La independencia del Delegado de Protección de Datos: una definición pendiente en Chile

La entrada en vigencia de la Ley N° 21.719 implicará un cambio normativo en materia de protección de datos personales en Chile y supondrá, en rigor, una transformación en la arquitectura interna de las organizaciones. Dentro de ese rediseño institucional, la figura del Delegado de Protección de Datos (DPD) se erige como uno de los elementos más relevantes y, al mismo tiempo, más incomprendidos del nuevo modelo de cumplimiento.

Ignacio Villavicencio

En efecto, el legislador chileno ha optado por incorporar un esquema que trasciende la lógica reactiva de fiscalización, introduciendo un sistema de prevención de infracciones donde el DPD cumple una función estructural: supervisar, asesorar y monitorear el cumplimiento normativo de la organización. Este diseño no es neutro. Supone una redefinición del control, desplazándolo desde la autoridad hacia la propia organización, bajo un paradigma de responsabilidad proactiva.

Sin embargo, este modelo presenta un punto crítico que aún no ha sido suficientemente desarrollado en el debate nacional: la independencia del delegado.

Un reciente pronunciamiento de la Agencia Española de Protección de Datos ofrece una oportunidad particularmente valiosa para abordar esta cuestión. En el caso de la Diputación Provincial de Huesca, la autoridad declaró que la designación del Delegado de Protección de Datos como responsable del canal interno de denuncias constituía una infracción al Reglamento General de Protección de Datos, al comprometer su independencia funcional.

Lo relevante de esta decisión no radica únicamente en la sanción, sino en el estándar que fija. La autoridad española supera una concepción formal de la independencia centrada en la posición jerárquica o en la ausencia de subordinación directa y adopta un enfoque sustantivo: lo determinante es la naturaleza de las funciones ejercidas.

Desde esta perspectiva, el conflicto de interés no es contingente, sino estructural. Cuando el DPD asume funciones que implican determinar los fines y medios del tratamiento de datos personales, se configura un escenario de autocontrol incompatible con su rol de supervisión. En otras palabras, el delegado pierde su neutralidad cuando debe fiscalizar decisiones que él mismo ha adoptado o ejecutado. Este razonamiento tiene algunas orientaciones para el sistema chileno.

En la Ley N° 21.719, la figura del Delegado de Protección de Datos se inserta en el marco del Modelo de Prevención de Infracciones previsto en su artículo 49, como uno de sus componentes estructurales. En este contexto, la ley exige que el Delegado cuente con autonomía en el ejercicio de sus funciones, configurando dicha autonomía como un requisito explícito. Así, el DPD se concibe como un mecanismo interno de control orientado a la materialización del principio de responsabilidad proactiva, con funciones de supervisión, asesoría y monitoreo del cumplimiento normativo.

No obstante, el contenido de esta autonomía se presenta como abierto y escasamente desarrollado a nivel legal, sin una regulación detallada de sus garantías o alcances operativos, lo que implica que su configuración deberá ser precisada a través de la cultura organizacional, la interpretación administrativa y el desarrollo regulatorio futuro por parte de la Agencia de Protección de Datos.

Por su parte, y a diferencia de lo que ocurre en el GDPR, la legislación chilena no contempla una regulación expresa de aspectos críticos asociados a la independencia del Delegado. En efecto, la Ley N° 21.719 no establece reglas específicas sobre conflictos de interés, ni define incompatibilidades de cargos que impidan al DPD desempeñar simultáneamente funciones que puedan comprometer su objetividad, como ocurre con roles en áreas de tecnologías de la información, recursos humanos o compliance operativo.

La Ley N° 21.719 establece que el DPD debe contar con “autonomía respecto de la administración”, incorporándose como una pieza central del modelo de prevención de infracciones. No obstante, la norma guarda silencio respecto de un aspecto clave: cuáles son, en concreto, las incompatibilidades funcionales que deben evitarse para garantizar dicha autonomía.

