El nuevo Reglamento del Modelo de Prevención de Infracciones fija lineamientos y certificación para programas de cumplimiento en protección de datos.
Actualmente se encuentra en proceso de toma de razón por parte de la Contraloría el Decreto N° 662/2025 del Ministerio de Hacienda, mediante el cual se aprueba el Reglamento del Modelo de Prevención de Infracciones, previsto en el artículo 49 de la Ley de Protección de Datos Personales.
El reglamento tiene por objetivo establecer los requisitos, modalidades y procedimientos para la implementación, registro y supervisión de los Modelos de Prevención de Infracciones.
Aunque su adopción es voluntaria, se deja claro que ello no exime a los responsables del deber de implementar acciones para prevenir infracciones y cumplir con las disposiciones de la Ley de Datos.
Elementos esenciales del MPI / Programa de Cumplimiento
Los programas de cumplimiento corresponden al Modelo de Prevención de Infracciones y pueden ser adoptados por cualquier responsable de datos, persona natural o jurídica. Entre sus principales contenidos se incluyen:
- Individualización del responsable de datos y su representante legal.
- Designación del Delegado de Protección de Datos (DPO), con definición de sus medios y facultades.
- Se contempla la modalidad de “DPO as a Service”, obligándose siempre a designar a una persona natural en el contrato.
- Caracterización de los datos personales tratados, incluyendo categorías, finalidades, fuentes, bases de licitud, plazos de conservación y existencia de decisiones automatizadas.
- Posibilidad de cumplimiento con Registro de Actividades de Tratamiento (RAT) con contenidos mínimos definidos en la norma.
- Identificación de actividades de tratamiento de mayor riesgo, incorporándolas en una matriz de riesgos graduada según las sanciones de la ley.
- Protocolos, reglas y procedimientos específicos para que las personas que intervienen en actividades de tratamiento o procesos desempeñen sus tareas previniendo infracciones.
- Mecanismos internos de reporte y denuncia ante el DPO, garantizando la reserva de identidad del denunciante y la prohibición de medidas desfavorables en su contra.
- Sanciones administrativas internas y procedimientos sancionatorios aplicables por infracción a las normas internas.
- Cláusulas de difusión interna y canales de comunicación efectivos para asegurar la comprensión y cumplimiento del programa.
- Cualquier otra disposición necesaria o útil para el cumplimiento de las normas aplicables a la protección de datos personales.
Delegado de Protección de Datos (DPO) – Funciones Reforzadas
El documento establece de forma detallada el rol del DPO, quien se convierte en el pilar técnico-jurídico del MPI. Entre sus funciones y obligaciones destacan, entre otras:
- Informar y asesorar al responsable, a terceros encargados/mandatarios y a los dependientes sobre las disposiciones legales aplicables al tratamiento de datos personales.
- Participar en la revisión y modificación del programa de cumplimiento, proponiendo ajustes cuando detecte riesgos u oportunidades de mejora.
- Promover la difusión, conocimiento, comprensión y cumplimiento de la política que dicte el responsable en materia de protección de datos.
- Supervisar el cumplimiento normativo, evaluando periódicamente la eficacia de las medidas adoptadas y verificando la corrección de posibles desviaciones.
- Comunicar directamente a la autoridad competente cualquier infracción a la norma aplicable al tratamiento de datos de la que tome conocimiento, sin interferencias del responsable.
- Impulsar la formación y capacitación permanente del personal en materia de protección de datos.
- Asesorar al responsable en la identificación de los riesgos asociados a las actividades de tratamiento que realice la entidad y en la adopción de medidas preventivas.
- Garantizar canales de comunicación seguros y confidenciales con titulares, personal interno y terceros, velando por la reserva de identidad de denunciantes.
Certificación y supervisión
La disposición establece el procedimiento para la aprobación, certificación, registro, implementación y supervisión de los programas de cumplimiento.
La certificación será otorgada por la agencia mediante procedimiento iniciado por el interesado, con vigencia de 3 años y causales de caducidad como revocación, disolución de la persona jurídica o cese voluntario de la actividad.
El Reglamento sobre Modelos de Prevención de Infracciones se presenta como un marco operativo que orienta a los responsables de datos en la adopción de buenas prácticas de cumplimiento.
Aunque su implementación no es obligatoria, en la práctica se transforma en un estándar de referencia que fortalece la gobernanza de datos, refuerza la confianza frente a titulares y autoridades y permite anticipar riesgos regulatorios, aportando evidencia concreta de debida diligencia.
Para más información sobre estos temas pueden consultar a:
Rodrigo Albagli | Socio | ralbagli@az.cl
Yoab Bitran | Director Grupo Compliance | ybitran@az.cl
Antonia Nudman | Asociada Senior az Tech | anudman@az.cl
