La promulgación de la Ley 21.719 ha introducido el requisito formal de que ciertas organizaciones en Chile designen un Delegado de Protección de Datos (DPD). Esto representa un cambio significativo en el panorama de protección de datos chileno, que anteriormente no tenía tal obligación. Basándose en modelos establecidos por el RGPD y otros marcos internacionales, el rol del DPD bajo la ley chilena está diseñado para garantizar que las organizaciones mantengan un cumplimiento continuo con los requisitos de protección de datos y tengan un punto de contacto designado tanto para la autoridad de control como para los titulares de datos. Esta guía explica cuándo se requiere un DPD, qué cualificaciones son necesarias y qué responsabilidades implica el cargo.
¿Cuándo se Requiere un DPD?
La Ley 21.719 establece criterios específicos que determinan cuándo una organización debe designar un DPD. El requisito se aplica a las siguientes categorías de responsables y encargados del tratamiento:
- Organismos y autoridades públicas: Todas las agencias gubernamentales y entidades del sector público que procesan datos personales deben designar un DPD, lo que refleja los volúmenes significativos y la sensibilidad de los datos procesados en el sector público
- Tratamiento a gran escala: Las organizaciones cuyas actividades principales implican el monitoreo regular y sistemático de titulares de datos a gran escala deben designar un DPD. Esto incluye empresas dedicadas al seguimiento de comportamiento, perfilamiento, monitoreo de ubicación y actividades similares
- Procesadores de datos sensibles: Las organizaciones que procesan categorías especiales de datos personales a gran escala, incluyendo datos de salud, datos biométricos, datos genéticos, opiniones políticas, creencias religiosas y datos relativos a condenas penales, deben contar con un DPD
Incluso cuando la designación no es estrictamente obligatoria, la Agencia de Protección de Datos Personales alienta a todas las organizaciones a considerar la designación voluntaria de un DPD. Contar con un profesional dedicado a la protección de datos demuestra un compromiso con el cumplimiento y puede ser un factor atenuante en caso de procedimientos regulatorios.
Cualificaciones y Experiencia del DPD
La ley requiere que el DPD posea cualificaciones profesionales y conocimiento experto en derecho y práctica de protección de datos. Si bien no prescribe certificaciones específicas o títulos académicos, el DPD debe tener experiencia suficiente para cumplir las responsabilidades del cargo de manera efectiva. Las áreas clave de competencia incluyen:
- Conocimiento jurídico: Un entendimiento profundo de la ley chilena de protección de datos, incluida la Ley 21.719, así como familiaridad con marcos internacionales como el RGPD cuando sea relevante para las operaciones de la organización
- Comprensión técnica: Conocimiento suficiente de las operaciones de procesamiento de datos, prácticas de seguridad de la información y las medidas técnicas utilizadas para proteger los datos personales
- Experiencia regulatoria: Experiencia práctica en el trato con autoridades de control, gestión de programas de cumplimiento y realización de evaluaciones de impacto en protección de datos
- Habilidades de comunicación: La capacidad de asesorar a la alta dirección, capacitar al personal y comunicarse con los titulares de datos y la Agencia en materia de protección de datos
El nivel de experiencia requerido debe ser proporcional a la complejidad y volumen de las actividades de procesamiento de datos de la organización. Las organizaciones que manejan procesamientos particularmente sensibles o a gran escala necesitarán un DPD con experiencia correspondientemente más profunda.
Independencia y Posición Dentro de la Organización
Un principio fundamental del rol del DPD bajo la Ley 21.719 es la independencia. El DPD debe poder desempeñar sus funciones sin recibir instrucciones respecto al ejercicio de sus tareas. Esto significa que la organización no debe penalizar ni destituir al DPD por realizar sus funciones, y el DPD no debe ocupar un cargo que genere un conflicto de intereses con sus responsabilidades de protección de datos.
El DPD debe reportar directamente al nivel más alto de dirección dentro de la organización. Esto asegura que las consideraciones de protección de datos se integren en la toma de decisiones estratégicas y que el DPD tenga la autoridad y visibilidad necesarias para ser efectivo. El DPD también debe contar con recursos adecuados, incluyendo acceso a las operaciones de procesamiento de datos personales, tiempo suficiente para cumplir sus funciones y oportunidades de desarrollo profesional continuo.
Responsabilidades Principales del DPD
Las responsabilidades del DPD bajo la Ley 21.719 abarcan una amplia gama de funciones de asesoramiento, monitoreo y enlace. Las siguientes son las principales funciones que el DPD debe desempeñar.
Monitoreo del Cumplimiento
El DPD es responsable de monitorear el cumplimiento de la organización con la Ley 21.719 y cualquier regulación o política interna relacionada. Esto incluye realizar auditorías regulares, revisar las actividades de procesamiento de datos, verificar que se realicen evaluaciones de impacto en protección de datos cuando sea necesario e identificar áreas de incumplimiento que deben abordarse.
Una plataforma de cumplimiento estructurada como el Gestor de Protección de Datos ResGuard puede mejorar significativamente la capacidad del DPD para monitorear el cumplimiento en toda la organización, centralizando registros, automatizando evaluaciones y proporcionando visibilidad en tiempo real sobre la postura de cumplimiento.
