La figura en Chile del DPO según la Ley N.º 21.719: ¿en qué área debe ubicarse?

La Ley N.º 21.719 deja abierta la ubicación del DPO dentro de la organización, por lo que cada empresa debe elegirla cuidando que el delegado no termine supervisándose a sí mismo ni viendo comprometida su independencia.

Contributors:
Oliver Ortiz
CIPP/E
Senior manager
Deloitte Legal
Catalina Salas
Consultant
Deloitte Legal
Editor's note
Una de las grandes novedades que trae la Ley N.º 21.719 sobre protección de datos personales, es la introducción de la figura del delegado de protección de datos. Si bien se trata de un rol que en principio resulta “voluntario” solo para aquellas entidades que adopten un modelo de prevención de infracciones — tal como lo destacamos en un análisis anterior — la pregunta que toca hacernos ahora es ¿a través de qué área se debe integrar el DPO en la organización, y a quién le debe reportar?
La pregunta resulta relevante, porque si bien el Decreto N.º 662 de 13 de junio de 2025 (aún en tramitación ante la Contraloría General de la República), que aprueba el Reglamento que regula los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones de la LPDP, establece en su artículo 8 que el DPO debe rendir cuentas directamente ante la autoridad que lo designó, y que esta última debe ser la máxima autoridad directiva o administrativa del responsable de datos. No da luces respecto del área en que debe ubicarse el DPO, dejando este ámbito a libertad de las organizaciones.
En este punto, la experiencia europea indica que lo más lógico es “ubicar” al DPO dentro de un equipo que ya existe — un estudio del Supervisor Europeo de Protección de Datos de 2025 indica que suele estar ubicado en el área de Cumplimiento o el área Legal — pero a decir verdad, en el Reglamento General de Protección de Datos tampoco existe una determinación específica sobre este ámbito. Esta decisión que parece menor, puede generar tanto conflictos de interés como operacionales, por lo que conviene revisarla con detención.
La regla de oro: el DPO no puede ser juez y parte
Detrás de toda esta discusión hay una idea simple: el DPO existe para supervisar que la organización trate correctamente los datos de las personas, y vele directamente por la protección de los derechos de las mismas. Por eso, no debiera ubicarse en un lugar donde termine vigilándose a sí mismo. En otras palabras, si una persona dentro de una entidad es la misma que decide tanto cómo se usan los datos, así como si acaso su tratamiento se está haciendo correctamente, la supervisión carecerá de credibilidad.
La LPDP es clara al respecto, al indicar en su artículo 50 que el DPO “podrá desempeñar otras funciones y cometidos, procurando mantener la independencia en su función”. En el mismo sentido, la Agencia Española de Protección de Datos ha indicado que la ubicación del delegado es una decisión libre de cada organización, con un único límite, que es respetar su independencia y evitar conflictos de interés.
Con esa regla en mente, repasemos las cuatro ubicaciones más habituales y qué ventajas y riesgos tiene cada una:
DPO junto a Ciberseguridad o Tecnología de la información
(i) A favor: solo aceptable de forma excepcional, en organizaciones que por su tamaño y recursos no puedan separar ambos roles, documentando los motivos y reforzando la independencia.
(ii) En contra: autoridades de datos personales, como la AEPD, han señalado que, por regla general, debe existir separación entre el DPO y el encargado de seguridad de la información.
(iii) Conflictos por supervisar: si el encargado de seguridad de la información comete un error y además es DPO, tendría incentivos para no reportarlo. Y si, por ejemplo, el DPO dependiera del área de Ciberseguridad, esa misma área podría supervisarlo, afectando su independencia.
DPO junto a Cumplimiento o Riesgo
(i) A favor: aprovecha una posición y un reporte a la alta dirección ya establecidos. Buena opción si la mayoría de los riesgos de datos nacen en los procesos de negocio.
(ii) En contra: Cumplimiento gestiona el riesgo legal para la organización; el DPO gestiona el riesgo para los derechos de las personas. No siempre apuntan en la misma dirección.
(iii) Conflictos por supervisar: Para evitar tensiones, el delegado debe ser capaz de aplicar bien ambos enfoques a la vez: el cumplimiento legal de la empresa y la protección de los derechos de los titulares.
