Ley 21.719 · DPO 16 mayo 2026 · 10 min lectura Por equipo Vigía

DPO en Chile: ¿cuándo es obligatorio bajo Ley 21.719?

La Ley 21.719 entra en plena vigencia el 1 de diciembre de 2026 y crea por primera vez en Chile la figura formal del Delegado de Protección de Datos (DPO). Tres criterios activan la designación obligatoria. Si tu organización cumple alguno, no hacerlo es exposición regulatoria directa. Si no cumple ninguno, puede ser voluntario pero igual conviene. Esta es la guía completa con artículos, casos y perfil técnico requerido.

/// Índice del artículo
  1. ¿Qué es exactamente un DPO bajo Ley 21.719?
  2. Los 3 criterios de obligatoriedad
  3. Designación voluntaria: ¿conviene?
  4. Perfil técnico requerido
  5. ¿DPO interno o externo? Ventajas/desventajas
  6. Las 7 responsabilidades operacionales
  7. Sanciones por no designar
  8. DPO vs Encargado Ciberseguridad (Ley Marco)
  9. Próximos pasos accionables

¿Qué es exactamente un DPO bajo Ley 21.719?

Art. 14 octies · Ley 21.719

El DPO (Delegado de Protección de Datos) es un rol formal creado por la Ley 21.719 que centraliza la responsabilidad organizacional sobre el cumplimiento de la normativa de protección de datos personales. No es asesor legal externo opcional; es una figura jurídicamente definida con independencia funcional y reporte directo a la alta dirección.

La inspiración directa es el DPO de GDPR europeo (art. 37-39), con ajustes para realidad chilena. En la práctica, el DPO actúa como:

  • Interlocutor único ante la APDP en caso de inspección o notificación de brecha.
  • Punto de contacto para titulares que ejercen derechos ARCO+ (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, No decisiones automatizadas).
  • Asesor interno de la organización sobre obligaciones, DPIA, contratos con encargados (DPA), Privacy by Design.
  • Auditor de cumplimiento internalmente: revisa que las políticas, RAT y procedimientos se ejecuten.

La clave: el DPO debe tener independencia funcional — no puede recibir instrucciones sobre cómo ejercer sus funciones de protección de datos. Esto significa que jerárquicamente puede depender del CEO, pero no puede ser despedido o sancionado por sus decisiones técnicas en materia de privacidad.

Los 3 criterios de obligatoriedad

Criterio 1

Organismo público o empresa estatal

Todos los ministerios, servicios públicos, municipalidades, empresas estatales (Codelco, ENAP, BancoEstado) deben designar DPO sin excepción.

Criterio 2

Tratamiento a gran escala de datos sensibles

Empresas cuya actividad principal implique procesar grandes volúmenes de datos biométricos, salud, financieros, religiosos, sindicales o ideológicos.

Criterio 3

Monitoreo sistemático y a gran escala

Empresas cuya actividad principal sea perfilamiento, scoring crediticio, biometría facial masiva, geolocalización continua o decisiones automatizadas.

Criterio 1 — Organismos públicos y empresas estatales

Sin matiz. Todos. Esto incluye ministerios (Salud, Hacienda, Trabajo), servicios (SII, Registro Civil, FONASA), municipalidades, hospitales públicos, universidades estatales, empresas estatales (Codelco, ENAP, BancoEstado, CMPC, Empresa Portuaria), y organismos autónomos (Banco Central, Contraloría).

Criterio 2 — Tratamiento a gran escala de datos sensibles

"Datos sensibles" están definidos en art. 2 c) de la Ley: biométricos, biológicos, financieros, salud, religiosos, sindicales, ideológicos, vida sexual, origen racial o étnico. "Gran escala" no tiene umbral numérico exacto en la ley, pero la doctrina internacional GDPR aplica criterios: número de titulares, volumen y variedad de datos, duración y permanencia del tratamiento, alcance geográfico.

