionados

🛡 ISO/IEC 27001 Certificado

dic. 2026

Vigencia plena Ley 21.719 — preparación hoy

72 h

Notificación de brechas a la APDP

30 d

Plazo de respuesta a solicitudes ARCO

El rol que exige la Ley 21.719

El DPO: el responsable del cumplimiento en protección de datos dentro de la organización

El Delegado de Protección de Datos (DPO) es la figura que la Ley 21.719 establece como responsable de supervisar el cumplimiento normativo en materia de protección de datos, actuar como contraparte ante la APDP y asesorar a la organización en el tratamiento de datos personales. Su designación es obligatoria para organismos públicos y para empresas que realicen tratamiento masivo de datos personales o datos sensibles.

El DPO debe actuar con independencia funcional, sin recibir instrucciones del responsable del tratamiento respecto a cómo ejercer sus funciones. Puede ser interno o externo. El DPO as a Service de KLG permite acceder a este perfil de forma inmediata, con cobertura de todas las obligaciones legales y coordinación directa con el CISO de la organización.

Designación formal y notificación a la APDP gestionada por KLG
Gestión del Registro de Actividades de Tratamiento (RAT)
Atención y respuesta a solicitudes ARCO dentro de los plazos legales
Gestión del protocolo de notificación de brechas a la APDP en 72 horas
Supervisión de DPIA para tratamientos de alto riesgo
Interlocución directa con la APDP ante fiscalizaciones o requerimientos

Art. 50 Ley 21.719 · ¿Cuándo es obligatorio el DPO?

La ley define tres supuestos de obligatoriedad

En todos los casos, el DPO puede ser interno o externo a la organización.

OO.PP.

Organismos públicos — Todos los órganos de la Administración del Estado que traten datos personales están obligados a designar un DPO, sin excepción.

Obligatorio

Tratamiento masivo o a gran escala — Empresas cuya actividad principal implique el tratamiento de grandes volúmenes de datos personales de forma sistemática.

Obligatorio

Datos sensibles o monitoreo sistemático — Tratamiento a gran escala de datos sensibles (salud, origen étnico, biométricos, etc.) o monitoreo sistemático de personas.

Voluntario

Designación voluntaria — Cualquier organización puede designar un DPO voluntariamente para demostrar compromiso con la protección de datos y prepararse ante la APDP.

Capacidades del servicio

Seis áreas de gestión del DPO as a Service

El DPO de KLG no es un asesor puntual: opera continuamente en las seis dimensiones que la Ley 21.719 y la APDP exigen al Delegado de Protección de Datos.

📋

Registro de Actividades de Tratamiento (RAT)

Elaboración, mantenimiento y actualización del inventario completo de tratamientos de datos: finalidad, base legal, destinatarios, plazos de retención y medidas de seguridad por cada tratamiento.

Levantamiento de todos los tratamientos de datos
Definición de base legal por tratamiento (art. 13)
Plazos de retención y política de eliminación
Actualización ante nuevos tratamientos o cambios

👤

Atención de Derechos ARCO

Gestión integral del canal de recepción y respuesta a solicitudes de derechos de los titulares: Acceso, Rectificación, Cancelación (Supresión), Oposición, Portabilidad y Bloqueo, dentro de los plazos legales.

Canal ARCO habilitado y documentado
Respuesta en 30 días hábiles (art. 19)
Bloqueo temporal en 2 días hábiles
Registro auditado de cada solicitud y respuesta

⚠️

Notificación de Brechas de Seguridad

Gestión del protocolo completo de notificación de brechas de seguridad: evaluación del riesgo, notificación a la APDP en el plazo de referencia (72 horas) y comunicación a titulares cuando el riesgo es alto.

Activación del protocolo ante brecha detectada
Evaluación de riesgo e impacto en titulares
Notificación a la APDP sin dilación injustificada
Comunicación a titulares si riesgo alto

🔍

Evaluación de Impacto (DPIA)

Supervisión y ejecución de Evaluaciones de Impacto en Protección de Datos (DPIA / EIPD) para tratamientos de alto riesgo, incluyendo la consulta previa a la APDP cuando el riesgo residual es elevado.

Identificación de tratamientos que requieren DPIA
Ejecución de la evaluación con matriz de riesgos
Opinión formal del DPO documentada
Consulta previa a la APDP si riesgo residual alto

🏛

Contraparte ante la APDP

Interlocución directa con la Agencia de Protección de Datos Personales en fiscalizaciones, requerimientos de información, procedimientos sancionatorios y consultas previas sobre tratamientos de alto riesgo.

