Guía completa para formarse como Data Protection Officer en Chile

Introducción

La figura del Data Protection Officer (DPO) ha cobrado gran relevancia. En Chile, la protección de datos personales es un ámbito que sigue en evolución, con la Ley 19.628 como base y una serie de propuestas para modernizar la normativa hacia estándares internacionales como el GDPR. La formación adecuada para desempeñar el rol de DPO requiere el entendimiento de normativas, derechos de los interesados, gestión de incidentes y cumplimiento de estándares de auditoría en el contexto chileno. Este artículo ofrece una guía completa sobre los temas esenciales, roles y recursos formativos para aspirantes a DPO en Chile.

Objetivos

El objetivo principal de esta guía es brindar una orientación estructurada sobre los conocimientos y competencias fundamentales que un DPO debe adquirir para desempeñar su rol en Chile. Abordaremos:

1. Fundamentos legales en protección de datos según la Ley 19.628.

2. Comparación de normativas internacionales y locales.

3. Herramientas para la evaluación de impacto de privacidad y gestión de incidentes.

4. Recursos formativos y certificaciones nacionales e internacionales para DPO.

Desarrollo

1. Fundamentos de Protección de Datos en Chile La Ley 19.628 establece el marco básico para la protección de datos en Chile, cubriendo derechos de acceso, rectificación y eliminación de los datos personales. Además, el Consejo para la Transparencia (CPLT) ofrece manuales de buenas prácticas que son de gran utilidad para las organizaciones. Este marco es fundamental para quienes buscan desempeñar el rol de DPO en Chile, pues sirve como base de la legislación nacional en privacidad y protección de datos.

2. Comparativa entre la Ley 19.628 y el GDPR Aunque la Ley 19.628 cubre aspectos esenciales, la normativa GDPR va un paso más allá en cuanto a la rigurosidad de los procesos de protección de datos. Recursos como el comparativo de Thomson Reuters y el análisis de la AEPD facilitan la comprensión de cómo estas normativas difieren y en qué áreas Chile podría alinearse al GDPR, algo especialmente relevante para DPOs de organizaciones multinacionales que operan en el país.

3. Roles y Responsabilidades del DPO en Chile Las responsabilidades de un DPO incluyen asegurar el cumplimiento de la normativa, gestionar los derechos de los interesados y auditar prácticas de privacidad. Recursos como la Guía CPLT y los lineamientos de la Cámara de Comercio de Santiago (CCS) ofrecen modelos adaptados al contexto local. Un DPO debe, además, evaluar el impacto en la protección de datos (DPIA) y contar con herramientas para responder ante incidentes de seguridad.

4. Evaluación de Impacto y Gestión de Incidentes Las Directrices CPLT y la herramienta de DPIA de la CNIL facilitan los procesos de evaluación de riesgos en el tratamiento de datos personales, mientras que la guía de la AEPD proporciona un marco para gestionar y notificar incidentes. Aunque en Chile la notificación no es obligatoria, las mejores prácticas sugieren reportar incidentes al CPLT y a los afectados.

5. Certificaciones y Recursos Formativos La certificación de DPO de la Cámara de Comercio de Santiago es una de las opciones locales para quienes buscan especializarse en protección de datos personales. A nivel internacional, la certificación CIPP/E de IAPP ofrece una formación completa en GDPR y estándares europeos. Además, la ISO 27001 y 27701 son ampliamente reconocidas y brindan un marco de auditoría y cumplimiento en seguridad de la información.

¿Qué hace un DPO?

Roles y Responsabilidades del DPO según Normas Chilenas e Integración con el GDPR

El Delegado de Protección de Datos (DPO, por sus siglas en inglés) es una figura esencial en el ámbito de la protección de datos personales. En Chile, aunque la Ley 19.628 sobre Protección de la Vida Privada no establece explícitamente la figura del DPO, las mejores prácticas internacionales y la integración con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea hacen relevante su implementación en organizaciones que manejan datos personales.

Roles y Responsabilidades del DPO: Supervisión del Cumplimiento Normativo:

• Chile: Garantizar que la organización cumpla con la Ley 19.628 y otras normativas locales relacionadas con la protección de datos.
• GDPR: Asegurar el cumplimiento de las disposiciones del GDPR si la organización procesa datos de ciudadanos de la UE o ofrece servicios en la UE.