En la práctica chilena, casos típicos:

  • Clínicas y hospitales privados: datos de salud de miles de pacientes = sí.
  • Isapres y aseguradoras de salud: sí, sin discusión.
  • Bancos y fintechs con KYC biométrico: sí (combina financiero + biométrico).
  • Laboratorios y genómica: sí (biológicos).
  • Empresas pequeñas de software médico: dependerá del volumen y si "actividad principal" implica tratamiento a gran escala. Riesgo: ante la duda, conviene designar para tener defensa ante la APDP.

Criterio 3 — Monitoreo sistemático y a gran escala

Aplica cuando la actividad principal de la empresa implica vigilancia continua de titulares. Casos típicos:

  • Plataformas de scoring crediticio: DICOM, Equifax, Experian.
  • Retail con perfilamiento masivo: programas de fidelización que combinan comportamiento, ubicación, hábitos de compra para targeting.
  • Plataformas adtech y marketing: tracking masivo via cookies.
  • Empresas de telemetría vehicular: seguros tipo "drive & save", geolocalización flota.
  • Plataformas de reconocimiento facial: retail loss prevention, control de acceso.
  • Apps con tracking continuo: fitness, salud mental, dating con perfilamiento profundo.

Zona gris frecuente: tu empresa hace SaaS B2B y procesa datos de empleados de clientes (RR.HH., gestión de tareas). Si tu cliente final son empresas medianas en Chile, técnicamente NO sos "actividad principal de monitoreo a gran escala" — sos procesador (encargado) bajo art. 9. Pero conviene tener DPO de todas formas porque tus clientes obligados lo van a exigir contractualmente.

Designación voluntaria: ¿conviene?

Para el resto de organizaciones la designación es voluntaria pero recomendada si:

  • Tenés más de 50 empleados (volúmen de datos RR.HH. ya es significativo).
  • Operás SaaS / e-commerce / fintech con base de usuarios > 10.000.
  • Tenés clientes B2B obligados que exigirán DPO en su DPA (cláusula contractual común).
  • Procesás datos cross-border (Chile → US, EU, etc.) — facilita gestión de transferencias internacionales.
  • Vas a postular a licitaciones del Estado o contratos con organismos públicos.

Beneficio práctico: tener DPO designado pre-existente cuando la APDP llega de inspección reduce significativamente la probabilidad de sanción por falta de diligencia organizacional.

Perfil técnico requerido

La Ley no define formación específica, pero la APDP previsiblemente exigirá demostrar competencia. Perfil esperado:

  • Conocimientos jurídicos: dominio de Ley 21.719, GDPR (porque casi todo cliente B2B internacional lo va a preguntar), leyes complementarias (laboral, salud, banca).
  • Conocimientos técnicos: entender arquitecturas de datos, integraciones, gestión de identidad, controles ISO 27001/27701, criptografía básica.
  • Habilidades soft: comunicación transversal con jurídico, TI, producto, RR.HH., y alta dirección. Capacidad de "vender" privacidad internamente.
  • Certificaciones útiles: CIPP/E, CIPM (IAPP), DPO Officer chileno (cuando emerjan certificaciones locales acreditadas).

Salario típico en Chile 2026 para DPO interno full-time: CLP 3.5-6M/mes (~USD 4.000-7.000) según experiencia y tamaño de empresa.

¿DPO interno o externo? Ventajas y desventajas

DPO interno

Ventaja: conoce profundo la operación, está disponible para escalado interno rápido, construye cultura de privacidad.
Desventaja: costo FTE alto, conflicto de interés si jerárquicamente depende de Legal o TI sin protección formal, difícil de contratar (perfil escaso).

DPO externo (DPO as a Service)

Ventaja: costo significativamente menor (típicamente USD 800-2.500/mes en Chile), experiencia cruzada de múltiples empresas, independencia natural.
Desventaja: menor disponibilidad inmediata, conocimiento contextual operacional más lento, posible conflicto de cliente.

Para PYMEs y empresas medianas (50-300 personas), DPO externo + plataforma Vigía es la combinación más eficiente. Para empresas grandes (500+ o financieras), DPO interno full-time + Vigía como herramienta operacional.

