X

Delegado de Proteccion de Datos

  Soluciones / Ciberseguridad / Ley de Proteccion de Datos Personales en Chile / Delegado de Proteccion de Datos
Nav Ley 21.719 · DPO — KLG
🔒 Ley 21.719 — Navegar
Principios 🔒 Delegado DPO 👤 Derechos ARCO 🔍 DPIA Brechas
Delegado de Protección de Datos (DPO) — Ley 21.719 | KLG Technology
Ley 21.719 · Art. 50 — Delegado de Protección de Datos

Designar DPO:
contraparte formal
ante la Agencia de
Datos Personales.

La Ley 21.719 introduce la figura del Delegado de Protección de Datos (DPO), obligatorio para organismos públicos y empresas con tratamiento masivo de datos sensibles. Es el enlace oficial entre la organización y la APDP, y puede ser interno o externo. Vigente desde el 1 de diciembre de 2026.

Art. 50 · Obligatorio para organismos públicos y grandes empresas
Puede ser interno o externo (DPO as a Service)
Informa a la máxima autoridad directiva
Artículo 50 — Delegado de protección de datos personales · Ley N° 21.719

"Los responsables de datos podrán designar a una persona, sea natural o jurídica, como delegado de protección de datos personales [...] Esta designación deberá recaer en una persona que reúna los requisitos de idoneidad, capacidad y conocimientos específicos para el ejercicio de sus funciones. El delegado será designado por la máxima autoridad directiva o administrativa del responsable de datos."

Fuente oficial: Ley 21.719 · Biblioteca del Congreso Nacional de Chile ↗

Las cuatro dimensiones del cargo

¿Qué hace el DPO según la Ley 21.719?

El DPO no es un cargo ceremonial. La ley le asigna cuatro ejes de responsabilidad concretos: asesoría interna, supervisión del cumplimiento, enlace con la APDP y punto de contacto para los titulares.

01
Asesoría e información interna
Informa y asesora al responsable y su personal sobre las obligaciones de la ley

El DPO no solo supervisa: asesora proactivamente a la organización y a quienes tratan datos sobre sus obligaciones bajo la Ley 21.719 y otras normativas de protección de datos personales.

  • Informar al responsable y al personal sobre las obligaciones de la ley antes de iniciar nuevos tratamientos
  • Asesorar en la elaboración de políticas, procedimientos y contratos que involucren datos personales
  • Emitir opinión sobre evaluaciones de impacto (DPIA) en tratamientos de alto riesgo
  • Capacitar al personal que trata datos en sus obligaciones y mejores prácticas
  • Alertar a la alta dirección sobre riesgos de incumplimiento antes de que se materialicen
02
Supervisión del cumplimiento
Verifica que la organización cumpla los principios y obligaciones de la ley

El DPO supervisa el cumplimiento interno de los principios del artículo 3° y de todas las obligaciones que la ley impone al responsable, con independencia funcional y sin recibir instrucciones sobre cómo ejercer sus funciones.

  • Supervisar el Registro de Actividades de Tratamiento (RAT) y su actualización periódica
  • Verificar que las políticas de privacidad estén vigentes, accesibles y alineadas con la ley
  • Monitorear los procedimientos de atención de solicitudes ARCO y su cumplimiento en plazo
  • Auditar los procesos de tratamiento para detectar brechas de cumplimiento
  • Informar a la máxima autoridad sobre el estado del cumplimiento y los riesgos identificados
03
Enlace con la APDP
Contraparte oficial de la organización ante la Agencia de Protección de Datos

El DPO es el punto de contacto formal de la organización con la Agencia de Protección de Datos Personales (APDP). Toda comunicación oficial, requerimiento, consulta o fiscalización de la Agencia se canaliza a través de este rol.

  • Recibir y gestionar notificaciones, instrucciones y requerimientos de la APDP
  • Coordinar la respuesta de la organización ante fiscalizaciones e inspecciones de la Agencia
  • Notificar brechas de seguridad a la APDP dentro de los plazos exigidos por la ley
  • Cooperar con la APDP en el ejercicio de sus funciones de supervisión
  • Representar a la organización en consultas y trámites ante la Agencia
04
Contacto para los titulares
Punto de contacto accesible para ejercer los derechos ARCO y otras solicitudes

Los titulares de datos pueden dirigirse al DPO para ejercer sus derechos de acceso, rectificación, cancelación, oposición y portabilidad, y para obtener información sobre el tratamiento de sus datos personales.

