El Delegado de Protección de Datos Personales: ¿debe ser interno o externo?

Tal vez ya me has escuchado o leído antes y sabes que tengo experiencia ejerciendo el rol de delegado de protección de datos personales. Tuve el privilegio de desempeñarlo durante 12 años en dos organismos públicos. Por esa razón, te quiero transmitir algunas claves que te servirán para comprender mejor este nuevo rol en las empresas. 

Para favorecer el correcto cumplimiento de las leyes de datos personales -entre ellas, la ley chilena modificada el 2024-, estas normas aluden a un rol asesor concreto, conocido como delegado de protección de datos personales (DPO o DPD, según sus siglas en inglés o español). 

En torno al DPO, actualmente están surgiendo muchas preguntas en Chile, dado que, en la fecha en que escribo esta columna, aún estamos en el período de vacancia indicado en la nueva regulación, dentro del cual las organizaciones deben dedicarse a implementarla para estar listas cuando comience a regir el 1 de diciembre de 2026.

Sin embargo, ahora no pretendo explicarte en detalle el rol del DPO. Solo quiero centrarme en una de esas preguntas sobre las que se está debatiendo: 

El DPO, ¿debe ser interno o externo a la empresa? 

Dicho de otro modo, qué conviene más, ¿reconvertir a un trabajador que ya es parte de la empresa y asignarle ese rol, o contratar un servicio externo que preste asesoría especializada en las funciones que le corresponden a un DPO?

Pero antes de responder, necesitas saber un par de ideas básicas. 

1. La figura de un DPO en una empresa no es obligatoria. 

Bajo la ley chilena es facultativo o voluntario nombrarlo, a menos que la empresa quiera contar con un modelo de prevención de infracciones, para certificarlo y poder utilizarlo como atenuante de responsabilidad en caso de que la demanden. Solo en esa situación es obligatorio, porque contar con un DPO es un elemento esencial de dicho modelo de prevención. Este tema no es menor, considerando que las multas que se le pueden aplicar a una empresa son bastante altas y si, dado el caso, se pueden rebajar, bienvenido sea.  

Sin embargo, aunque no sea obligatorio, resulta imprescindible nombrar un DPO en algunas organizaciones e innecesario en otras. 

En mi opinión, en el caso de micro y pequeñas empresas, dada su estructura simple y, normalmente, por la baja complejidad que suelen presentar en la gestión de sus datos, no necesitan designar un DPO. De hecho, la ley permite que en esas empresas las funciones de un DPO las realice el dueño o la máxima autoridad (algo extraño en algunas de las funciones, porque sería algo así como que se asesore a sí mismo). Pero igual tiene sentido y es útil para no cargar a estas empresas pequeñas con los costos propios de contratar a una persona, entendiendo que las funciones son mucho más simples de realizar. 

Es más, si esa micro o pequeña empresa realiza tratamientos de datos personales de manera intensiva (por ej. son dos informáticos que prestan servicios de tratamiento de datos sensibles o confeccionan perfiles), también parece más sensato contratar asesorías específicas cuando lo requieran, en vez de contratar laboralmente a un DPO. Del mismo modo, acudir a un especialista de forma puntual y no designar un DPO es razonable si esa empresa de menor tamaño solo necesita preocuparse de asuntos vinculados a datos personales de manera esporádica.

En cambio, en medianas y grandes empresas, y en órganos públicos, la estructura departamental que tienen, la complejidad de sus actividades y el volumen de datos personales con los que trabajan necesita la mirada experta de un DPO, para que el cumplimiento de la Ley de Datos Personales no se vuelva un problema en la organización. 

Esto es recomendable incluso si el tratamiento de datos personales no es la actividad principal de esa empresa, que perfectamente podría estar dedicada a la comercialización de bienes físicos o a la prestación de servicios no tecnológicos, por ejemplo. Sin embargo, por el solo hecho de tener una base de datos personales de muchos clientes y prospectos o un gran volumen de datos de sus trabajadores, ya amerita un trato especializado. 

2. El papel que le corresponde es el de un asesor experto e independiente. 

   
   

El DPO no es el responsable directo de cumplir con la Ley de Datos Personales en una empresa, ni es quien decide cómo se utilizan los datos en ella. Pero tampoco es un trabajador más. Es un asesor de alto nivel. 

No en vano la ley exige que sea designado por la alta dirección de la empresa, a quien asesora, goza de autonomía para su labor, debe contar con medios suficientes para realizar sus tareas y no sirve una designación meramente formal, solo por cumplir o para decir que se tiene un DPO en la empresa. Es un asesor calificado, idóneo, capaz y con conocimientos específicos en la materia. 

En este punto, qué perfil profesional resulta más idóneo para el rol de DPO y cómo evitar y resolver conflictos de interés que se le puedan presentar, son temas muy importantes sobre los que hoy muchos consultan. Sin embargo, los dejo para otra ocasión, a menos que me lo quieras preguntar directamente. 