Asesoramiento y Capacitación:

• Brindar orientación a la alta dirección y al personal sobre obligaciones legales y mejores prácticas en protección de datos.
• Desarrollar y ejecutar programas de capacitación para fomentar una cultura de privacidad dentro de la organización.

Gestión de Solicitudes de Titulares de Datos:

• Atender y gestionar las solicitudes de acceso, rectificación, cancelación y oposición (ARCO) de los titulares de datos.
• Facilitar el ejercicio de derechos adicionales bajo el GDPR, como el derecho al olvido y a la portabilidad de datos.

Realización de Evaluaciones de Impacto:

• Conducir evaluaciones de impacto en protección de datos para identificar y mitigar riesgos asociados al tratamiento de datos personales.
• Documentar y mantener registros de dichas evaluaciones.

Interacción con Autoridades de Control:

• Actuar como punto de contacto con la Agencia de Protección de Datos en Chile y con las autoridades europeas competentes.

• Cooperar en investigaciones y consultas oficiales relacionadas con el tratamiento de datos.

• Supervisión de Políticas y Procedimientos Internos:

• Desarrollar y actualizar políticas de privacidad y procedimientos internos para el manejo seguro de datos.

• Monitorear su aplicación y eficacia dentro de la organización.

Gestión de Brechas de Seguridad:

• Coordinar la respuesta ante incidentes de seguridad que afecten datos personales.
• Notificar a las autoridades y a los titulares de datos según lo requerido por la ley.

Integración con el GDPR: Transferencias Internacionales de Datos:

• Asegurar que las transferencias de datos personales hacia y desde la UE cumplan con los requisitos legales.
• Implementar salvaguardias adecuadas, como cláusulas contractuales tipo o normas corporativas vinculantes.

Consentimiento y Bases Legales:

• Verificar que el tratamiento de datos se realice bajo una base legal válida, obteniendo el consentimiento explícito cuando sea necesario.
• Garantizar transparencia en las prácticas de tratamiento, proporcionando información clara y accesible a los titulares de datos.

Privacidad desde el Diseño y por Defecto:

• Promover la integración de principios de protección de datos en el desarrollo de nuevos sistemas y procesos.
• Asegurar que solo se recopilen y procesen los datos necesarios para cada finalidad específica.

¿NIST y el DPO?

NIST no aborda directamente la figura del Data Protection Officer (DPO) en sus guías como lo hace el Reglamento General de Protección de Datos (GDPR) en la UE. Sin embargo, hay algunas guías y marcos de trabajo en NIST que pueden ser útiles para un DPO, especialmente en la implementación de políticas de privacidad y protección de datos:

1. NIST Privacy Framework: Este marco ayuda a las organizaciones a gestionar riesgos de privacidad, alineando las prácticas de protección de datos con normativas como GDPR. Aunque no se enfoca exclusivamente en el rol del DPO, aborda prácticas y controles esenciales que pueden ser supervisados por este rol. Puedes explorar este marco en detalle en: https://www.nist.gov/privacy-framework

2. NIST SP 800-53 (Security and Privacy Controls): La publicación especial 800-53 ofrece controles específicos de seguridad y privacidad, útiles para la gestión de datos. Este recurso es relevante para un DPO en la creación de políticas y controles de privacidad. Consulta la publicación en: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf

3. Crosswalk GDPR y NIST: NIST desarrolló un “crosswalk” que relaciona el GDPR con estándares de privacidad y seguridad, incluyendo NIST 800-53 y el Privacy Framework. Esto ayuda al DPO a adaptar los requisitos de GDPR a las prácticas de NIST, permitiendo una integración paralela de múltiples normativas. Consulta este recurso en el sitio de NIST en: https://www.nist.gov/privacy-framework

Estos recursos permiten a un DPO integrar requisitos de protección de datos dentro de una organización y asegurar el cumplimiento de normativas clave. Para guías adicionales y más detalles sobre la aplicación de estos marcos, puedes revisar los recursos en https://www.nist.gov.

¿Existen certificaciones profesionales?