Respuesta a requerimientos de la APDP en plazo
Gestión de fiscalizaciones y auditorías de la Agencia
Consultas previas sobre tratamientos de alto riesgo
Seguimiento de procedimientos administrativos

📊

Gobierno y Reporte Interno

Asesoría interna a áreas de negocio, reporte periódico a la alta dirección sobre el estado del cumplimiento, formación del personal en protección de datos y coordinación con el CISO y el equipo legal.

Asesoría a áreas sobre nuevos tratamientos
Reporte trimestral a dirección y directorio
Formación del personal en protección de datos
Coordinación CISO + DPO en incidentes

Ley 21.719 · Derechos de los titulares

Seis derechos que su organización debe garantizar y el DPO gestiona

La Ley 21.719 reconoce a cada titular de datos un conjunto de derechos exigibles ante cualquier responsable de tratamiento. El DPO de KLG asegura que cada solicitud sea atendida correctamente y dentro de plazo.

Art. 5° · Derecho de Acceso

Acceso

El titular puede solicitar confirmar si sus datos son tratados y obtener una copia de ellos, incluyendo el origen, finalidad, destinatarios y período de conservación.

30 días hábiles

Art. 6° · Derecho de Rectificación

Rectificación

El titular puede exigir la correción de sus datos cuando sean inexactos, incompletos, equivocados o desactualizados. La rectificación se debe comunicar a los destinatarios.

30 días hábiles

Art. 7° · Derecho de Supresión

Cancelación / Supresión

El titular puede solicitar la eliminación de sus datos cuando no sean necesarios para la finalidad original, se retire el consentimiento o el tratamiento sea ilícito.

30 días hábiles

Art. 8° · Derecho de Oposición

Oposición

El titular puede oponerse al tratamiento de sus datos por razones legítimas relacionadas con su situación personal, incluyendo la oposición al tratamiento con fines de marketing directo.

30 días hábiles

Art. 9° · Derecho de Portabilidad

Portabilidad

El titular puede recibir sus datos en formato estructurado, de uso común y legible por máquina, y transmitirlos a otro responsable cuando el tratamiento se base en el consentimiento o en un contrato.

30 días hábiles

Art. 10° · Bloqueo temporal

Bloqueo

El titular puede solicitar la suspensión temporal del tratamiento mientras se verifica la exactitud de los datos o se tramita su oposición. Plazo especial de 2 días hábiles para activar el bloqueo.

2 días hábiles

El costo de no cumplir

La APDP tiene facultades sancionatorias desde diciembre de 2026

La Ley 21.719 entra en vigencia plena el 1 de diciembre de 2026. Desde esa fecha, la Agencia de Protección de Datos Personales (APDP) tendrá facultades para fiscalizar, investigar y sancionar a las organizaciones que no cumplan con sus obligaciones.

La preparación toma tiempo: el RAT, las políticas de privacidad, los mecanismos ARCO, las DPIA y la designación del DPO no se implementan en días. Las organizaciones que comiencen hoy llegarán a diciembre 2026 con cumplimiento demostrable. Las que esperen, no.

Las brechas más frecuentes detectadas:

No tener inventario de tratamientos (RAT) ni base legal documentada
No contar con canal ARCO operativo ni procedimiento de respuesta
Políticas de privacidad desactualizadas o que no cumplen art. 3°
Sin protocolo de notificación de brechas a la APDP en 72 horas
No tener DPO designado siendo obligatorio (organismos públicos y tratamiento masivo)
Contratos con proveedores que tratan datos sin cláusulas de protección

Sanciones vigentes · Ley 21.719

20.000 UTM

Infracción gravísima

No notificar brechas, tratar datos sin base legal, impedir el ejercicio de derechos ARCO, o no designar DPO siendo obligatorio.

10.000 UTM

Infracción grave

Violar el principio de finalidad, omitir información al titular, no atender solicitudes ARCO en plazo o incumplir medidas de seguridad.

Personal

Responsabilidad directiva

En organismos públicos, el jefe superior responde administrativamente. En privados, la responsabilidad puede alcanzar a directores y ejecutivos.

Fuente: Ley 21.719 · BCN ↗

Modelos de contratación

Tres modalidades según el perfil y volumen de tratamiento de su organización

El DPO as a Service de KLG se adapta al tamaño, la complejidad del tratamiento y el nivel de madurez en protección de datos de cada organización.

📌

DPO Esencial

Para organizaciones con tratamiento de datos de complejidad media que necesitan cumplir la ley con una dedicación eficiente.

