Uno de los errores más frecuentes en la práctica del derecho de datos personales es confiar demasiado en lo que dice el contrato. Una cláusula puede denominar a una parte “responsable del tratamiento” y, sin embargo, en los hechos esa misma parte no toma ninguna decisión relevante sobre los datos. Lo contrario también puede ocurrir: una empresa figura en el papel como un simple “mandatario”, pero en la realidad ejerce un control amplio e independiente sobre la información que procesa.
Este artículo abordaremos cómo distinguir correctamente estos roles —responsable y mandatario— bajo la normativa chilena de la nueva Ley de Datos que entrará en vigencia el 1 de diciembre de 2026, con apoyo en las directrices del Comité Europeo de Protección de Datos (CEPD).
NOTA: Este contenido está protegido por la Ley de Propiedad Intelectual chilena y el derecho de autor. Su copia no autorizada se encuentra prohibida y puede ser sancionada.
La primacía de la realidad: principio rector
Antes de entrar en las definiciones, conviene instalar el principio rector: importa más lo que ocurre en la práctica que lo que diga un contrato o acuerdo escrito. Este principio —muy conocido y aplicado en derecho laboral— resultará igualmente aplicable aquí: es el hilo conductor de toda la lógica de identificación de roles en materia de datos personales.
Los contratos pueden disfrazar relaciones, invertir roles o usar denominaciones incorrectas. La autoridad competente —la Agencia de Protección de Datos Personales que creará la nueva ley— deberá mirar los hechos: ¿quién es el que decide? ¿con qué grado de independencia lo hace? ¿qué aspectos del tratamiento son los que revisa cada parte?
El Responsable: ¿Cómo lo define la nueva ley?
La nueva ley —fuertemente influenciada por el Reglamento General de Protección de Datos (RGPD) europeo— adopta una definición más precisa que la ley anterior: el responsable es “toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado” (artículo 2°, letra n, Ley 21.719). Este último punto no es menor: el legislador chileno quiso enfatizar que el responsable no puede eludir su responsabilidad simplemente por haber “delegado” el tratamiento en otro.
El elemento central es el poder de decisión
El concepto clave no es quién ejecuta el tratamiento, sino quién decide sobre él. Las Directrices 7/2020 del CEPD —que constituyen la mejor guía práctica disponible para aplicar estos conceptos, y cuya lógica es altamente probable que siga la futura autoridad chilena— identifican este elemento como el “grado de influencia” sobre los fines y medios del tratamiento.
Dos preguntas orientadoras sirven para identificar quién tiene el poder de decisión:
- ¿Por qué tiene lugar el tratamiento?
- ¿Quién ha decidido que debe llevarse a cabo para un fin concreto?
Quien responde estas preguntas de manera autónoma e independiente es el responsable.
Responsable no es siempre una empresa, ni siempre un individuo
Un punto que vale la pena aclarar es que no hay restricciones respecto al tipo de entidad que puede llegar a tener la calidad de responsable de datos. Puede ser persona natural o jurídica, pública o privada.
Asimismo, es un error creer que, dentro de una empresa, el responsable de los datos sea por ej. el delegado de protección de datos, o solo el área legal o el departamento de compliance, sino que es la organización en su conjunto, porque es ella quien realmente controla las decisiones sobre los datos. Los empleados actúan, en principio, bajo el control de la persona jurídica, es decir, de la empresa que recaba y trata estos datos.
Por otro lado, si hubiera un trabajador/a que se “escapa” con los datos para fines distintos de los originales, se transformaría en un “responsable independiente” o adicional, además del rol de responsable que tiene la empresa.
La decisión sobre los medios esenciales vs. medios no esenciales
El CEPD introduce una distinción relevante que la nueva ley chilena no incluye expresamente, pero que sí se puede entender igualmente aplicable: no toda decisión sobre el tratamiento convierte a quien la toma en responsable. Lo que importa es si esa entidad decide o no sobre los medios esenciales, es decir, decidir sobre estas cuatro preguntas:
- ¿Qué datos se tratarán?
