top of page
Buscar

7 errores no forzados sobre el Delegado de Protección de Datos Personales (DPO)

Actualizado: hace 3 días



Con la entrada en vigor de las profundas modificaciones a la Ley de Datos Personales de Chile, en diciembre de 2026, uno de los temas recurrentes -aunque no el más importante-, es a quién nombrar como delegado de protección de datos o DPO en la empresa.


Lamentablemente varias empresas no lo están haciendo bien y cometen algunos errores que, a fin de cuentas, harán que su delegado no sirva correctamente a su propósito. Por eso, a continuación, presentaré algunos de esos verdaderos errores “no forzados” que se deben evitar.


Error 1: No todos necesitan un DPO.


Según la Ley de Datos Personales de Chile, en principio, no es obligatorio designar un delegado de protección de datos personales. Será obligatorio solo si la empresa quiere certificar un modelo de prevención de infracciones ante la Agencia de Protección de Datos, ya que su designación es uno de los requisitos mínimos de dichos programas de cumplimiento.


No obstante, aunque no sea obligatorio por regla general, resulta muy conveniente contar con un DPO, pero solo en ciertos casos. Para determinar si se requiere o no en una empresa, es importante aclarar varios puntos, tales como:


  • ¿La empresa utiliza frecuentemente datos personales y qué uso les da?

    Si el tratamiento es esporádico y para usos simples como el contactar a un cliente para despachar un producto o facturar, parece no ser necesario tener un DPO.


  • ¿La empresa almacena datos de un universo amplio de personas?

    Hay que pensar en que el riesgo de reclamos, denuncias y demandas incrementa con cada persona cuyos datos se utiliza.


  • ¿La empresa cruza los datos y forma perfiles?

    Esa es una actividad considerada de alto riesgo para los titulares y necesita especial precisión para realizarse sin infringir la Ley de Datos Personales.


  • ¿La empresa utiliza datos sensibles?

    En ese caso, el grado de protección exigido es mayor, por lo que la empresa debe ser más rigurosa.


  • ¿La empresa les da un uso que puede poner en riesgo los derechos de las personas a quienes pertenecen los datos?


Cuando una empresa se encuentra en alguno de estos ejemplos, sí, es importante considerar el nombramiento de un DPO. Ahí deja de ser solo una recomendación y se transforma en un “seguro de vida” para esa empresa.


¿Por qué?


Porque el cumplimiento de la ley de datos personales es complejo. Hay que hacerse cargo de muchos requisitos y obligaciones. 


Además, el riesgo legal a ser multado por infracciones no es menor, debido a que ahora será mucho más fácil reclamar ante un órgano fiscalizador específico, denominado Agencia de Protección de Datos Personales. 


Error 2: Ignorar las funciones que cumple un DPO


La ley no pide una profesión específica, pero sí que el rol asesor del DPO lo asuma una persona idónea, capaz y con los conocimientos específicos en protección de datos personales. 


Si cuenta con esas competencias podrá realizar correctamente sus funciones, entre las que destacan:


  • Mantener informados y orientar a sus directivos y trabajadores sobre lo que deben cumplir, para que puedan tomar mejores decisiones al utilizar los datos personales.


  • Supervisar que la empresa esté cumpliendo con la ley para evitar sanciones. Es decir, previene infracciones que luego resultan muy costosas. 


  • Crear una cultura de protección de datos a través de la formación, lo que facilita el utilizar los datos sin caer en problemas legales.  


Sin embargo, estas competencias sobre protección de datos personales no se encuentran en la gran mayoría de abogados e ingenieros. Se adquieren a través de la especialización y la experiencia.


Yo fui delegado de protección de datos durante 10 años en dos órganos públicos y frecuentemente era consultado por los directivos principales, por los encargados de seguridad, por los jefes jurídicos y por distintos funcionarios, para resolver dudas de interpretación y aplicación práctica de la ley de datos personales (recuerda que Chile cuenta con una ley específica desde 1999). Estoy convencido que, sin ese apoyo de un DPO, habrían cometido varios errores por desconocimiento.


Error 3: Designar un perfil informático para el cargo de DPO


Como dije, aunque la ley no exige una profesión determinada para el rol del DPO, esto no significa que cualquier profesional, en principio, pueda asumirlo. Será necesario que, más allá de su profesión, cuente con la calificación específica.


