el Data Protection Officer (DPO): Pasado, Presente y Futuro

En un contexto donde la privacidad de los datos se vuelve una prioridad, el Oficial de Protección de Datos o Data Protection Officer (en adelante DPO, por sus siglas en inglés) juega un papel fundamental en garantizar que las organizaciones cumplan con la regulación establecida. El DPO es el funcionario responsable de la supervisión de la estrategia de privacidad, asegurar el cumplimiento de regulaciones locales y ser la contraparte entre la organización y las autoridades reguladoras. Sus funciones dentro de las organizaciones incluyen monitorear el procesamiento de datos, realizar evaluaciones de impacto y promover actividades de formación para empleados sobre mejores prácticas en protección de datos.

El trabajo del DPO se basa en ciertos principios, entre ellos la independencia para evitar conflictos de interés, reportando directamente a la alta dirección de las organizaciones, en algunos casos; la experiencia, teniendo un conocimiento exhaustivo de la regulación de protección de datos y su relación con aspectos de ciberseguridad; y el cumplimiento proactivo en todas las actividades de las organizaciones. Es posible que algunas empresas opten por servicios externos de DPO para garantizar una supervisión imparcial.

Historia reciente

El DPO surgió ante la necesidad de establecer un agente a cargo de las regulaciones sobre privacidad de datos dentro de las organizaciones. El antecedente más antiguo se encuentra en Alemania, donde una ley de 2001 requirió que las organizaciones nombraran un DPO, sentando un precedente internacional. En el caso de la Unión Europea, la Regulación General de Protección de Datos (GPDR por sus siglas en inglés) de 2016 estableció la obligatoriedad de la designación del DPO, su posición dentro de las organizaciones y con tareas bien definidas, considerada el estándar internacional en la materia.

Regulación Internacional De acuerdo con una recopilación del International Association of Privacy Professionals (IAPP), 28 jurisdicciones cuentan con leyes que requieren la designación de un DPO, variando en sus alcances o si es que solo se requieren para algunas entidades, agencias de gobierno o controladores y/o procesadores, además de las tareas de los DPO.

A nivel latinoamericano, algunos casos incluyen: – Brasil: La Ley General de Protección de Datos (2019) incluye la designación del DPO, a cargo de la recepción y respuesta ante reclamos, comunicación con la agencia encargada, educación y formación. – Colombia: La Ley Estatutaria 1581, reformada en 2024, establece al “encargado de tratamiento” de datos personales, asumiendo el rol de protección.

– México: La Ley Federal de Protección de Datos Personales (2025), establece a la persona encargada de datos personales, a cargo de procesamiento de requerimientos y promoción de la protección de datos.

– Uruguay: La Ley de Protección de Datos Personales (2008) define la figura de encargado del tratamiento, a cargo de asesorar sobre la formulación, diseño y aplicación de la política de protección de datos y relacionarse con el regulador.

El Caso de Chile y la Ley de Protección de Datos Personales La Ley de Protección de Datos Personales (Ley 21.719), publicada en diciembre de 2024, se inspira en estándares internacionales como el GDPR de la Unión Europea. La ley establece una Agencia de Protección de Datos Personales, siendo la institución pública encargada de fiscalización y cumplimiento de las obligaciones de las organizaciones, además de sanciones por incumplimientos.

La ley no establece la obligatoriedad de la designación de un DPO, ya que se define un modelo de prevención voluntario, en el que el responsable de datos podrá designar a un “delegado de protección de datos personales”, por la máxima autoridad directiva o administrativa, contando con autonomía respecto de la administración e independencia.

El rol del DPO en Chile deberá mayor relevancia a medida que las empresas se adapten a regulaciones más estrictas y antes de la aprobación de la ley, grandes empresas ya contaban con la figura de DPO dentro de sus organizaciones.

¿Cuál es el futuro de los DPO?

Ante el potencial del aumento de la regulación sobre datos personales y contar con recursos humanos suficientes para cumplir con ellas, las organizaciones dependerán cada vez más de los DPO a cargo de la protección de datos y evitar potenciales sanciones. De acuerdo con un artículo de Reinke y Dittel, algunas de las tendencias incluirán más regulaciones sobre los datos producto del aumento en la tecnología, la necesidad del cumplimiento como un esfuerzo colectivo, el desarrollo de la confianza pública, establecer estándares de ética de datos más allá de la regulación, mejorar los mecanismos de denuncia y nuevos mecanismos de medición de resultados.