Fecha: agosto 4, 2025

El 30 de julio de 2025 la Superintendencia de Protección de Datos Personales (SPDP) emitió el Reglamento del Delegado de Protección de Datos Personales (Reglamento) con el cual se busca regular las actividades de los delegados de protección de datos personales (DPO). A continuación, información relevante de dicho Reglamento:

1. Designación: La designación le corresponde a quien haga las veces de responsable y/o encargado del tratamiento a través de la persona que ejerzca la representación legal o, la que se encuentre debidamente autorizada. 
2. Nombramiento: La designación se formaliza a través de un nombramiento que debe contener cierta información y la relevante se detalla a continuación: 
   1. Identificación del responsable y/o encargado del tratamiento. 
   2. Identificación del DPO. 
   3. Funciones del DPO. 
3. Notificación a la SPDP: El nombramiento debe ser presentado a la SPDP en un término de 15 días contados desde la designación considerando lo siguiente: 
   1. Si fue firmado electrónicamente se debe inscribir a través del portal web de la SPDP. 
   2. Si fue firmado físicamente se debe ingresar en la SPDP.  
4. Registro: La inscripción y/o presentación del nombramiento será sujeta a una revisión por parte de la SPDP El nombramiento será publicado en el portal web de la SPDP.  
5. Requisitos del DPO: A continuación, los requisitos para el DPO:
   1. Persona natural que esté en goce de sus derechos políticos. 
   2. Persona natural que tenga un título de tercer nivel en derecho o sistemas y que haya aprobado el contenido mínimo de formación del Programa Profesionalizante de DPO oficializado por la SPDP. 
   3. Persona natural con 5 años de experiencia profesional. 
   4. Mantener independencia e imparcialidad en el ejercicio de sus funciones. 
6. Funciones del DPO: A continuación, las funciones del DPO:
   1. Análisis de riesgos, evaluación de impacto y adopción de medidas de seguridad para transferencias. 
   2. Atención a solicitudes de titulares. 
   3. Gestión de vulneraciones de seguridad y notificación. 
   4. Control de medidas de seguridad. 
   5. Registro de actividades de tratamiento.
   6. Cumplimiento de la normativa de protección de datos. 
   7. Imparcialidad e independencia en el ejercicio de sus funciones.
   8. Denunciar al responsable y/o encargado del tratamiento si incumple con la normativa de protección de datos personales. La denuncia debe cumplir con ciertos requisitos mínimos. 
7. Limitaciones del DPO: A continuación, las limitaciones del DPO:
   1. No responderá por las decisiones finales ejecutadas por el responsable y/o encargado del tratamiento. 
   2. Realizar las acciones que le corresponden exclusivamente al responsable y/o encargado del tratamiento (ej. toma de decisiones, gestionar los riesgos, entre otras).
   3. No puede estar designado como oficial de seguridad de la información o como oficial de cumplimiento. 
8. ¿Quiénes están legalmente obligados a designar un DPO? A continuación, un listado ejemplificativo de los responsables y/o encargados del tratamiento que deben designar un DPO:
   1. Instituciones públicas. 
   2. Aquellos que se dediquen a asuntos educativos. 
   3. Aquellos que traten categorías especiales de datos de menores de edad. 
   4. Aquellos que realicen actividades financieras. 
   5. Aquellos que realicen actividades de seguros y corretaje de seguros. 
   6. Aquellos que realicen publicidad y/o investigación del mercado. 
   7. Aquellos que presten servicios de salud. 
   8. Aquellos que presten servicios de seguridad y/o videovigilancia y/o geolocalización.
   9. Federaciones o asociaciones deportivas. 
   10. Colegios o gremios profesionales. 
   11. Aquellos que presten servicios de telecomunicaciones. 
   12. Aquellos que mantengan concesiones de servicios públicos y/o alianzas público-privadas. 
9. Otros asuntos relevantes: El Reglamento también dispone lo siguiente:
   1. Serán válidos los nombramientos con fecha anterior a la expedición del Reglamento siempre y cuando contengan los requisitos mínimos. 
   2. En el plazo de 3 meses la SPDP desarrollará e implementará el sistema de registro digital de nombramientos de DPO para el sector privado. 
   3. El registro de nombramientos de DPO en el sector privado deberá realizarse hasta el 31 de diciembre de 2025. 

Es importante que todos los responsables y/o encargados del tratamiento identifiquen si la figura del delegado de protección de datos personales les es aplicable ya sea por obligación legal o por buena práctica. En caso de serlo, designar un delegado de protección de datos personales que cumpla con los requisitos legales y que ejecute las funciones que le correspondan y, oficializar dicha designación ante la SPDP. 

Para mayor información escríbenos a info@lexvalor.com