Acá el error puede originarse en un mito que paso a aclarar: La protección de datos personales NO es un tema principalmente técnico.


Si hablamos de “protección de datos personales”, en principio, pareciera que lo lógico es poner a cargo a quienes mejor entienden qué medidas de seguridad a las bases de datos y los sistemas se pueden adoptar. Por eso, bajo este mito, se cree que lo natural es designar como DPO al Gerente de Tecnología o al Oficial de Seguridad de la Información. Sin embargo, el cumplir con medidas técnicas de seguridad es solo una de muchas partes de la protección de datos personales. Además, la Ley de Protección de Datos no protege datos, sino derechos y eso cambia completamente el foco para implementar, interpretar y cumplir la normativa.


Es más, las propias áreas de tecnología suelen aclarar que ellos se encargan de proteger los sistemas y los datos, pero no de decidir qué hará la empresa con ellos, ni menos de determinar qué es lo que legalmente se puede hacer o no con los datos. 


Por lo tanto, si el DPO solo tiene alta calificación tecnológica, podrá ayudar al cumplimiento de ese tipo de medidas y exigencias, pero no da ninguna tranquilidad de que la empresa esté cumpliendo correctamente con la totalidad de la ley de datos personales en su operación diaria, ni tampoco permite defenderse adecuadamente frente a un reclamo o una fiscalización.  


Error 4: Designar al gerente legal para el cargo de DPO


Este error viene desde la otra acera. Si las exigencias y obligaciones tienen su origen en una ley, lo lógico sería que el gerente legal asuma como DPO. Se trataría de otra ley más que cumplir dentro de la empresa. Sin embargo, el problema de esa mirada es caer en el otro extremo y olvidar lo técnico.


Además, casi ningún gerente legal entiende aspectos tecnológicos, ni los temas técnicos de protección de datos, e incluso, tampoco dominan o conocen bien la Ley de Datos Personales. Por lo general, cuentan con otras especialidades jurídicas, más de tipo corporativo y propio del giro de su empresa.


Error 5: Designar un DPO con conflictos de interés


Un DPO que conozca a la empresa facilita mucho la gobernanza sobre los datos personales y, con ello, la toma de decisiones estratégicas para el negocio. Desde ese punto de vista, podría parecer recomendable designar como DPO a algún directivo de una gerencia que trabaje con los datos personales, como el área comercial o de recursos humanos, porque son quienes mejor conocen cómo la empresa utiliza los datos y para qué. 


En este caso, el error es olvidar la independencia que se exige al rol de DPO, quien no debería caer en conflictos de interés al realizar sus funciones, cuando desempeñe otros cometidos dentro de la empresa. Tratándose de esas gerencias e, incluso, en el caso del gerente de Tecnología y del Oficial de Seguridad de la Información (CISO), hay un evidente conflicto de interés potencial y constante. 


La razón es muy simple. Si dentro de las funciones mínimas que se le asigna al DPO está la supervisión del cumplimiento de esta ley, debe ejercer la inspección, vigilancia o control sobre las actividades de tratamiento de datos de las diferentes áreas de la empresa. Bajo esta duplicidad de roles, habría actividades de tratamiento a cargo de él mismo, por ejemplo, la recolección de datos de prospectos y clientes, el almacenamiento de datos de sus trabajadores o la adopción de medidas de seguridad para el cuidado de los datos. Por eso, un DPO no puede supervisar un área de la que es, al mismo tiempo, el responsable.


Lo correcto, entonces, sería designar a un verdadero especialista, con adecuada independencia para sus funciones.


Error 6: Subestimar las tareas del DPO


Hace poco escuché a alguien decir: “¿Qué sentido tiene contratar a un especialista en datos personales si con un software programado por una inteligencia artificial puedo cumplir con lo que me pide la ley, prácticamente gratis? Además, estaría contratando a alguien para que solo rellene planillas Excel”.


Pero ¿es tan simple el trabajo del DPO y tan operativo como para limitarse a completar planillas o gestionar un software?


Tras haber desempeñado esas funciones por más de una década puedo asegurar, no solo desde lo teórico, que no es así de fácil.