- ¿Por cuánto tiempo se almacenarán?
- ¿Quién tendrá acceso a ellos?
- ¿A quién le pertenecen los datos tratados?
Los medios no esenciales —como el software que se usará, el tipo de cifrado, la infraestructura de servidores— pueden ser decididos por el mandatario sin que eso lo convierta en responsable. Un proveedor que por ej. decide internamente qué sistema informático usa para prestar el servicio sigue siendo mandatario, siempre que el cliente sea quien defina qué datos se guardan, por cuánto tiempo y quiénes pueden acceder.
El concepto de "mandatario" de datos personales
La nueva ley, alineada con el RGPD, lo define como quien “trate datos personales, por cuenta del responsable de datos” (art. 2°, letra x, modificado por la Ley 21.719).
La figura del mandatario se caracteriza por la subordinación: actúa siguiendo instrucciones. Si el responsable le ordena borrar datos, los borra. Si le ordena no compartirlos con terceros, acatará esta orden. Esa dependencia funcional es la que lo distingue del responsable.
Un punto que la nueva ley incorpora expresamente es el alcance de la responsabilidad del mandatario. La normativa enumera ciertas obligaciones propias del mandatario, conforme al artículo 15 bis que introduce la Ley 21.719, lo que permite inferir que las demás obligaciones de la ley recaen sobre el responsable. Por ej. se contempla que el mandatario igualmente deberá cumplir con el deber de secreto y confidencialidad del artículo 14 bis, y el deber de adoptar medidas de seguridad del artículo 14 quinquies.
La importancia real del contrato si delego el tratamiento de datos
Ahora que ya sabemos que importa más la realidad que lo que diga el contrato, veamos cuál es la importancia concreta de un contrato cuando, como empresa en calidad de “responsable”, delego en un tercero “mandatario” para el tratamiento de ciertos datos personales.
La nueva ley nos dice que el tratamiento de datos a través de un tercero mandatario o encargado “se regirá por el contrato celebrado entre el responsable y el encargado, con arreglo a la legislación vigente”.
En el contrato además “se deberá establecer el objeto del encargo, la duración del mismo, la finalidad del tratamiento, el tipo de datos personales tratados, las categorías de titulares a quienes conciernen los datos, y los derechos y obligaciones de las partes“.
Esta es probablemente la consecuencia más útil de tener un contrato escrito con el mandatario: en ese contrato debe estar la finalidad del encargo, ya que si el día de mañana el mandatario lo usa para otro fin distinto, el mandatario se vuelve un nuevo responsable que deberá responder personalmente por las infracciones que cometa y responderá solidariamente junto con el responsable por los daños que se produzcan a los titulares.
La ley establece que el encargado “no podrá delegar parte o la totalidad del encargo, salvo que conste una autorización específica y por escrito del responsable”. Y si el encargado delega a otro encargado parte o la totalidad del encargo, “continuará siendo solidariamente responsable sobre dicho encargo y no podrá eximirse de responsabilidad argumentando que ha delegado el tratamiento”.
En resumen, mire la realidad, y luego compare lo que dice el contrato
La identificación correcta de estos roles no es un ejercicio formal ni terminológico. Es un análisis de los hechos y la realidad: hay que observar primeramente quién toma las decisiones relevantes sobre el tratamiento, con qué grado de autonomía y sobre qué aspectos del mismo.
Un contrato puede llamar “responsable” a quien en los hechos es el mandatario, e intentar ocultar la verdadera naturaleza de una relación detrás de cláusulas redactadas de forma errónea o falsamente. La autoridad —y los operadores— siempre deberán ir más allá del papel para identificar la realidad del ese contrato o delegación.
Con la entrada en vigencia de la nueva Ley de Datos en diciembre de 2026, estos conceptos adquirirán plena operatividad en Chile, respaldados por una Agencia con facultades sancionatorias y una normativa que, como hemos visto, sigue de cerca la lógica europea.
Conocerlos bien —y aplicarlos correctamente— será una ventaja competitiva y una exigencia de cumplimiento para cualquier organización que trate datos personales.
