Delegado de Protección de Datos bajo la Ley 21.719: guía para empresas chilenas
La Ley 21.719 obliga a una parte de las empresas chilenas a designar un Delegado de Protección de Datos antes del 1 de diciembre de 2026. Este artículo explica los tres supuestos de obligatoriedad, incluye un árbol de decisión de cuatro preguntas y detalla el perfil mínimo que exige la ley, con especial atención al caso en que un gerente general asuma el rol en una pyme.
A partir del 1 de diciembre de 2026, la Ley 21.719 entra en vigor en Chile y obliga a una parte de las empresas a designar un Delegado de Protección de Datos (DPD). Cognitiva, agencia chilena de IA, analiza los tres supuestos en que esta designación es obligatoria —organismo público, tratamiento masivo de datos sensibles, o monitoreo sistemático a gran escala— y los diferencia de los casos donde designar un DPD es voluntario pero estratégicamente conveniente. El problema concreto: miles de organizaciones no saben en cuál categoría caen. Muchas piensan que la figura es exclusiva de grandes empresas o del sector salud. Otras asumen que basta con que el gerente general «asuma el rol» sin capacitación formal. Y casi ninguna ha examinado si la Agencia de Protección de Datos Personales (APDP), el nuevo regulador creado por la misma ley, tendrá argumentos para exigirles uno. Esta guía incluye un árbol de decisión de cuatro preguntas, el perfil mínimo que exige la ley, y las condiciones bajo las cuales una micro o pequeña empresa puede que su dueño o gerente asuma el DPD sin incurrir en incumplimiento.
El contexto regulatorio: qué cambia el 1 de diciembre de 2026
Chile estuvo por décadas con la Ley 19.628 como único marco de protección de datos personales, una norma que nació en 1999 y nunca recibió una actualización estructural. La Ley 21.719, publicada en el Diario Oficial el 13 de diciembre de 2024, cambia eso de raíz: crea una autoridad de control autónoma (la APDP), establece derechos ampliados para los titulares de datos y define un régimen sancionatorio de hasta 20.000 UTM para infracciones gravísimas.
Una de las piezas nuevas del sistema es el Delegado de Protección de Datos (DPD), denominado también DPO en la literatura internacional por su equivalente en inglés. A diferencia del modelo europeo GDPR, en Chile el DPD no es obligatorio para todas las organizaciones: su exigibilidad depende de tres supuestos concretos que el texto legal define. Para el resto de las empresas, designar un DPD es voluntario, pero con frecuencia es una decisión que conviene tomar antes de que la APDP comience a recibir reclamos y abrir expedientes.
Los tres supuestos en que el DPD es obligatorio
La ley diferencia con precisión cuándo la designación es un requisito y cuándo es una opción. Si tu organización cae en alguno de estos tres grupos, debes designar un DPD antes de que la norma entre en vigor. No designarlo cuando es obligatorio es en sí mismo una infracción susceptible de sanción.
Supuesto 1: organismos públicos y servicios de la administración del Estado
El primero y más directo de los tres supuestos es el tipo de organización. Toda entidad que forme parte de la administración del Estado —servicios, ministerios, municipalidades, órganos autónomos, empresas del Estado— tiene la obligación de designar un DPD. No existe umbral de tamaño ni de volumen de datos: la naturaleza pública del organismo basta para activar el requisito.
Supuesto 2: tratamiento masivo de datos sensibles como actividad principal
El segundo supuesto aplica a empresas privadas cuya actividad principal consiste en procesar datos sensibles a gran escala. La ley define como datos sensibles los de salud, origen racial o étnico, opiniones políticas, creencias religiosas, datos biométricos y datos genéticos, entre otros. La clave está en la escala: no basta procesar datos sensibles de forma ocasional. Si el modelo de negocio central —una clínica, un laboratorio, una corredora de seguros de salud o una plataforma de recursos humanos con perfiles biométricos— implica procesar esa categoría de datos de forma masiva y continua, el DPD es obligatorio.