Cuándo optar por un DPO interno

Un profesional que reúna las cualidades y competencias requeridas para el rol de delegado de protección de datos personales es muy difícil de encontrar. Especialmente si se les pide experiencia que, por cierto, es fundamental para el DPO de empresas con riesgo mediano o alto en materia de tratamiento de datos personales. 

Tampoco es una función que simplemente se pueda anexar a las otras que ya esté realizando algún otro cargo en la organización y que parecen estar relacionadas. Por ejemplo, la de cualquier abogado de la empresa (especialmente de alguno joven al que le guste la tecnología), de algún informático especializado en seguridad o de algún auditor dedicado a compliance en general. 

Es muy extraño que una empresa ya cuente con el profesional correcto, ya que “idóneo” no es sinónimo de “entusiasta”, “motivado” o “comprometido”. Entonces, para que esos trabajadores con potencial lleguen a ser idóneos para desarrollar las funciones de un DPO es necesario especializarlos o, derechamente, reconvertirlos.  

Por supuesto, es un trabajo que no se limita solo a inscribirlos en algún curso genérico sobre la Ley de Protección de Datos durante 1 semestre, a que aprendan a manejar un par de planillas o a darle acceso a un software, para dar por realizada esa especialización o reconversión. Las tareas de un real DPO, especialmente en organizaciones que dependen de su labor por el tipo de tratamientos de datos personales que realizan, son más exigentes y complejas, y recién se van comprendiendo y dominando con la experiencia, no desde la teoría ni desde las herramientas. 

Una última observación. Si se opta por especializar o reconvertir a un trabajador interno, sugiero no caer en el error de formar a un profesional joven de poca experiencia y peso en la empresa, solo porque se apuesta a que aprenderá más rápido. Con ello se pierde la gran fortaleza de un DPO interno, respecto de uno externo, que es el contar con un conocimiento más profundo de la organización, de las personas que la integran y de los objetivos, valores y mentalidad que la guían. 

Cuándo preferir un DPO externo

En Chile, la nueva normativa de protección de datos personales traerá consigo algunos años de adaptación a nuevas prácticas en las empresas. Es iluso pensar que el 1 de diciembre de 2026 el país cambiará y, de la noche a la mañana, existirá una cultura de protección de datos viva. Ese día será solo el inicio. 

Por esa razón, en un primer momento parece prudente realizar la transición bajo la guía de especialistas y expertos. En ese sentido, la figura de contratar un servicio de DPO externo a la empresa se ve como una alternativa inteligente. 

Además, como se contrata bajo una prestación de servicios profesionales de un experto en datos personales, se ahorra el tiempo de reconversión, especialmente útil en empresas que necesitarán demostrar el cumplimiento de la Ley de Datos Personales desde el primer día en sectores complejos, más riesgosos o sujetos a mayor fiscalización. Pienso, por ejemplo, en servicios esenciales para el país y en donde el tratamiento de datos personales corresponde a categorías especiales o a datos sensibles, por ejemplo. 

Por último, como la implementación de la Ley de Datos Personales ya implica que las empresas deben asumir costos importantes para adoptar las medidas que les permitan cumplir la normativa correctamente antes del 1 de diciembre de 2026, la externalización del DPO debería aportar con un costo menor a lo que sería pagar por tener al experto o experta “in house”. 

¿Qué sugiero yo?

Antes que todo, te cuento que soy parte interesada, para que lo tengas claro. Por supuesto, yo ofrezco servicios de mentorías para delegados de protección de datos y también el servicio de DPO externo. 

Sin embargo, mi sugerencia es simple: Revisa tu organización antes de elegir el modelo. 

Por ejemplo, para algunas empresas yo recomendaría sin dudar, no tener un DPO, si no lo necesitan realmente. 

En otras, la mejor opción es reconvertir a un profesional idóneo, eso sí, no a cualquiera, por lo que el primer esfuerzo estará en buscar a esa persona dentro de la empresa. Luego, habrá que trabajar en su preparación un par de años para que asuma como un DPO interno calificado.

En la mayoría de las empresas es probable que convenga partir con un DPO externo. Eso sí, a mi me gusta pensar en ese modelo solo de forma transitoria, por un par de años, precisamente para pasar luego a uno interno, mientras se le prepara. 

También hay organizaciones en las que recomiendo que las funciones de un DPO no recaigan sólo en una persona (salvo que así lo exija su naturaleza), y sean asignadas a un equipo. 

En fin, cada modelo tiene ventajas y desventajas, pero que se dimensionan realmente al mirar la organización en particular. Por eso, no puedo sugerirte una única opción, ni decir cuál es la mejor. Lo que sí sé es que no da lo mismo la que se escoja. 

Si quieres mi asesoría para tomar esa decisión o conocer más detalles sobre mis servicios vinculados al delegado de protección de datos personales, contáctame a través de mi sitio web www.rodolfoherrera.cl