Modelo de Prevención de Infracciones de datos personales: cómo construirlo antes de diciembre 2026
El Artículo 49 de la Ley 21.719 y el DS 662/2025 crean el Modelo de Prevención de Infracciones: el único programa de cumplimiento que la norma reconoce como atenuante ante sanciones de hasta 20.000 UTM. Aquí están los nueve elementos mínimos y el camino para certificarlo antes de diciembre de 2026.
Cognitiva, agencia chilena de IA, ha identificado que la mayoría de las empresas desconoce una de las figuras más relevantes de la Ley 21.719: el Modelo de Prevención de Infracciones (MPI). Regulado en el Artículo 49 de esa ley y reglamentado en detalle por el Decreto Supremo 662/2025, el MPI es un programa voluntario de cumplimiento en materia de datos personales que, una vez certificado ante la Agencia de Protección de Datos Personales (APDP), opera como atenuante formal frente a sanciones que pueden alcanzar las 20.000 UTM por infracción gravísima. La Ley 21.719 entra en vigencia plena el 1 de diciembre de 2026. Para esa fecha, las organizaciones con un MPI certificado dispondrán del mecanismo que la norma reconoce expresamente como factor de reducción de sanciones. Las que no lo tengan tampoco enfrentarán una multa automática, pero perderán ese argumento defensivo en cualquier proceso sancionatorio. Este artículo detalla los elementos mínimos que exigen el Artículo 49 y el DS 662/2025, el proceso de certificación ante la APDP y una hoja de ruta concreta para construir el MPI antes de que la ley sea exigible.
La figura que el mercado ignora: qué es el MPI
Desde la publicación de la Ley 21.719 en diciembre de 2024, la discusión pública ha girado principalmente en torno a los derechos de los titulares y las multas de la nueva Agencia de Protección de Datos Personales. Lo que ha recibido menos atención es la figura del Artículo 49: el Modelo de Prevención de Infracciones, un programa de cumplimiento que el legislador diseñó expresamente para que los responsables de datos reduzcan su exposición sancionatoria. No es una guía de buenas prácticas ni un documento interno sin valor jurídico. Es un mecanismo formal que la norma reconoce como atenuante dentro del proceso sancionatorio de la APDP.
El Decreto Supremo 662/2025, dictado el 13 de junio de 2025 por el Ministerio de Hacienda, reglamentó los requisitos, modalidades y procedimientos para implementar, certificar, registrar y supervisar el MPI. Al cierre de este artículo, ese decreto completaba su toma de razón ante la Contraloría General de la República —el control preventivo de legalidad que realizan sobre los actos administrativos— antes de ser publicado en el Diario Oficial. Las organizaciones que quieran contar con un MPI certificado para el 1 de diciembre de 2026 deben comenzar hoy: el proceso de diseño, documentación y certificación no es inmediato.
Los elementos mínimos del Artículo 49 y el DS 662/2025
El Artículo 49 de la Ley 21.719 define los requisitos mínimos que todo MPI debe incluir para ser elegible a certificación. El Decreto Supremo 662/2025 desarrolla esos elementos y agrega requisitos adicionales. No se trata de recomendaciones: son condiciones de admisibilidad ante la APDP. Un modelo que omite cualquiera de estos elementos no puede acceder a la certificación.
| N.° | Elemento | Descripción |
|---|---|---|
| 1 | Delegado de Protección de Datos (DPD) | Designación formal con definición de facultades, autonomía jerárquica y acceso directo a la máxima autoridad de la organización. |
| 2 | Medios y facultades del DPD | Recursos materiales, acceso a información y atribuciones necesarias para que el delegado ejerza su función con independencia efectiva. |
| 3 | Caracterización de datos tratados | Identificación del tipo de información, ámbito territorial, categorías de bases de datos y características de los titulares. |
| 4 | Identificación de riesgos | Análisis de las actividades o procesos donde aumenta el riesgo de cometer infracciones a la ley. |
| 5 | Protocolos y procedimientos | Reglas específicas para programar y ejecutar el tratamiento de datos conforme a la normativa, dirigidas al personal de la organización. |
| 6 | Mecanismos de reporte interno | Canales expeditos y accesibles para reportar incumplimientos dentro de la organización y hacia la APDP cuando corresponda. |
| 7 | Sanciones administrativas internas | Régimen disciplinario para quienes incumplan el modelo; deben incorporarse en contratos de trabajo y reglamentos internos. |
| 8 | Canal de denuncia con reserva de identidad | Vía formal con garantía de confidencialidad del denunciante y protección explícita ante medidas adversas por parte del empleador (DS 662/2025). |
El DS 662/2025 profundiza el elemento de caracterización de datos exigiendo que se documenten también los sistemas de decisiones automatizadas y de inteligencia artificial que el responsable opera. Ese requerimiento es relevante para cualquier empresa que use IA en atención al cliente, análisis crediticio, selección de personal o cualquier proceso que produzca efectos sobre personas naturales.