Asesoramiento sobre Evaluaciones de Impacto en Protección de Datos
Cuando la organización planea emprender actividades de procesamiento de datos que probablemente resulten en un alto riesgo para los derechos y libertades de las personas, debe realizarse una evaluación de impacto en protección de datos (EIPD). El DPD desempeña un papel asesor central en este proceso, proporcionando orientación sobre si se requiere una EIPD, la metodología a utilizar y las medidas necesarias para mitigar los riesgos identificados.
El DPD no realiza la EIPD por sí mismo, sino que asesora al responsable del tratamiento durante todo el proceso y revisa la evaluación para asegurar que sea exhaustiva y cumpla con los requisitos.
Cooperación con la Agencia de Protección de Datos Personales
El DPD sirve como punto de contacto principal entre la organización y la Agencia. Esto incluye responder a consultas de la autoridad de control, facilitar inspecciones y auditorías, presentar notificaciones según lo requerido por la ley y consultar con la Agencia sobre asuntos de protección de datos.
Mantener una relación constructiva y transparente con la Agencia es esencial. El DPD debe interactuar proactivamente con la autoridad de control y mantenerse informado sobre la orientación regulatoria, las prioridades de aplicación y las mejores prácticas.
Formación y Sensibilización
El DPD es responsable de asegurar que los miembros del personal que manejan datos personales comprendan sus obligaciones de protección de datos. Esto implica desarrollar e impartir programas de capacitación, crear documentos de orientación interna y fomentar una cultura de conciencia sobre la protección de datos en toda la organización. La formación en sensibilización efectiva es una piedra angular de cualquier programa de cumplimiento.
Gestión de Solicitudes de los Titulares de Datos
Si bien la organización en su conjunto es responsable de responder a las solicitudes de los titulares de datos, el DPD generalmente supervisa el proceso para asegurar que las solicitudes se manejen correctamente y dentro de los plazos requeridos. El DPD también puede servir como punto de contacto para los titulares de datos que tengan preguntas o inquietudes sobre cómo se procesan sus datos personales.
DPD Externalizado vs. Interno
La Ley 21.719 permite a las organizaciones designar como DPD tanto a un empleado interno como a un proveedor de servicios externo. Cada enfoque tiene ventajas distintas.
Un DPD interno tiene la ventaja de estar integrado dentro de la organización, con acceso directo a sistemas, procesos y personal. Sin embargo, esto requiere encontrar o desarrollar un empleado con la experiencia necesaria, lo cual puede ser desafiante y costoso.
Un DPD externalizado aporta experiencia especializada, independencia y conocimiento adquirido al trabajar en múltiples organizaciones e industrias. Esta opción es particularmente atractiva para las pequeñas y medianas empresas que pueden no tener los recursos para emplear un DPD a tiempo completo. Los servicios de DPD externalizados también pueden proporcionar soporte complementario al DPD para organizaciones que tienen un DPD interno pero requieren capacidad o experiencia adicional.
Reporte a la Agencia
El DPD debe asegurar que los datos de contacto de la organización para el rol de DPD se comuniquen a la Agencia de Protección de Datos Personales. Esto permite que la autoridad de control contacte directamente al DPD cuando sea necesario. La información de contacto del DPD también debe ponerse a disposición de los titulares de datos, generalmente a través del aviso de privacidad de la organización.
En caso de una brecha de datos, el DPD desempeña un papel clave en la coordinación del proceso de notificación, asegurando que la Agencia y las personas afectadas sean informadas dentro de los plazos requeridos.
Pasos Prácticos para Designar un DPD
Las organizaciones sujetas al requisito de DPD deben seguir estos pasos prácticos para garantizar un proceso de designación fluido:
- Evaluar si se requiere un DPD: Revise sus actividades de procesamiento de datos contra los criterios establecidos por la Ley 21.719 para determinar si la designación es obligatoria
- Definir el cargo: Desarrolle una descripción de puesto clara o especificación de servicio que describa las responsabilidades del DPD, las líneas de reporte y los requisitos de recursos
- Seleccionar al candidato adecuado: Elija un DPD con las cualificaciones, experiencia e independencia apropiadas para cumplir el rol de manera efectiva
- Garantizar la independencia: Verifique que el rol de DPD no genere conflictos de intereses y que el DPD tenga acceso directo a la alta dirección
- Proporcionar recursos: Asigne presupuesto, tiempo y herramientas suficientes, incluyendo una plataforma de gestión de cumplimiento, para apoyar el trabajo del DPD
- Notificar a la Agencia: Registre los datos de contacto del DPD ante la Agencia de Protección de Datos Personales según lo requerido
- Integrar en la gobernanza: Incorpore el rol del DPD en el marco de gobernanza de la organización, asegurando reportes regulares al consejo directivo o la alta dirección
Conclusión
La introducción de las obligaciones del DPD bajo la Ley 21.719 refleja el compromiso de Chile con la construcción de un marco robusto de protección de datos. Ya sea designado internamente o externalizado, el DPD desempeña un papel vital para garantizar el cumplimiento, proteger a los titulares de datos y gestionar la relación de la organización con la Agencia. Las organizaciones deben actuar con prontitud para evaluar sus obligaciones, designar un DPD cualificado y proporcionar el apoyo necesario para una gobernanza efectiva de protección de datos. Para una visión completa de la nueva ley de protección de datos de Chile, consulte nuestra guía sobre la Ley 21.719.