Las 7 responsabilidades operacionales del DPO

  1. Mantener el RAT actualizado (art. 14 ter) — versionado, firmado, con audit trail.
  2. Aprobar DPIAs (art. 14 quater) antes de lanzar tratamientos de alto riesgo.
  3. Gestionar notificaciones de brechas (art. 13) a la APDP dentro de 72 horas.
  4. Responder derechos ARCO+ del titular (art. 5 + 8 ter) dentro de 30 días.
  5. Revisar DPAs con encargados (art. 9) y mantener inventario actualizado de sub-procesadores.
  6. Ejecutar el Plan Anual de Privacidad (art. 14 octies) con 7 actividades obligatorias.
  7. Cooperar con la APDP en inspecciones, requerimientos y reportes consolidados.

Sanciones por no designar DPO cuando es obligatorio

La APDP puede sancionar la omisión como infracción grave. Más importante que la sanción directa: la ausencia de DPO se interpreta como falta de diligencia organizacional y agrava cualquier otra infracción descubierta en la misma inspección. Multas máximas Ley 21.719 escalan hasta UTM 20.000 (~USD 1.4M) o 4% facturación global en casos de reincidencia grave.

DPO vs Encargado de Ciberseguridad (Ley Marco)

Confusión común. Son roles distintos por ley:

  • DPO (Ley 21.719, art. 14 octies): supervisa protección de datos personales, reporta a APDP, interlocutor de titulares ARCO+.
  • Encargado de Ciberseguridad (Ley Marco 21.663, art. 7): supervisa ciberseguridad de servicios esenciales, reporta a ANCI, interlocutor de CSIRT Nacional.

En empresas que tienen ambas obligaciones (un OIV que procesa datos personales), deben ser personas distintas. Combinar roles crea conflicto de interés: cuando hay incidente que es simultáneamente brecha de datos + incidente de ciberseguridad, una sola persona no puede actuar como DPO neutral y Encargado simultáneamente.

Próximos pasos accionables

Si llegaste hasta acá, es porque tu organización probablemente cae en alguno de los 3 criterios o está en zona gris. Pasos concretos:

  1. Audit interno en las próximas 2 semanas: ¿qué datos sensibles procesás? ¿qué volúmen? ¿qué actividades de monitoreo masivo hay? Esto determina si Criterio 2 o 3 aplica.
  2. Si aplica obligatorio: empezar búsqueda DPO interno o cotizar 3-5 proveedores DPO externo (Vigía Chile incluye DPO híbrido como parte del plan Growth/Scale).
  3. Si aplica voluntario pero conviene: elegir DPO externo (menor costo, suficiente para tu escala) con respaldo de plataforma operacional.
  4. Documentar la designación formalmente (acta de directorio o resolución administrativa) antes del 1 de diciembre de 2026.
  5. Onboarding del DPO: 30 días mínimo para que el DPO mapee el RAT, identifique gaps, prepare Plan Anual de Privacidad.

¿Necesitás DPO? 30 min con un DPO senior para evaluar tu caso.

Te decimos honestamente si tu organización requiere DPO obligatorio o no, qué perfil aplica a tu escala, y cuál es la ruta operacional más eficiente con Vigía. Si sos PYME, probablemente recomendamos DPO externo + plataforma. Si sos enterprise, perfil interno.

Evaluar mi preparación DPO
/// Profundiza

Más recursos sobre Ley 21.719:

Framework

Guía completa Ley 21.719

Plazos APDP, 11 obligaciones, sectores fiscalizados, 7 pasos para cumplir.

 Blog

Las 11 obligaciones que tu empresa olvida

RAT, DPIA, brechas 72h, ARCO+, DPA — citas legales exactas.

 Framework

Ley Marco · Encargado Ciberseguridad

El rol distinto al DPO. Reportes ANCI, OIV, plazos 3h/72h/30d.

 Recurso

Glosario Compliance

30 términos: RAT, DPIA, ARCO+, DPA, base de licitud y más.