Hace algunos días, una empresa me informó —con visible satisfacción— que ya había designado a su delegado de protección de datos personales. La noticia, en principio, era alentadora. No pregunté por experiencia previa en el cargo —sería injusto hacerlo—, porque en Chile no más de una veintena de personas puede afirmar, con propiedad, haber ejercido realmente como delegado de protección de datos.
Opté, en cambio, por una pregunta más básica y exigible: qué formación certificada tenía para desempeñar la función. La respuesta fue, digamos, ilustrativa: ninguna en particular. Pero —se me explicó— era alguien de absoluta confianza, con años en la organización y una sólida trayectoria defendiendo los intereses de la empresa.
La escena resume, con precisión casi pedagógica, uno de los errores más frecuentes y más serios en la implementación de sistemas modernos de protección de datos: creer que el delegado está para proteger a la empresa como si fuera su abogado interno. No lo está. O, al menos, no en el sentido tradicional.
Partamos por lo esencial. El delegado de protección de datos es una figura jurídica y organizacional que surge con fuerza en los modelos regulatorios inspirados en el estándar europeo. No es un título de adorno de ni una casilla que se marca en un formulario.
Es —o debería ser— el garante interno de que el tratamiento de datos personales se ajuste efectivamente a las normas, a los principios y a los derechos de las personas. Responde ante la organización, pero también ante los titulares de datos y ante la autoridad de control. Su posición es estructuralmente incómoda.
Su misión no es defender a la empresa, sino vigilar que la empresa no se desordene jurídicamente cuando trata datos personales. No decide la estrategia de negocio ni sustituye a la gerencia. No autoriza operaciones ni valida riesgos por sí mismo. Su tarea es otra: observar, evaluar, advertir y recomendar. Señalar qué se está haciendo, dónde están los riesgos, qué prácticas son problemáticas y qué medidas correctivas o de mitigación son necesarias. Luego, decide la organización.
Por eso la independencia no es un lujo teórico del cargo, sino su condición de existencia. Independencia funcional, técnica y de criterio. El delegado no debe ser hostil a la empresa, pero tampoco debe estar capturado por sus urgencias comerciales ni por sus lealtades internas. Su valor radica en poder decir “esto no es compatible con la normativa” cuando todos los demás quieren escucharle decir “adelante”.
Cuando el delegado se designa por cercanía, antigüedad o lealtad corporativa —“persona de confianza”, “conocedor del negocio”, “alineado con la cultura interna”— el rol se vacía de contenido. Se transforma en una pantomima de cumplimiento: hay nombramiento, pero no hay control; hay cargo, pero no hay función. Peor aún, suele producirse una mutación silenciosa: el delegado designado bajo esos parámetros no evalúa críticamente, sino que pasa a racionalizar las decisiones ya adoptadas. Se convierte en legitimador interno, en vez de ser conciencia técnica.
Conviene insistir en otro punto que suele confundirse: el delegado no es quien define cuánto riesgo jurídico (o financiero, o reputacional, o de otro tipo) puede asumir la empresa. Ese es un juicio de gobierno corporativo. Los directorios entregan las directrices. Las gerencias deciden. Las áreas legales defienden. El delegado, en cambio, informa y alerta. No conduce el barco, pero su deber es advertir cuando hay rocas bajo la superficie.
Confundir los planos tiene consecuencias. Debilita la protección de los datos personales y, paradójicamente, aumenta la exposición de la propia organización. Un delegado sin formación, sin independencia y sin capacidad real de incidencia no reduce riesgos: los posterga hasta que se transforman en crisis de grandes dimensiones.
Aquí aparece la paradoja que a muchos les resulta extraño de comprender: el delegado sí protege a la empresa, pero no cuando salta en su defensa, sino cuando la examina críticamente. La protege cuando cuestiona, cuando pide realizar ajustes, cuando informa incumplimientos, cuando insiste —aunque moleste— en que ciertas prácticas deben cambiar. La protege cuando mantiene una voz técnica que no se negocia en las reuniones con directivos.
Su aporte no consiste en justificar lo que la organización ya decidió hacer, sino en obligarla a pensar mejor lo que hace con los datos personales. Es una función de control, de alerta temprana y de fricción saludable. La fricción, en cumplimiento normativo, no es un defecto: es un mecanismo de seguridad.
En tiempos en que la protección de datos deja de ser promesa y pasa a ser exigencia, conviene tomarse en serio sus instituciones. El delegado de protección de datos no es un escudo corporativo, sino más bien, un espejo en que la actividad empresarial se mira a sí misma.
Precisamente por eso, resulta indispensable.