  • Gestionar y canalizar internamente las solicitudes de ejercicio de derechos ARCO
  • Asegurar que las solicitudes se atiendan dentro del plazo legal
  • Informar al titular sobre el estado y resultado de su solicitud
  • Actuar como primera línea de respuesta ante reclamaciones de titulares
  • Sus datos de contacto deben ser públicos y fácilmente accesibles en la política de privacidad
Artículo 50 — Obligatorio vs. voluntario

¿Quién debe designar DPO y quién puede designarlo voluntariamente?

La ley diferencia entre obligación y potestad. Para ciertos tipos de organizaciones es obligatorio. Para todas las demás, la designación es voluntaria pero forma parte del modelo de prevención de infracciones (art. 49).

🏛
Organismos públicos
Todo órgano de la Administración del Estado está obligado a designar un DPO. El jefe superior del servicio es responsable administrativo del cumplimiento (art. 44).
Obligatorio
📊
Tratamiento masivo de datos sensibles
Empresas cuya actividad principal implique tratamiento a gran escala de datos sensibles (salud, biométricos, ideología, etc.) deben designar DPO obligatoriamente.
Obligatorio
🔎
Monitoreo sistemático a gran escala
Empresas cuya actividad principal implique monitoreo sistemático y a gran escala de titulares (plataformas digitales, telecomunicaciones, fintech, etc.) tienen DPO obligatorio.
Obligatorio
🌟
Grupo empresarial
Las entidades de un mismo grupo empresarial pueden designar un único DPO compartido, siempre que opere bajo los mismos estándares y sea accesible para todas.
Compartido permitido
🏭
PyMEs y empresas en general
Para el resto de las organizaciones la designación es voluntaria, pero integrar el DPO al modelo de prevención del art. 49 es la estrategia de cumplimiento más sólida.
Voluntario y recomendado
👨‍💻
DPO externo (DPO as a Service)
La ley permite expresamente que el DPO sea una persona natural o jurídica externa. Ideal para empresas que necesitan acceso a expertise sin estructura interna compleja.
Legalmente permitido
Artículo 50 — Requisitos, garantías e independencia del DPO

El DPO debe operar con
independencia real, no nominal

La ley no solo define las funciones del DPO: establece garantías de independencia funcional, requisitos de idoneidad y protecciones ante conflictos de interés que hacen del rol un cargo de real peso jurídico.

👤
Idoneidad y conocimientos
La designación debe recaer en una persona con requisitos de idoneidad, capacidad y conocimientos específicos en protección de datos. Se requiere perfil técnico-jurídico demostrable.
Independencia funcional
El DPO no puede recibir instrucciones sobre cómo ejercer sus funciones. Su independencia frente a variables económicas e incentivos internos es condición esencial del cargo.
🔑
Sin conflicto de interés
El responsable debe garantizar que las funciones y cometidos del DPO no generen conflicto de interés. El DPO no puede ser quien decide sobre los tratamientos que supervisa.
📱
Accesibilidad pública
Los datos de contacto del DPO deben ser públicos y accesibles para los titulares y la APDP. No basta con designarlo internamente: debe ser contactable por quien lo necesite.
📋
Designado por la máxima autoridad
La designación debe ser realizada por la máxima autoridad directiva o administrativa del responsable de datos, lo que eleva el rol a nivel de gobierno corporativo.
🛠
Recursos adecuados
El responsable debe proveer al DPO de los recursos necesarios para ejercer sus funciones efectivamente: tiempo, herramientas, acceso a información y formación continua.
Operación del cargo

El ciclo operativo del DPO

El DPO no opera puntualmente: tiene un ciclo continuo de cuatro ejes que abarca gobierno, supervisión, relación con la APDP y atención de titulares.

Eje 1 · Gobierno
Reporte a la alta dirección
Informes ejecutivos periódicos sobre estado del cumplimiento, riesgos identificados, brechas de privacidad y recursos necesarios para la protección de datos.
Eje 2 · Supervisión
Monitoreo del cumplimiento
Auditorías internas de tratamientos, revisión del RAT, verificación de políticas de privacidad y supervisión de procedimientos ARCO y DPIA.
Eje 3 · Regulador
Relación con la APDP
Gestión de comunicaciones con la Agencia, notificación de brechas, respuesta a requerimientos y cooperación en fiscalizaciones dentro de los plazos legales.
Eje 4 · Titulares
Atención ARCO y consultas
Recepción y gestión de solicitudes de acceso, rectificación, cancelación, oposición y portabilidad. Respuesta en plazo legal y trazabilidad documentada.