Contar con planillas y software de gestión son herramientas de apoyo, útiles para sistematizar la operación diaria, pero que en ningún caso reemplazan la labor de un especialista que, con frecuencia, debe atender situaciones más allá de los casos parametrizados o que se consideren “normales”. Sería como sostener que el martillo es capaz de reemplazar al carpintero. 


Además, el apoyo de un DPO no se limita a explicar lo que dice tal o cual artículo de la ley, sino a interpretar y buscar formas de acción que permitan operar a la empresa, pero sin infringir sus obligaciones ni exponerse a multas. Esos suelen ser casos difíciles, que necesitan de asesores calificados, especialistas en la temática de la protección de datos personales y, además, conocedores de la organización.


Por lo tanto, tampoco es buena opción designar como DPO a un profesional sin experiencia, por ejemplo, a una persona recién titulada a la que le guste la tecnología o a la que le pagaron un curso de 2 meses para “especializarse”.


Cuando se subestima o minimiza la complejidad del rol del DPO hay un notorio y peligroso desconocimiento de la ley de datos personales, de sus exigencias a implementar y de los problemas, dudas y desafíos que aparecen día a día al utilizar los datos de otras personas.


Por ejemplo, ¿cómo puedo notificar un incidente sufrido en la base de datos personales, sin que ello arruine la imagen de la empresa ante nuestros clientes? ¿Cómo puedo justificar el uso de datos para fines distintos, pero que considero compatibles con los originalmente declarados? ¿De qué forma puedo anonimizar los datos correctamente, para no sujetarme a las restricciones de la ley, pero igualmente conservarlos de manera útil? Si un cliente reclama que los datos recolectados son excesivos para la finalidad, ¿cómo defiendo a la empresa? Sin duda, al tratar datos personales surgen muchas interrogantes que una planilla, un software o una persona inexperta son incapaces de responder.


Error 7: Tomar la decisión únicamente considerando costos de contratación


A diferencia de los errores anteriores, que califiqué como “no forzados” porque dependen exclusivamente de la forma en que se quiera abordar la figura del DPO, en este último caso, sí puede incidir un factor ajeno a la mera voluntad: el presupuesto necesario para contratar a un especialista como DPO o para formarlo.


En este sentido, ya expliqué que las funciones del DPO requieren de una persona calificada, por eso, no necesariamente es fácil encontrarla dentro de la empresa o en una oferta abundante en el mercado laboral.


Pero es muy distinto no contar con un DPO idóneo por falta de presupuesto, a simplemente decidir “ahorrarse” al especialista. Ahí volvemos a un error grave, cuando, a pesar de contar con recursos para formar un DPO, contratar un experto o externalizar las funciones, se opta por asignar más tareas a alguna jefatura que ya exista, porque esa medida tiene “costo cero”. Esa razón la he escuchado en grandes empresas que designan al CISO también como DPO.


Además, si esa empresa trata datos personales de muchos clientes o realiza procesamientos invasivos, como perfilar hábitos de consumo o micro segmentar clientes, el “ahorro” del especialista es tan absurdo como conducir en la noche sin encender las luces, para no gastar los focos. Muy pronto chocará. En el caso de los datos personales, esa empresa difícilmente podrá minimizar el riesgo de infringir la ley y, por ende, es muy probable que llegue a ser multado. Lo paradójico se encuentra en que, gracias al “ahorro” del especialista no es capaz de evitar su primera multa y ésta probablemente le cueste más de lo que supuestamente “ahorró”.

 


En síntesis, frente a la designación del DPO sugiero plantearse antes varias preguntas, utiles para determinar su real necesidad y para sincerar la disposición de contar con una persona realmente capaz de asumir sus funciones. Recuerda que la designación de un DPO en las empresas que lo necesitan, puede ser una de las mejores decisiones para minimizar riesgos de infracciones y multas en esta materia. 

 

¿Quieres que te ayude a determinar si tu empresa necesita o no un DPO? ¿Necesitas orientación para elegirlo o contratar un mentor que lo apoye en sus tareas iniciales? ¿Prefieres externalizar sus funciones y buscas ese servicio? Entonces, agenda una reunión conmigo y veamos cuál es la mejor solución para tu empresa.

bottom of page