Por Camilo Sanhueza Seguel*.
La interrogante sobre la necesidad de contar con un Delegado de Protección de Datos Personales en Chile, conocido internacionalmente como Data Protection Officer (DPO, por sus siglas en inglés), adquiere especial relevancia en el contexto del Proyecto de Ley que regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales, en adelante, la “Ley”. Este se encuentra en sus últimas etapas de tramitación. El pasado 15 de noviembre de 2024, el Tribunal Constitucional aprobó y declaró constitucional la Ley mediante control preventivo, dejando pendiente únicamente su promulgación por parte del Presidente de la República y su publicación en el Diario Oficial. La Ley entrará en vigencia el día primero del mes vigésimo cuarto posterior a su publicación en el Diario oficial.
En este contexto, a pocos días de que se promulgue y publique la Ley, la figura del DPO resulta relevante, en orden a determinar si los organismos – públicos o privados – en su calidad de Responsables del tratamiento (quienes determinan los fines y medios del tratamiento) deben implementar al interior de sus organizaciones este nuevo rol, externalizarlo, o bien, simplemente omitir dicho nombramiento.
A partir de lo anterior, desarrollaremos sucintamente la figura del DPO y responderemos a la interrogante de que, si es necesario dicho cargo en Chile, considerando especialmente, que la propia Ley se refiere a él como la figura angular del Modelo de Cumplimiento / Prevención de Infracciones en materia de Protección de Datos Personales.
El rol del DPO: Definición y Funciones.
El DPO es el encargado de supervisar y garantizar el cumplimiento normativo en el tratamiento de los datos personales. Especialmente en Chile, es la figura central del Modelo de Cumplimiento en materia de protección de datos personales. En el ejercicio de sus funciones, debe actuar de forma independiente y neutral, dicha independencia debe ser en relación a la alta administración de la organización, en el sentido que debe actuar sin presiones o influencias, que no existan conflictos de interés al momento de ejercer su labor, debiendo ponderar los intereses del negocio en contraposición de los derechos y libertades de los titulares, priorizando y protegiendo a estos últimos. Lo anterior adquiere especial relevancia puesto que dicho cargo rinde cuenta directamente al más alto nivel jerárquico de la organización. Entre sus funciones, se encuentra el de informar y asesorar al Responsable, respecto a las disposiciones legales y reglamentarias relativas al derecho a la protección de los datos personales y a la regulación de su tratamiento. Su nombramiento debe atender a sus cualidades profesionales y a sus sólidos conocimientos especializados en protección de datos personales y prácticas asociadas, tales como privacidad por diseño y por defecto, evaluación de impacto, y atención a solicitudes de derechos ARCOP+ (Acceso, Rectificación, Cancelación, Oposición, Portabilidad), entre otras.
El DPO supervisa al Responsable, garantizando el cumplimiento de las normativas aplicables y sirviendo como punto de contacto entre él y los titulares de los datos, así como con la futura Agencia de Protección de Datos Personales. Sobre esta figura, resulta necesario aclarar que el DPO no es el sujeto obligado a cumplir con la Ley, sino que tal obligación recae en el Responsable. En este sentido, el DPO no se hace personalmente responsable por las consecuencias derivadas de las decisiones adoptadas por el Responsable en caso de incumplimientos, y aún menos cuando actúa en contravención directa de las recomendaciones que éste le pudiera dar.
Designación en Chile del DPO: ¿Obligatoria o Voluntaria?