Supuesto 3: monitoreo sistemático y masivo de titulares como actividad principal
El tercer supuesto cubre a las organizaciones cuya actividad principal incluye el monitoreo sistemático de personas a gran escala. Esto abarca plataformas de análisis de comportamiento en línea, redes sociales con perfilamiento de usuarios, sistemas de reconocimiento facial en espacios de acceso masivo y cualquier infraestructura que implique rastrear la actividad o el comportamiento de un número significativo de personas de forma continua. Si tu empresa vende o monetiza esos perfiles, o si el monitoreo es parte estructural de tu servicio, estás en este supuesto.
Árbol de decisión: ¿tu empresa necesita un DPD?
El árbol de decisión que el equipo de cumplimiento de Cognitiva construyó a partir del texto de la Ley 21.719 ordena el análisis en cuatro preguntas. Respóndelas en secuencia: si la respuesta es sí en cualquiera de las primeras tres ramas, la designación es obligatoria. Si las tres son no, evalúa la cuarta para decidir si conviene hacerlo de todos modos.
| Pregunta de diagnóstico | Respuesta SÍ | Respuesta NO |
|---|---|---|
| ¿Tu organización es un organismo público o forma parte de la administración del Estado? | DPD obligatorio — Supuesto 1 | Continúa a la pregunta 2 |
| ¿Tu actividad principal consiste en tratar datos sensibles (salud, biometría, etnia, etc.) a gran escala? | DPD obligatorio — Supuesto 2 | Continúa a la pregunta 3 |
| ¿Tu actividad principal incluye monitorear sistemáticamente el comportamiento de personas a gran escala? | DPD obligatorio — Supuesto 3 | Continúa a la pregunta 4 |
| ¿Tu empresa adoptará un Modelo de Prevención de Infracciones (MPI) certificado ante la APDP? | DPD recomendado para el MPI | Designación voluntaria — evalúa los beneficios estratégicos |
Para las empresas que no caen en ninguno de los tres supuestos obligatorios, designar un DPD sigue siendo voluntario. Sin embargo, existen razones concretas para hacerlo de todos modos:
- Facilitar la adopción de un Modelo de Prevención de Infracciones (MPI), que la ley incentiva como herramienta para reducir sanciones cuando hay una infracción ante la APDP.
- Contar con un referente interno ante incidentes de seguridad, que la ley exige reportar a la autoridad dentro de plazos definidos.
- Mejorar la posición contractual frente a clientes y socios que exijan garantías de cumplimiento en sus contratos de tratamiento de datos.
- Anticiparse a un posible cambio de escala en el volumen o tipo de datos tratados que active uno de los tres supuestos obligatorios.
Perfil mínimo exigido: interno, externo o gerente general
La ley no exige que el encargado de protección de datos personales de la empresa sea abogado ni que posea un título específico. El requisito legal es que reúna condiciones de idoneidad, capacidad y conocimientos específicos para ejercer sus funciones. Esto permite perfiles mixtos —jurídicos, técnicos o de gestión de procesos—, lo que resulta útil en organizaciones donde la protección de datos tiene una dimensión tecnológica importante.
| Modalidad | Ventajas | Limitaciones | Perfil típico |
|---|---|---|---|
| DPD interno (empleado o ejecutivo) | Conocimiento del negocio, disponibilidad inmediata, menor costo de coordinación | Riesgo de conflicto de interés si acumula otras responsabilidades de alto impacto en la organización | Responsable de cumplimiento, CISO, profesional legal interno con formación en datos |
| DPD externo (contrato de servicios) | Independencia clara, especialización inmediata, viable económicamente para pymes | Menor contexto del negocio; requiere un proceso de incorporación y actualización continua | Firma legal especializada en protección de datos, consultor de privacidad |
| Dueño o gerente general (pymes) | Costo mínimo y rol unificado en organizaciones pequeñas | Solo válido para micro, pequeñas y medianas empresas con capacitación verificable; no aplica a grandes empresas | Dueño o máxima autoridad que recibe formación específica en Ley 21.719 |
Funciones mínimas del DPD según la Ley 21.719
- Asesorar a la organización sobre sus obligaciones bajo la Ley 21.719 y supervisar el cumplimiento interno de las políticas.