Este vacío no es menor. Por el contrario, abre la puerta a uno de los riesgos más relevantes en la implementación del nuevo régimen: la configuración de estructuras de cumplimiento meramente formales, donde la existencia del delegado no se traduce en una supervisión efectiva. Es lo que podríamos denominar “cumplimiento cosmético”: la adopción de figuras y documentos exigidos por la normativa, pero sin un correlato real en la operación de la organización.

En la práctica, este riesgo se materializa cuando el DPD acumula roles ejecutivos. No se trata solo del caso de la gestión de canales de denuncia. La misma lógica se proyecta sobre funciones como la jefatura de tecnologías de la información, la gerencia de recursos humanos o cualquier posición que implique decisiones sobre las actividades de tratamiento de datos personales de la organización. En todos estos supuestos, el problema no radica en la jerarquía del cargo, sino en los procesos que tiene a su cargo.

El punto es más relevante en organizaciones que, por razones de eficiencia o tamaño, tienden a concentrar funciones. En estos contextos, la tentación de asignar el rol de DPD a perfiles ya existentes (especialmente en áreas de cumplimiento, tecnología o auditoría) puede resultar alta. Sin embargo, esta decisión, aparentemente razonable desde una lógica organizacional, puede comprometer la validez del modelo de cumplimiento desde una perspectiva regulatoria.

Aquí es donde la experiencia comparada adquiere especial relevancia. El criterio fijado por la autoridad española pone de manifiesto que no basta con evaluar la posición formal del delegado, ni con asegurarle recursos o acceso a la alta dirección. Es imprescindible realizar un análisis funcional de sus tareas, identificando posibles colisiones entre su rol de supervisión y cualquier función operativa.
Este enfoque plantea, a su vez, un desafío directo para la futura Agencia de Protección de Datos Personales en Chile. Más allá de fiscalizar la existencia nominal de los delegados, el verdadero test regulatorio estará en la capacidad de desarrollar una doctrina clara sobre conflictos de interés y de exigir su aplicación efectiva en las organizaciones.

En este escenario, resulta razonable anticipar que la evaluación de los modelos de prevención de infracciones incorporará un escrutinio específico sobre la independencia del DPD. No bastará con acreditar su designación o su perfil técnico; será necesario demostrar que su posición dentro de la organización le permite ejercer sus funciones sin interferencias ni condicionamientos derivados de roles incompatibles.

Desde la perspectiva del compliance, esto implica un cambio de paradigma. Las organizaciones no pueden limitarse a definir al DPD, sino que deben rediseñar sus estructuras internas para asegurar una separación efectiva de funciones. Esto puede traducirse en decisiones organizacionales complejas: creación de nuevas posiciones, redefinición de responsabilidades o incluso externalización del rol.

En este contexto, surge una cuestión normativa que probablemente marcará el desarrollo del sistema en los próximos años: ¿deben los modelos de prevención de infracciones establecer prohibiciones explícitas respecto de la acumulación de roles incompatibles con el DPD? Si se adopta el estándar comparado, la respuesta parece positiva. La independencia no puede quedar sujeta a interpretaciones ex post. Requiere reglas claras, ex ante, que delimiten con precisión el ámbito de actuación del delegado y eviten configuraciones organizacionales que comprometan su imparcialidad.

En definitiva, la independencia del Delegado de Protección de Datos no es un elemento accesorio del nuevo régimen chileno, sino su piedra angular. Sin una supervisión interna efectiva, el modelo de prevención de infracciones pierde sentido, la responsabilidad proactiva se vacía de contenido y el cumplimiento se reduce a una formalidad.

La experiencia europea ya ha delineado los contornos de este estándar. Corresponderá ahora al sistema chileno y, en particular, a su futura Agencia, decidir si lo adopta con la misma rigurosidad o si permite que la figura del delegado derive en un ejercicio meramente simbólico.

 
Ignacio Villavicencio es abogado asociado de DataCompliance.

 
También te puede interesar:
— Política Nacional de Ciberseguridad: ¿suficiente para los desafíos de la próxima década?
— Abogados de América y España analizan las regulaciones de protección de datos locales
— El Delegado de Protección de Datos no puede estar subordinado a “jefes”