En la actualidad, pocas empresas en Chile cuentan con un DPO. Esto ocurre principalmente en organizaciones multinacionales o grandes compañías que deben cumplir con estándares internacionales en esta materia, como el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
La figura del DPO nace a propósito de la implementación voluntaria de un Modelo de Prevención de Infracciones, de conformidad a los artículos 49 y 50 de la Ley, en que se señala que, entre los elementos mínimos que este debe contener, se encuentra la designación de un DPO y la definición de sus medios y facultades. En consecuencia, si bien la designación de un DPO es voluntaria, salvo que la organización decida implementar el Modelo de Prevención antes señalado, en la práctica, con independencia de su adopción, es la figura por antonomasia en materia de protección de datos personales, es quién deberá garantizar el cumplimiento de la Ley ante la Agencia y ante los titulares, frente a cualquier fiscalización o ejercicio de derechos, respectivamente, y será el aliado dentro de la organización en orden a crear una cultura organizacional y sensibilización en materia de protección de datos personales. Adicionalmente y no menos importante, será el encargado de gestionar los riesgos ante eventuales incumplimientos, velar por el cumplimiento y ejecución de las medidas de detección, prevención y mitigación de infracciones a la Ley, asimismo como también, deberá adoptar las medidas técnicas y organizativas para garantizar su cumplimiento, asesorar a la entidad sobre la materia, y fortalecer la confianza frente a terceros y stakeholders.
Por otro lado, en relación con las características o cualidades que este nuevo rol debe reunir, el artículo 50 de la Ley, establece ciertos requisitos para el DPO, destacando su independencia, conocimientos específicos en protección de datos personales, deber de secreto o confidencialidad y la necesidad de ser nombrado por la máxima autoridad de la entidad. Este rol puede ser asumido por una persona interna a la organización o bien, se puede externalizar. En el caso de las PYMEs, el propietario podría desempeñar este papel, y para grupos empresariales, la Ley permite un único DPO para todas las entidades que operen bajo los mismos estándares y políticas en materia de protección de datos personales.
Perspectiva Internacional: el Estándar Europeo.
Como referencia a nivel internacional, en Europa, el RGPD establece en su artículo 37 que la designación de un DPO es obligatoria en tres casos específicos: (i) Cuando el tratamiento es realizado por una autoridad pública; (ii) Cuando las actividades principales del responsable o encargado incluyen tratamientos a gran escala que requieren un seguimiento habitual y sistemático de los titulares; y, (iii) Cuando las actividades principales involucran categorías especiales de datos (similares a los datos sensibles) o datos relativos a condenas e infracciones penales.
Aunque para el caso chileno, la Ley no contempla esta obligatoriedad, la experiencia europea y lo señalado previamente, sugiere que la designación de un DPO resulta beneficioso para garantizar el cumplimiento normativo y proteger la privacidad de los titulares, especialmente en organizaciones que manejan grandes volúmenes de datos personales o datos sensibles, como podría ocurrir en el rubro del retail, Fintech, telecomunicaciones, bancario, educacional, salud, u organismos sin fines de lucro como las fundaciones o corporaciones, entre otros.
Beneficios de contar con un DPO
Independientemente de la obligatoriedad, contar con un DPO aporta valor estratégico y operativo a las organizaciones. Este profesional asegura el cumplimiento normativo, protege los derechos de los titulares y previene sanciones. Además, en el ejercicio de sus funciones y atribuciones, permite generar valor a través de, entre otras cosas: (i) Fortalecer la confianza de los clientes y usuarios al demostrar un compromiso con la protección de los datos personales; (ii) Facilitar la gestión de riesgos en el tratamiento de los datos; (iii) Actuar como intermediario entre la organización, los titulares y la Agencia de Protección de Datos Personales; (iv) Impulsar la cultura de cumplimiento y sensibilización dentro del organismo; (v) Generar confianza para el desarrollo de nuevos negocios, especialmente, en materia de transferencias internacionales, en que se preferirá elegir aquél que disponga de un Compliance de Datos Personales robusto frente a otro que no cumpla con dicho estándar, considerando especialmente que hoy en día, ante la Comisión Europea, Chile, no es considerado como un país “adecuado” en materia de protección de datos personales, y que la Ley tiene por objeto subsanar dicha deficiencia.
¿DPO Interno o Externo?
