Cada vez que una empresa se acerca a un consultor Ley 21.719 para diagnosticar su cumplimiento, la misma pregunta aparece a los cinco minutos: "¿necesitamos contratar a alguien exclusivamente para esto?". La respuesta corta es: depende de tu empresa, pero probablemente no necesitas un cargo interno de dedicación exclusiva: necesitas un DPO externo.

DPO, DPD, ¿es lo mismo? Sí. "DPO" (Data Protection Officer) es el término en inglés popularizado por el RGPD europeo; "DPD" (Delegado de Protección de Datos) es el nombre que usa la Ley 21.719 en Chile. En la práctica, el mercado chileno usa ambos términos indistintamente.
Obligatorio Para datos sensibles a gran escala
$59.900+ CLP/mes, DPO externo como add-on
30 días Plazo que el DPO gestiona en solicitudes ARCO+P+B

¿Qué es un DPO y por qué la Ley 21.719 lo exige?

El DPO es la persona (interna o externa) responsable de velar por el cumplimiento de la normativa de protección de datos dentro de una organización. Actúa como punto de contacto entre la empresa, los titulares de datos y la Agencia de Protección de Datos Personales, el nuevo organismo fiscalizador creado por la Ley 21.719.

No es un cargo simbólico: el DPO participa en decisiones sobre nuevos tratamientos de datos, revisa contratos con proveedores que procesan información personal, coordina la respuesta ante brechas de seguridad y gestiona las solicitudes de derechos ARCO+P+B de clientes y empleados.

¿Cuándo es obligatorio designar un DPO?

La Ley 21.719 hace obligatoria la designación de un DPO en tres escenarios:

  • Organismos públicos que traten datos personales, sin excepción.
  • Empresas que traten datos sensibles a gran escala: datos de salud, biométricos, religiosos, de orientación sexual, políticos o financieros detallados. Clínicas, laboratorios, isapres y empresas de RRHH con fichas de salud entran directamente en esta categoría.
  • Organizaciones que realicen vigilancia sistemática a gran escala: videovigilancia masiva, tracking de comportamiento de usuarios, scoring o perfilamiento automatizado de personas.
¿Y si no calzas en ninguno de esos casos? No estás obligado por ley, pero contar con un DPO externo sigue siendo la forma más eficiente de reducir el riesgo de incumplimiento si tu empresa maneja datos de clientes, empleados o proveedores, es decir, prácticamente cualquier empresa con un CRM o un área de RRHH.

Las funciones reales de un DPO

1
Punto de contacto con la Agencia Recibe y responde requerimientos del fiscalizador, y reporta brechas de seguridad dentro del plazo de 72 horas.
2
Gestión de solicitudes ARCO+P+B Recibe, valida y responde las solicitudes de acceso, rectificación, cancelación, oposición, portabilidad y bloqueo temporal dentro del plazo legal de 30 días corridos.
3
Mantención del RAT Mantiene actualizado el Registro de Actividades de Tratamiento a medida que la empresa suma nuevos sistemas, proveedores o campañas que traten datos personales.
4
Evaluación de nuevos proyectos Revisa si un nuevo proyecto (una app, un CRM, una campaña de marketing) requiere una Evaluación de Impacto (EIPD) antes de lanzarse.
5
Capacitación interna Forma al equipo en buenas prácticas de manejo de datos personales, adaptadas al rol de cada área.

DPO interno vs. DPO externo

Para una empresa grande con un departamento legal robusto, un DPO interno de dedicación exclusiva puede tener sentido. Para la enorme mayoría de las PYMEs y empresas medianas chilenas, el DPO externo es la opción más razonable por tres motivos:

  • Costo: un cargo interno full-time implica sueldo, cargas sociales y capacitación continua. Un DPO externo se paga como servicio mensual, escalable según el tamaño de la empresa.
  • Independencia: la Ley 21.719 valora que el DPO pueda actuar sin conflictos de interés frente a la propia gerencia, algo que un externo garantiza por diseño.
  • Experiencia acumulada: un DPO externo que atiende a varias empresas desarrolla criterio sobre qué exige realmente la Agencia en la práctica, no solo en la letra de la ley.

¿Cuánto cuesta un DPO externo en Chile?

El precio depende del tamaño de la empresa, el volumen de datos tratados y si ya existe un programa de cumplimiento implementado. Como referencia, en IDATA Chile el DPO externo se ofrece como add-on desde $59.900 CLP/mes para microempresas, hasta quedar incluido en el Plan Empresa para organizaciones de 50 o más personas con tratamiento de datos sensibles. Ver planes y precios de protección de datos →

Cómo elegir un buen DPO externo

  • Que conozca la operación real de tu industria (salud, retail, fintech, educación), no solo el texto de la ley.
  • Que tenga un proceso documentado para responder solicitudes ARCO+P+B dentro de plazo, no solo "buena disposición".
  • Que ofrezca un canal claro y con tiempos de respuesta comprometidos, no un correo genérico.
  • Que pueda mostrar experiencia previa gestionando incidentes o brechas de seguridad, no solo redactando políticas.

El DPO también necesita herramientas

Un DPO (interno o externo) que gestiona solicitudes ARCO+P+B por correo electrónico y planillas de Excel eventualmente pierde el control de los plazos. Por eso IDATA Chile desarrolló iDataSeguro, la plataforma para operar el día a día del cumplimiento: portal de solicitudes, alertas automáticas de vencimiento y RAT digital. Conocer iDataSeguro →

Conclusión

La pregunta no es solo "¿estoy obligado a tener un DPO?" sino "¿quién en mi empresa está respondiendo hoy las solicitudes de datos de mis clientes, dentro de plazo y de forma documentada?". Si la respuesta es "nadie, en realidad", ya tienes tu respuesta.

Preguntas frecuentes

Evalúa si necesitas un DPO externo

Conversemos sobre el tamaño y el tipo de datos que maneja tu empresa. Diagnóstico sin costo en 48 horas.