Designación formal y notificación a la APDP
Elaboración y mantención del RAT
Canal ARCO operativo con respuesta en plazo
Protocolo de notificación de brechas
Asesoría mensual a áreas de negocio

Empresas medianas · Tratamiento estándar

🔒

DPO Integral

Para organizaciones con tratamiento masivo, datos sensibles o que requieren un DPO activo con presencia frecuente en la operación.

Todo el modelo Esencial
DPIA para tratamientos de alto riesgo
Contraparte activa ante la APDP
Cláusulas de protección con proveedores (encargados)
Formación del personal en privacidad
Reporte trimestral al directorio

⭐ Recomendado · Tratamiento masivo o sensible

🏛

DPO Sector Público

Especializado para órganos de la Administración del Estado, donde la designación del DPO es obligatoria y sin excepción bajo la Ley 21.719.

Todo el modelo Integral
Coordinación con Contralorías y CGR
Procedimientos ajustados a normativa administrativa
Gestión de trasparencia activa y pasiva
Cumplimiento simultáneo Ley 21.663 + 21.719
Informe anual para la APDP y ministerios tutelantes

Organismos públicos · Municipios · Servicios

Contenido específico · Ley 21.719

Recursos publicados sobre protección de datos personales

Acceda a las páginas que desarrollan en profundidad cada obligación de la Ley 21.719, con el contenido legal exacto y la forma en que KLG la implementa.

Art. 3° · Fundamentos

Principios de Tratamiento de Datos

Los 7 principios que rigen todo tratamiento de datos personales en Chile: licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y transparencia.

Base legal →

Art. 50 · Rol DPO

Delegado de Protección de Datos

Quién debe designar un DPO, funciones formales, independencia funcional, notificación a la APDP y diferencias con el DPO europeo (GDPR).

Obligatorio →

Arts. 5°–10° · Titulares

Derechos ARCO + Portabilidad

Acceso, Rectificación, Cancelación, Oposición, Portabilidad y Bloqueo. Plazos, mecanismos y obligaciones del responsable del tratamiento.

30 días →

Art. 14 quater · Alto riesgo

Evaluación de Impacto (DPIA)

Cuándo es obligatoria la DPIA, cómo se ejecuta, el rol del DPO y cuándo se requiere consulta previa a la APDP antes de iniciar el tratamiento.

Alto riesgo →

Notificación · 72 horas

Notificación de Brechas de Seguridad

Obligación de notificar brechas a la APDP sin dilación injustificada (referencia 72 h) y a los titulares cuando la brecha representa alto riesgo para sus derechos.

72 h APDP →

Marco integrado

Cumplimiento Legal y Regulación

Visión integrada del cumplimiento de la Ley 21.663 y la Ley 21.719, con la metodología de KLG para implementar ambas leyes como un proyecto unificado.

Leyes 21.663 y 21.719 →

Cómo opera el servicio

Del diagnóstico a la operación continua en cuatro fases

El DPO as a Service no comienza con la designación formal: comienza con un mapa completo de los tratamientos de datos de la organización y las brechas frente a la ley.

Semanas 1–3

Diagnóstico y mapeo

Levantamiento de todos los tratamientos de datos, identificación de bases legales, mapeo de flujos de datos con terceros y evaluación de brecha frente a la Ley 21.719. Designación formal y notificación a la APDP.

→

Semanas 4–8

Implementación

Elaboración del RAT, diseño del canal ARCO, actualización de políticas de privacidad, revisión de contratos con proveedores (encargados del tratamiento) y protocolo de notificación de brechas.

→

Mes 3 en adelante

Operación

Atención de solicitudes ARCO, gestión de brechas, DPIA para nuevos tratamientos, asesoría continua a áreas de negocio, formación del personal y reporte periódico a dirección.

→

Continuo

Mejora y vigencia

Actualización del RAT ante nuevos tratamientos, seguimiento de cambios normativos, auditorías internas de cumplimiento y preparación ante eventuales fiscalizaciones de la APDP.

Respaldo técnico y normativo

Certificados en ISO/IEC 27001. Alineados al GDPR y la Ley 21.719.

KLG Technology cuenta con certificación ISO/IEC 27001 acreditada por AENOR e IQNet. El DPO as a Service opera bajo los mismos procesos certificados, garantizando que el tratamiento de información del cliente cumple estándares internacionales de seguridad y privacidad.

ISO/IEC 27001

✓ Certificado · AENOR · IQNet

Ley 21.719

Marco regulatorio aplicado

GDPR

Marco de referencia aplicado

ISO/IEC 27701

Privacidad · Marco de referencia

¿Por qué KLG Technology?