Entregables concretos del DPO

📜
Acto formal de designación
Resolución o acuerdo de directorio que designa al DPO con su identidad, datos de contacto y notificación pública.
📊
Registro de Actividades de Tratamiento
RAT actualizado con todos los tratamientos: finalidad, base legal, categorías, destinatarios y plazos de conservación.
📋
Informe de cumplimiento periódico
Reporte ejecutivo al directorio con estado del cumplimiento, brechas identificadas y plan de acción con responsables y plazos.
🔍
DPIA — Evaluaciones de impacto
Revisión y opinión formal del DPO en tratamientos de alto riesgo, documentada y archivada para fiscalización de la APDP.
Notificación de brechas a la APDP
Protocolo de notificación formal de brechas de seguridad dentro de los plazos legales, con registro completo de cada evento.
👥
Registro de solicitudes ARCO
Trazabilidad de todas las solicitudes de titulares: fecha de recepción, tipo, respuesta entregada y plazo de atención.
Artículos 38–40 · Infracciones y sanciones

El costo de no designar DPO o designarlo incorrectamente

No designar DPO siendo obligatorio, o designar a una persona sin idoneidad o con conflicto de interés, constituye una infracción directa a la Ley 21.719 con consecuencias para la organización y sus directivos.

Infracciones gravísimas
20.000 UTM
O 4% de los ingresos anuales en reincidencia grave
  • No designar DPO siendo organismo público o empresa obligada por el art. 50
  • Designar un DPO con conflicto de interés y sin independencia funcional real
  • Impedir al DPO el ejercicio de sus funciones o darle instrucciones sobre cómo actuar
  • No notificar brechas de seguridad a la APDP dentro de los plazos legales
Ver art. 40 en BCN ↗
Responsabilidad personal — Art. 44
Personal
Responsabilidad administrativa del jefe superior del organismo
  • En organismos públicos, el jefe superior responde administrativamente por no designar DPO
  • En entidades privadas, la responsabilidad alcanza a directores y ejecutivos principales
  • El directorio no puede delegar su responsabilidad de supervisar la protección de datos
  • La ley eleva la privacidad a materia de gobierno corporativo con implicancias directas
Ver art. 44 en BCN ↗
Cómo KLG Technology cubre este requisito

DPO as a Service:
su Delegado de Protección
de Datos externo

KLG Technology actúa como DPO externo para organizaciones que necesitan cumplir el artículo 50 de la Ley 21.719 sin construir una función interna compleja. La modalidad externa está expresamente permitida por la ley y es la solución más eficiente para la mayoría de las empresas.

Con experiencia en regulaciones de privacidad y ciberseguridad, el equipo de KLG asume la interlocución con la APDP, el reporte a la alta dirección, la supervisión del cumplimiento y la atención de solicitudes ARCO de forma integrada con el cumplimiento de la Ley 21.663.

🔒
DPO as a Service
DPO externo conforme al art. 50 — enlace con la APDP, supervisión del cumplimiento y gestión de solicitudes ARCO
📋
GRC · RAT y documentación
Registro de Actividades de Tratamiento, políticas de privacidad, DPIA y toda la documentación exigible por la APDP
🔍
Assessment de Protección de Datos
Diagnóstico de la necesidad u obligación de designar DPO y brecha de cumplimiento frente a la Ley 21.719
📡
Seguridad técnica · Respaldo al DPO
Infraestructura técnica de protección de datos que el DPO puede supervisar y acreditar ante la APDP
👤
CISO as a Service · Integración Ley 21.663
DPO y CISO coordinados: cumplimiento integrado de protección de datos y ciberseguridad en un solo proyecto
KLG Technology

¿Su organización está obligada a designar DPO bajo la Ley 21.719?

Si su empresa trata datos sensibles a gran escala, realiza monitoreo sistemático de personas, o es un organismo público, la designación es obligatoria. KLG Technology puede asumir este rol de inmediato, con la independencia funcional que la ley exige.

Solicitar DPO as a Service → Ver más sobre la Ley 21.719
Nav Ley 21.719 · DPO — KLG
🔒 Ley 21.719 — Navegar
Principios 🔒 Delegado DPO 👤 Derechos ARCO 🔍 DPIA Brechas