Autonomía del DPO: el riesgo de ser juez y parte

La ley pide al DPO certificar que la empresa trata datos conforme a derecho. Eso es imposible si la misma persona define los fines comerciales o construye la arquitectura que audita. El artículo 50 hace de la independencia un requisito, no una preferencia.

Esta página expone por qué la independencia es estructural al rol: el mandato del artículo 50, dónde reside realmente el rol entre lo legal y lo técnico, y los conflictos de interés que una empresa debe gestionar cuando ubica la función dentro de un área operativa. Cierra con las preguntas prácticas sobre cómo garantizarla.

El mandato del artículo 50

La exigencia de autonomía no es burocrática. Es lo que hace que la certificación del DPO valga algo ante la Agencia.

La ley exige expresamente que el Delegado de Protección de Datos cuente con autonomía e independencia en sus funciones. El DPO no opera las bases de datos ni toma decisiones de negocio sobre ellas; es la figura que garantiza que quienes sí lo hacen actúen apegados a la normativa vigente. La independencia es la condición que separa una auditoría real de una autocertificación.

"Quien define los fines comerciales del negocio, o quien construye la arquitectura del sistema, no puede ser el mismo que audita y certifica su propia legalidad."

Ese principio responde una suposición común y equivocada sobre a quién le pertenece el rol.

Dónde reside realmente el rol

Bajo la presión regulatoria, TI o Legal asumen con naturalidad que el rol les pertenece. Pero el DPO requiere una mezcla particular que ninguna de las dos áreas reúne por completo.

TI / Sistemas

Hecho para operar

Maneja la arquitectura y la ciberseguridad, pero su objetivo principal es la operatividad y empujar la innovación, no frenarla para auditar el flujo legal.

Legal / Fiscalía

La ley sin el servidor

Maneja las leyes y los contratos, pero a menudo carece del conocimiento técnico para asegurar que la regla jurídica se aplique realmente en el servidor.

DPO

El auditor mixto

Su ADN es estrictamente regulatorio y de cumplimiento. Vela porque los procesos sean demostrables técnica y jurídicamente en la realidad, no en el papel.

Cuando la función se ubica dentro de un área operativa, aparecen conflictos específicos que la empresa debe gestionar.

Los conflictos de interés a gestionar

Cada uno de estos roles trata datos con un objetivo distinto del cumplimiento, de modo que auditarse a sí mismo es una contradicción estructural.

Gerencia general

La rentabilidad primero

Su prioridad es la rentabilidad. Si asume el rol de DPO, debe demostrar que las decisiones de cumplimiento no se subordinan a los objetivos comerciales.

Comercial / Ventas

Vender más

Su objetivo es vender más. El desafío es asegurar que los datos que usa para prospectar y cerrar fueron recolectados de forma legal y con consentimiento válido.

Marketing

Perfilar y enviar

El perfilamiento y el envío masivo son procesos altamente regulados. Quien los ejecuta tiene un conflicto natural al auditarlos.

Gerencia TI

Construye el sistema

Diseña e implementa los sistemas. El reto es separar a quien construye la arquitectura de quien audita su cumplimiento.

La salida estructural

La forma más limpia de garantizar la independencia es ubicar el rol fuera de la operación por completo. Ese es el núcleo de la decisión DPO interno frente a externo, y conecta con las funciones que cumple el delegado una vez resuelta la independencia.

¿Su DPO es juez y parte?

Si quien audita su cumplimiento de datos también dirige ventas, marketing o TI, la certificación es frágil ante la Agencia. Prestamos la función como una figura externa e independiente, sin interés operativo en lo que audita.

Conversar un DPO independiente

Preguntas frecuentes

¿Por qué la ley exige que el DPO sea autónomo?

Porque su función es auditar y certificar la legalidad del tratamiento, y nadie puede auditar con objetividad aquello que decide o construye. El artículo 50 exige que el delegado cuente con autonomía respecto de la administración en las materias de la ley, para que su juicio no quede subordinado a los objetivos comerciales o técnicos que debe fiscalizar.

¿El DPO opera las bases de datos?

No. El DPO no opera las bases de datos ni toma las decisiones de negocio sobre ellas; es la figura que garantiza que quienes sí lo hacen actúen apegados a la normativa. Confundir ambos roles es precisamente lo que crea el problema de juez y parte.

¿Puede el gerente de TI o el fiscal asumir el rol de DPO?

Puede, pero con un conflicto que hay que gestionar. Quien diseña la arquitectura tecnológica o define los fines comerciales no debería auditar y certificar su propia legalidad. En esos casos, la empresa debe demostrar que la función de cumplimiento no queda subordinada a la operación, lo que en la práctica es difícil de sostener.

¿Qué áreas generan conflicto de interés con el DPO?

Las que tratan datos con un objetivo distinto del cumplimiento: la gerencia general por la rentabilidad, comercial por la prospección, marketing por el perfilamiento y el envío masivo, y la gerencia de TI por el diseño de los sistemas. En todas, quien ejecuta el proceso tiene un conflicto natural al auditarlo.

¿Cómo se garantiza la independencia en la práctica?

Separando estructuralmente a quien audita de quien opera o decide. La forma más limpia de lograrlo es que el rol repose en una figura externa que reporte directo a la alta dirección, sin intereses operativos ni comerciales en juego, lo que blinda la legitimidad del modelo ante la Agencia.

Fuentes oficiales

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.