Aquí están los enlaces completos para algunas de las certificaciones y recursos formativos de DPO:

1. Certified Information Privacy Professional/Europe (CIPP/E) - IAPP: La certificación más reconocida para los DPO que necesitan conocimientos específicos sobre GDPR y regulación de privacidad en Europa. Puedes obtener más información en: https://iapp.org/certify/cipp/

2. Certified Information Privacy Manager (CIPM) - IAPP: Enfocada en el diseño y gestión de programas de privacidad, ideal para quienes gestionan la privacidad a nivel operativo. Más detalles en: https://iapp.org/certify/cipm/

3. GDPR Data Protection Officer (DPO) - Exin: Una certificación específica para el cumplimiento del GDPR, adecuada para profesionales que buscan una validación en privacidad de datos. Para más información, consulta: https://www.exin.com/certifications/gdpr-data-protection-officer/

4. Curso ISO 27701 Privacy Information Management System - PECB: Este curso permite a los DPO obtener conocimientos en gestión de privacidad alineada con los estándares ISO/IEC. Encuentra detalles en: https://pecb.com/

5. Curso ISO 27701 Privacy Information Management System - BSI: El British Standards Institute ofrece formación en ISO 27701 para la implementación de sistemas de privacidad. Consulta aquí: https://www.bsigroup.com/en-GB/iso-27701-privacy-information-management/

---

¿Debe ser abogado el DPO?

No necesariamente. Aunque el rol de DPO involucra un alto grado de conocimiento legal, también requiere una comprensión sólida de la gestión de riesgos, la privacidad y la seguridad de la información, y la implementación de prácticas de cumplimiento. En Chile y en otras jurisdicciones, el DPO puede tener formación en áreas como ciberseguridad, gestión de riesgos, auditoría de sistemas o incluso TI, siempre que se complementen con conocimientos en protección de datos personales.

Un DPO puede provenir de una variedad de formaciones académicas, siempre que cuente con conocimientos en privacidad, protección de datos personales y cumplimiento normativo. Las carreras más comunes y adecuadas incluyen:

1. Derecho: Tradicionalmente, los abogados se consideran aptos para el rol de DPO debido a su comprensión de normativas, contratos y derechos de privacidad, especialmente en contextos donde el cumplimiento de leyes es clave.

2. Ingeniería en Ciberseguridad o Seguridad de la Información: Profesionales en esta área tienen una base sólida en protección de datos y seguridad de la información, lo cual es crucial para implementar controles y mitigar riesgos.

3. Ingeniería en Informática o Sistemas: Con conocimientos técnicos en infraestructura digital y seguridad informática, estos profesionales pueden implementar prácticas seguras y auditar procesos.

4. Gestión de Riesgos y Auditoría de Sistemas: Expertos en estas disciplinas están bien posicionados para identificar y mitigar riesgos en la gestión de datos y pueden realizar auditorías para asegurar el cumplimiento normativo.

5. Ciencias de la Información: Profesionales en gestión de la información entienden la importancia de los datos y sus flujos en las organizaciones, lo cual es útil para el cumplimiento y la protección de la privacidad.

6. Administración de Empresas con especialización en Compliance: Aquellos con formación en administración y especialización en cumplimiento normativo pueden abordar la privacidad de datos desde la perspectiva de la gestión de riesgos y el cumplimiento regulatorio.

7. Carreras en Ciencias Sociales (Psicología o Sociología): En organizaciones que requieren un enfoque centrado en el usuario y la ética, estas disciplinas aportan conocimientos sobre derechos y privacidad de datos, aunque suelen complementarse con estudios adicionales en privacidad y normativas.

Estas carreras pueden complementarse con certificaciones en protección de datos personales y cumplimiento de normativas, como CIPP/E (Certified Information Privacy Professional) o cursos de actualización en el Reglamento General de Protección de Datos (GDPR) y la Ley 19.628 en Chile.

Conclusión

La formación en protección de datos y privacidad para el rol de DPO en Chile es una tarea que requiere conocimiento de la normativa local, competencias en gestión de incidentes y familiaridad con estándares internacionales. Recursos como la Ley 19.628, el CPLT y la Cámara de Comercio de Santiago ofrecen las bases necesarias, mientras que el estudio del GDPR amplía la visión a estándares globales. Con la combinación de estas herramientas y certificaciones, los aspirantes a DPO podrán desempeñar su rol de manera efectiva, protegiendo los derechos de los individuos y asegurando el cumplimiento normativo en las organizaciones.

