En un mundo donde los datos personales se han convertido en la nueva moneda de cambio, hay un profesional cuya labor es fundamental, pero a menudo pasa desapercibida: el Delegado de Protección de Datos (DPD). En medio de la lucha de las empresas por cumplir con normativas como el Reglamento General de Protección de Datos (RGPD) en Europa y la Ley 21.719, que regula la Protección y Tratamiento de Datos Personales en Chile, el DPD desempeña un papel crucial en la salvaguarda de la privacidad y la confianza del consumidor.
La nueva legislación establece sanciones más severas y exige que muchas organizaciones cuenten con un DPO. Algunos expertos argumentan que él debería contar con facultades sancionadoras, pero, por otro lado, los críticos advierten que darle más poder podría generar conflictos de intereses y burocracia excesiva.
Uno de los grandes cuestionamientos que surgen en torno a este rol es la capacidad real del delegado para hacer cumplir la normativa. Por eso, es importante abordar preguntas clave y revelar la verdad detrás de sus funciones y desafíos. Para comprender mejor todo lo que rodea a este profesional, Ignacio Nicolossi, Head of Cybersecurity de Apiux y experto en protección de datos, comparte a continuación la siguiente entrevista:
1.- Chile implementó la Ley 21.719, ¿considera que el marco regulatorio actual es suficiente para proteger los datos de los ciudadanos o es necesario otorgar más poder sancionador a los Delegados de Protección de Datos (DPD)?
Es importante entender el rol dentro de una organización. Aunque es una figura clave para asegurar que se cumpla la normativa sobre protección de datos, no tiene poder para imponer sanciones. Su función principal es supervisar y asesorar sobre el cumplimiento de las leyes de protección de datos dentro de la empresa. Si una empresa comete una infracción, quien tiene la autoridad para aplicar sanciones es la Agencia de Protección de Datos, y en casos más graves, los Tribunales de Justicia. En resumen, el Delegado actúa como un guía y vigilante interno, pero no como juez. Su trabajo es ayudar a que la empresa haga las cosas bien, no sancionar.
2.- En un contexto donde las filtraciones de datos son cada vez más frecuentes, ¿cree que el DPO debería ser considerado una necesidad urgente para las empresas o podría convertirse en un «fiscal interno» que limite la flexibilidad empresarial?
Sí, el DPO es una necesidad urgente para las empresas. Pero no debe verse como un «fiscal interno» que pone trabas, sino como un aliado estratégico. Su rol es acompañar, orientar y ayudar a que la empresa maneje los datos de forma segura y responsable, sin frenar la operación.
3.- ¿Qué garantías existen para asegurar la independencia del DPO frente a presiones empresariales? ¿Quién se encarga de vigilar la imparcialidad de los Delegados de Protección de Datos?
Para que el profesional pueda cumplir su rol con objetividad y cierta flexibilidad, no debería estar completamente atado a la operación diaria de la empresa. Lo ideal es que su dependencia jerárquica no sea del Gerente General o CEO, sino que responda directamente al Directorio o a un comité del mismo. Porque eso le da autonomía y evita conflictos de interés, permitiendo que su labor de protección y supervisión de los datos se mantenga independiente de las decisiones operativas del negocio.
Es un modelo similar al que ya se aplica en áreas como Ciberseguridad o Cumplimiento, que también suelen reportar directamente al Directorio. Así se asegura que los temas clave de seguridad y ética tengan una mirada estratégica y estén al más alto nivel de decisión.
4.- En casos de negligencia o incumplimiento de sus funciones, ¿debería el DPD enfrentar sanciones administrativas o incluso inhabilitaciones, dependiendo de la gravedad del caso?
Sí. Aunque el Delegado de Protección de Datos debe tener autonomía para hacer su trabajo con independencia, eso no significa que esté por encima de las reglas de la empresa. Al igual que cualquier otro profesional, si actúa con negligencia, abusa de su posición o no se adapta al entorno laboral, puede enfrentar sanciones internas e incluso ser removido del cargo, dependiendo de la gravedad del caso.
El DPD tiene una responsabilidad legal, pero también debe cumplir con las políticas y compromisos establecidos por la organización. Autonomía no es impunidad: es una herramienta para hacer mejor su labor, no una excusa para actuar sin consecuencias.
5.- ¿Debería el DPD seguir siendo solo un asesor o es necesario que cuente con mayor autoridad para garantizar la privacidad de los ciudadanos?
La ley establece que el Delegado de Protección de Datos debe contar con los recursos y facultades necesarias para cumplir bien su labor (Arto 50). Esto significa que necesita un cierto grado de autonomía e independencia para proteger adecuadamente los datos personales. Sin embargo, eso no lo convierte en una figura con privilegios especiales. Al igual que cualquier otro trabajador, debe respetar las reglas de la institución y cumplir con sus responsabilidades. el DPD debe tener autoridad para hacer bien su trabajo, pero también debe rendir cuentas como cualquier otro profesional.
6.- En este escenario, ¿quién debe velar por la correcta actuación del DPD? ¿Quién vigila a los vigilantes de la protección de datos?
Aunque este nuevo rol tiene cierta independencia para cumplir su rol, no trabaja solo ni sin supervisión. Según la ley, debe ser nombrado por la máxima autoridad de la empresa o institución, como el Directorio o la Gerencia General. Por lo tanto, debe rendir cuentas a quienes lo designaron. Además, si hay una revisión externa, la Agencia de Protección de Datos también evaluará su desempeño como parte del funcionamiento general de la organización. El DPD tiene autonomía para proteger los datos, pero también debe responder por sus acciones, tanto dentro de la empresa como ante los organismos reguladores.