DPO en el área Legal
(i) A favor: Legal suele ser transversal y no operativa, lo que reduce conflictos. Está cerca de la alta dirección (facilita alertas, recursos y peso en decisiones) y sabe tratar con reguladores e interpretar normas.
(ii) En contra: puede surgir conflicto si el área jurídica debe defender a la organización ante tribunales en materia de datos: se confundiría la defensa de la empresa con el rol independiente del DPO, en ayudar a prevenir potenciales daños a los titulares de datos personales.
(iii) Conflictos por supervisar: Legal suele estar más lejos de las áreas que manejan los medios del tratamiento (sobre todo Sistemas/TI), lo que puede restarle cercanía operativa al delegado.
Área independiente
(i) A favor: permite definir la posición del DPO desde el inicio y, en principio, no genera conflictos de interés.
(ii) En contra: exige que la organización tenga capacidad real de destinar un área exclusiva, con recursos y competencias propias.
(iii) Conflictos por supervisar: no presenta mayores conflictos, pero puede suceder que, al ser un área nueva y aparte, se aísle involuntariamente al DPO de los procesos operativos.
Si bien la respuesta dependerá de la realidad de cada organización, por lo que no hay una respuesta única sobre dónde debe ubicarse el DPO, la mejor opción siempre dependerá del tamaño de la organización, de dónde están sus principales riesgos, de los recursos disponibles, y de la posibilidad de mantener su independencia, evitando conflictos de interés.
Cómo elegir sin equivocarse
Mirando el cuadro, surgen algunas conclusiones prácticas. Poner al DPO dentro de Ciberseguridad o TI es la opción más delicada y debería ser excepcional: es precisamente el área que toma decisiones técnicas sobre los datos (en particular los medios técnicos del tratamiento de los datos personales), de modo que pedirle que además se fiscalice a sí mismo no resulta recomendable. Si una organización pequeña no tiene más remedio que combinar ambos roles, lo mínimo es dejar por escrito por qué lo hace y qué medidas adopta para proteger la independencia del DPO.
Otra área riesgosa, debido a que en la práctica suele determinar los fines y medios del tratamiento de datos de trabajadores, es Recursos Humanos.
Así entonces, si bien no es la única fórmula correcta, ubicar al DPO en Cumplimiento o en Legal suele resultar conveniente para la mayoría de las empresas, porque ambas áreas son transversales, están cerca de la alta dirección y no “operan” directamente los datos. La diferencia está en el foco: alojar al DPO en el área de Cumplimiento funciona bien cuando los riesgos vienen de los procesos de negocio, mientras que Legal aporta cercanía con la alta dirección y experiencia con reguladores, cuidando de no mezclar la defensa de los intereses de la empresa con la mirada independiente que el delegado debe a las personas.
Finalmente, crear un área independiente es evidentemente la solución más limpia en cuanto a conflictos, pero solo está al alcance de organizaciones con tamaño y presupuesto suficientes para sostenerla.
Cuatro preguntas antes de decidir
A modo de ejercicio práctico, y pensando en una organización que recién está armando su modelo, proponemos revisar cuatro preguntas simples antes de fijar la ubicación del delegado:
- ¿Reporta el delegado directamente a la máxima autoridad — directorio, socio administrador o jefatura máxima — como lo indica el RGPD, y así también el Reglamento en tramitación de la LPDP?
- ¿La persona designada evita decidir cómo y para qué se usan los datos, es decir, no actúa a la vez como quien controla y quien es controlado?
- ¿Tiene autonomía real — no recibe instrucciones sobre el resultado de su trabajo ni puede ser sancionada por hacerlo bien — y eso consta en su contrato o nombramiento?
- Y ¿cuenta con recursos, acceso a la información y una posición transversal que le permita actuar en toda la organización?
Si la respuesta a cualquiera de estas preguntas es “no”, quizás convendría repensar la decisión.

This content is eligible for Continuing Professional Education credits. Please self-submit according to CPE policy guidelines.
Submit for CPEsContributors:
Oliver Ortiz
CIPP/E
Senior manager
Deloitte Legal
Catalina Salas
Consultant
Deloitte Legal