Es fundamental contratar a personas que estén debidamente preparadas y cuenten con la formación de DPO (Delegado de Protección de Datos) para asegurar el cumplimiento de las normativas de protección de datos y salvaguardar la información confidencial de la empresa y sus clientes. Un DPO bien formado posee el conocimiento y las habilidades necesarias para gestionar adecuadamente los riesgos relacionados con la privacidad y garantizar que la organización actúe conforme a la ley. Por el contrario, caer en un “Lionel Hutz”—es decir, contratar a alguien incompetente o sin la formación adecuada—puede conducir a errores costosos, sanciones legales y dañar la reputación de la empresa. Por ello, invertir en profesionales calificados es esencial para proteger los intereses de la organización y mantener la confianza de los clientes.

Referencias

• Ley 19.628 sobre Protección de la Vida Privada (Chile)

• https://www.bcn.cl/leychile/navegar?idNorma=141599

• Reglamento General de Protección de Datos (GDPR)

• https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679

• Ministerio Secretaría General de la Presidencia de Chile - Proyecto de Ley de Protección de Datos Personales

• https://www.camara.cl/legislacion/ProyectosDeLey/tramitacion.aspx?prmID=11604

• Cámara de Comercio de Santiago - Información sobre DPO en Chile

• https://www.ccs.cl/dpo-chile/

• Consejo para la Transparencia - Protección de Datos Personales

• https://www.consejotransparencia.cl/proteccion-de-datos/

• Agencia Española de Protección de Datos - Guía del Delegado de Protección de Datos (DPO)

• https://www.aepd.es/sites/default/files/2019-09/guia-delegado-proteccion-datos.pdf

• European Data Protection Board (EDPB) - Directrices sobre Protección de Datos

• https://edpb.europa.eu/our-work-tools/general-guidance/guidelines_es

• Organización para la Cooperación y el Desarrollo Económicos (OCDE) - Lineamientos de Privacidad

• https://www.oecd.org/sti/ieconomy/oecd_privacy_framework_spanish.pdf

• Thomson Reuters Chile - Comparativa entre la Ley 19.628 y el GDPR

• https://thomsonreuters.cl/gdpr-proteccion-de-datos-en-chile

• Deloitte Chile - Protección de Datos Personales en Chile

• https://www2.deloitte.com/cl/es/pages/risk/articles/proteccion-de-datos-personales.html

• EY Chile - Consideraciones sobre la Protección de Datos en Chile

• https://www.eychile.cl/proteccion-de-datos-personales-en-chile/

• Biblioteca del Congreso Nacional de Chile - Estudios sobre Protección de Datos

• https://www.bcn.cl/observatorio/asiaprende/estudios

• Universidad de Chile - Centro de Estudios en Derecho Informático

• https://derecho.uchile.cl/centros/cedi

• Garrigues Chile - Blog sobre Protección de Datos

• https://www.garrigues.com/es_ES/etiquetas/proteccion-de-datos

• Revista Chilena de Derecho y Tecnología - Artículos sobre Protección de Datos

• https://rchdt.uchile.cl/index.php/RCHDT

• International Association of Privacy Professionals (IAPP) - Recursos sobre el DPO

• https://iapp.org/resources/topics/dpo/

• CNIL (Commission Nationale de l’Informatique et des Libertés) - GDPR y sus Implicancias

• https://www.cnil.fr/fr/reglement-europeen-protection-donnees

• Agencia de Acceso a la Información Pública (Argentina) - Guía sobre el DPO

• https://www.argentina.gob.ar/aaip/datospersonales/dpo

• Ministerio de Justicia y Derechos Humanos de Chile - Protección de Datos Personales

• https://www.minjusticia.gob.cl/proteccion-de-datos-personales

• Artículo Académico: “El Rol del Delegado de Protección de Datos en Chile y su Relación con el GDPR Europeo”

• Disponible en: https://rchdt.uchile.cl/index.php/RCHDT/article/view/59310