Un DPO que conoce la ley chilena y opera integrado al CISO

La protección de datos personales no puede gestionarse de forma aislada de la ciberseguridad. KLG integra ambos roles en un modelo coordinado y sin duplicación de estructuras.

Conocimiento profundo de la Ley 21.719

Dominio de la normativa chilena de protección de datos: obligaciones, plazos, sanciones, requisitos del DPO y procedimientos ante la APDP. Sin curva de aprendizaje normativo.

DPO y CISO coordinados en un solo equipo

Cuando un incidente de seguridad involucra datos personales, el DPO y el CISO de KLG actúan coordinadamente: CSIRT en 3 horas (Ley 21.663) y APDP en 72 horas (Ley 21.719) de forma simultánea.

Designación formal desde el primer día

KLG asume la designación formal del DPO, gestiona la notificación a la APDP y comienza a operar como contraparte ante el regulador sin períodos de adaptación.

Experiencia en sector público y privado

El DPO as a Service de KLG cubre tanto organismos públicos (obligación sin excepción) como empresas privadas con tratamiento masivo, adaptando los procedimientos a cada contexto normativo.

Certificación ISO/IEC 27001

Los procesos internos del servicio están auditados y certificados bajo ISO/IEC 27001. Esto aplica también al tratamiento de la información confidencial del cliente que gestiona el DPO.

Preparación anticipada para diciembre 2026

La implementación completa del cumplimiento requiere entre 3 y 8 meses según la complejidad. Comenzar hoy es la única manera de llegar a diciembre 2026 con cumplimiento demostrable ante la APDP.

¿Puede su organización demostrar hoy que cumple con la Ley 21.719? Diciembre de 2026 se acerca y la preparación toma tiempo.

KLG realiza un diagnóstico inicial de brechas frente a la Ley 21.719 y propone el modelo de DPO as a Service que mejor se adapta a su organización.

Solicitar diagnóstico →

¿Por qué KLG TECHNOLOGY?

Especialistas en la Ley 21.719 chilena

Dominio de la normativa local: obligaciones, plazos, excepciones, procedimientos ARCO y requisitos del DPO ante la APDP. Sin curva de aprendizaje.

DPO y CISO coordinados, brecha dual gestionada

Un incidente con datos personales activa dos cadenas: CSIRT 3 h (Ley 21.663) y APDP 72 h (Ley 21.719). KLG gestiona ambas con un equipo coordinado.

Designación formal desde el día 1

Asumimos la designación formal del DPO, gestionamos la notificación a la APDP y comenzamos a operar como contraparte ante el regulador desde el inicio.

Sector público y privado cubiertos

El DPO as a Service cubre organismos públicos (obligación sin excepción) y empresas privadas con tratamiento masivo o de datos sensibles de salud, menores o financieros.

Preparación anticipada para diciembre 2026

La implementación completa requiere entre 3 y 8 meses según la complejidad. Comenzar hoy es la única forma de llegar a la fecha de vigencia con cumplimiento real.

Certificación ISO/IEC 27001

Los procesos internos del servicio están auditados bajo ISO/IEC 27001 — incluyendo el tratamiento de los datos del cliente durante la operación del DPO.

Certificación internacional ISO/IEC 27001

Basado en buenas prácticas como ISO 27001 y marcos de privacidad globales, facilitando auditorías, certificaciones y operación en múltiples jurisdicciones.

Experiencia en entornos regulados en Chile y LATAM

Amplia trayectoria en industrias con altos niveles de exigencia normativa, lo que permite abordar la protección de datos con una visión práctica y alineada al negocio.

Modelo flexible adaptado a empresas medianas y en crecimiento

Se adapta al tamaño, industria y madurez de cada organización, permitiendo evolucionar desde un cumplimiento básico hasta un modelo avanzado de gobierno de datos.

SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN

Acreditado por:

DPO as a Service

El DPO: el responsable del cumplimiento en protección de datos dentro de la organización

La ley define tres supuestos de obligatoriedad

Seis áreas de gestión del DPO as a Service

Seis derechos que su organización debe garantizar y el DPO gestiona

La APDP tiene facultades sancionatorias desde diciembre de 2026

Tres modalidades según el perfil y volumen de tratamiento de su organización

Recursos publicados sobre protección de datos personales

Del diagnóstico a la operación continua en cuatro fases

Un DPO que conoce la ley chilena y opera integrado al CISO

Transforma la protección de datos en un activo estratégico, no en una obligación legal.