La figura del DPO no necesariamente debe ser desempeñada por un abogado, pero quien lo desempeñe, sí requiere conocimientos especializados en protección de datos. Como adelantamos más arriba, este rol puede ser ejercido de manera interna o externa en la organización, es decir, por un empleado actual o por un externo contratado por el Responsable. Ahora bien, un DPO interno aporta un valor añadido significativo, ya que tiene un conocimiento profundo de la cultura organizacional y del sector en el que se desempeña la empresa, lo que le permite actuar como un aliado en la búsqueda de soluciones adecuadas, facilitar la comunicación entre las distintas áreas de la organización y comprender de mejor manera la realidad de la compañía. En cambio, si se opta por un DPO externo, esta alternativa también beneficiosa, ofrece independencia y experiencia especializada en organizaciones que carecen de recursos internos suficientes para cubrir esta posición. Adicionalmente, no habría inconveniente en designar “subdelegados de protección de datos personales” en áreas críticas como el departamento Legal/Compliance, TI, Recursos Humanos, entre otros. Estos subdelegados pueden reportar directamente al DPO externo e independiente, para alinear los intereses de la compañía con los derechos de los titulares, siempre que se definan claramente sus funciones, responsabilidades, acceso a la alta dirección y se eviten posibles conflictos de interés.
En ambos casos, es fundamental que el DPO tenga acceso a los recursos necesarios, especialmente económicos para el adecuado cumplimiento de sus funciones, que reciba formación continua y cuente con la independencia necesaria para ejercer su función sin interferencias y represalias, como podría ser la desvinculación o aplicación de sanciones por parte del Responsable, situación que se anticipó en el contexto europeo, el artículo 38 del RGPD, dispone que el DPO no podrá recibir ninguna instrucción en lo que respecta al desempeño de sus funciones, y que no podrá ser destituido ni sancionado por el Responsable por desempañar sus funciones.
Conclusiones y Recomendaciones.
La Ley entrará en vigencia el día primero del mes vigésimo cuarto posterior a su publicación en el Diario Oficial, por lo que dicho plazo será el referente para que los Responsables puedan dar comienzo a su implementación y cumplimiento, es esencial que las organizaciones tomen decisiones internas destinadas a implementar las acciones que sean necesarias para adaptarse a las nuevas exigencias que trae consigo la nueva Ley, especialmente sobre la adopción de un Modelo de Cumplimiento y la designación de un DPO. A partir de la experiencia europea, en donde se estableció un plazo idéntico al de nuestra Ley, este plazo de dos años sería insuficiente, por lo tanto, recomendamos que las organizaciones comiencen de inmediato a establecer una gobernanza de datos y definir responsables, además de decidir si se limitarán estrictamente a lo dispuesto en la Ley o adoptarán una cultura organizacional de cumplimiento. Estas importantes decisiones, deben tomarse a nivel directivo pues marcaran el actuar de la organización a futuro en esta materia que se traducirán en un plan de acción que permita aprovechar la ventaja competitiva que el cumplimiento de altos estándares en protección de datos personales le dará a la organización.
Finalmente, se debe considerar para la designación de un DPO, que este debe contar con integridad y ética profesional y conocimientos sólidos en protección de datos personales. El profesional electo como DPO debe ser capaz de fomentar una cultura de cumplimiento, asesorar a la alta administración, monitorear el cumplimiento normativo y supervisar la implementación y cumplimiento de un Modelo de Prevención de Infracciones asociado a una Matriz de Riesgos en protección de datos personales. Para el éxito de su cometido, será crucial que tenga la debida autonomía e independencia para tomar decisiones en esta materia, asimismo, la debida resiliencia frente a resistencias internas, no teniendo que ceder a presiones de la alta dirección, asegurando la observancia del Modelo y las nuevas exigencias establecidas en la Ley.
*Camilo Sanhueza Seguel. Asociado del área de Compliance de HD Group. Abogado de la Pontifica Universidad Católica de Valparaíso. Diplomado © en Protección de Datos Personales P. Universidad Católica de Chile, Diplomado en Legal Management Program LatAm P. Universidad Católica de Valparaíso y Thomson Reuters, y Curso de Protección de Datos Personales Universidad del Desarrollo. Socio miembro de la Asociación de Profesionales de Protección de Datos Personales.