- Actuar como punto de contacto permanente con la Agencia de Protección de Datos Personales (APDP).
- Gestionar solicitudes de derechos ARCO (acceso, rectificación, cancelación y oposición) presentadas por los titulares de datos.
- Coordinar la respuesta ante brechas de seguridad dentro de los plazos que exige la ley.
- Participar en evaluaciones de impacto en protección de datos (EIPD) cuando el tratamiento conlleve riesgos elevados.
- Mantener confidencialidad estricta sobre los datos personales a los que accede en el ejercicio del cargo.
Un punto que muchas organizaciones pasan por alto: la ley exige que el DPD cuente con autonomía respecto de la administración en los asuntos relacionados con la protección de datos. Esto implica que el gerente general o el directorio no pueden dar instrucciones al DPD sobre cómo resolver un caso específico o cómo responder ante la APDP. El DPD actúa por iniciativa propia dentro de su mandato. Además, la ley establece que el responsable del tratamiento debe proveer los recursos materiales necesarios para que el DPD ejerza sus funciones de forma adecuada.
El caso especial de las pymes: cuándo el gerente puede ser el DPD
La Ley 21.719 contempla expresamente una excepción para micro, pequeñas y medianas empresas: el dueño o la máxima autoridad puede asumir personalmente las tareas del DPD. Esta posibilidad responde a la realidad de las organizaciones de menor tamaño, donde no siempre existe capacidad para contratar un rol dedicado. Sin embargo, la excepción no es una puerta libre: tiene condiciones que es necesario cumplir para que sea válida.
- La organización debe ser micro, pequeña o mediana empresa según la clasificación vigente en Chile. Las grandes empresas no tienen esta opción, independientemente de su voluntad.
- La persona que asume el rol debe contar con capacitación adecuada y verificable en materia de protección de datos personales bajo la Ley 21.719. No basta con conocer el tema en términos generales.
- Quien asume el DPD debe poder ejercer el rol con autonomía funcional real. Esto es problemático cuando el DPD tiene que controlar decisiones que él mismo aprueba como gerente: la tensión entre ambos roles puede invalidar el esquema en una auditoría.
- Si la organización pyme cae en alguno de los tres supuestos de obligatoriedad, la excepción no elimina la obligación de designar un DPD: simplemente permite que el dueño o gerente sea quien la cumpla, si tiene las competencias requeridas.
- La designación debe formalizarse por escrito, con indicación del nombre de quien asume el rol, las funciones asignadas y el canal de contacto que estará disponible para titulares y para la APDP.
El error más frecuente es creer que «el gerente general asume el DPD» significa que no hay que hacer nada adicional. La ley exige conocimientos verificables, autonomía funcional real y funciones formalmente asignadas por escrito.
Cómo Cognitiva acompaña el cumplimiento de la Ley 21.719
Cognitiva trabaja con empresas chilenas que implementan sistemas de IA y automatización en sus operaciones: entornos donde el tratamiento de datos personales es frecuente y la exposición regulatoria bajo la Ley 21.719 es concreta. En ese contexto, el cumplimiento no es un proceso paralelo al negocio; es parte de la arquitectura de los sistemas desde el comienzo.
Nuestro equipo ayuda a las organizaciones a mapear sus flujos de datos, identificar su posición en el árbol de decisión del DPD y diseñar el esquema de cumplimiento más apropiado según su tamaño y tipo de tratamiento: desde la designación del DPD hasta la elaboración del Registro de Actividades de Tratamiento, los contratos con proveedores de IA y la coordinación ante brechas de seguridad. Más de 19 empresas chilenas ya trabajan con Cognitiva en la integración de IA con sus procesos.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.