Sanciones y el efecto atenuante del certificado
La Ley 21.719 establece tres categorías de infracción con topes distintos. Las leves alcanzan hasta 5.000 UTM; las graves, hasta 10.000 UTM; y las gravísimas, hasta 20.000 UTM. En caso de reincidencia grave, la multa puede llegar al 2% de los ingresos anuales en Chile o triplicarse, lo que resulte mayor; para reincidencia gravísima, ese porcentaje sube al 4%. A valor UTM de julio de 2026 ($71.649), una sanción gravísima equivale a más de $1.400 millones de pesos. Las infracciones gravísimas además conllevan publicación obligatoria de la resolución sancionatoria.
El MPI certificado opera como circunstancia atenuante dentro del proceso sancionatorio ante la APDP. Esto no garantiza que la multa sea cero ni que se evite el procedimiento, pero sí que la autoridad considera el esfuerzo organizativo preventivo como factor de reducción de la sanción. La lógica es coherente con el derecho administrativo sancionador: el cumplimiento activo previo pesa en la determinación de la sanción efectiva. Para organizaciones que tratan datos sensibles —salud, biometría, origen étnico, situación financiera— donde las infracciones pueden calificarse directamente como gravísimas, ese atenuante puede representar una diferencia sustancial.
El proceso de certificación ante la APDP
La certificación del MPI es un procedimiento formal ante la APDP que se tramita conforme a la Ley N.° 19.880 sobre bases de los procedimientos administrativos. La agencia revisará que el modelo presentado cumpla los 9 elementos mínimos del DS 662/2025, que el DPD tenga las facultades exigidas y que el RAT esté completo. Si el modelo es aprobado, la certificación queda inscrita en el Registro Nacional de Sanciones y Cumplimiento, que es de acceso público. Esa inscripción tiene vigencia de 3 años y es renovable a solicitud. La APDP puede revocar el certificado si detecta que el modelo dejó de cumplir los requisitos o si la organización fue sancionada sin adoptar medidas correctivas.
- Diseño del MPI (meses 1-2): mapeo inicial de actividades de tratamiento, identificación de las bases legales de cada tratamiento, designación del DPD y redacción del mandato formal con acceso directo a la dirección.
- Construcción del RAT completo (mes 2): documentación de los 10 sub-elementos requeridos, incluidos los sistemas de IA y decisiones automatizadas. El RAT es la pieza que más tiempo consume porque exige levantar información de múltiples áreas.
- Análisis de riesgos y protocolos (mes 3): construcción de la matriz de riesgos priorizando tratamientos de datos sensibles, decisiones automatizadas y transferencias internacionales; redacción de protocolos por proceso.
- Actualizaciones contractuales (mes 3): incorporación de las obligaciones del MPI en contratos de trabajo y de prestación de servicios de todos los colaboradores y proveedores relevantes.
- Implementación del canal de denuncias (mes 4): establecimiento del mecanismo con reserva de identidad, designación de responsable de gestión y definición de plazos de respuesta internos.
- Revisión interna y presentación ante la APDP (meses 4-5): auditoría completa del modelo antes de la solicitud formal de certificación, siguiendo las instrucciones que la agencia emita una vez en funciones.
Hoja de ruta: seis pasos para diciembre de 2026
Con la fecha de vigencia fijada para el 1 de diciembre de 2026, el margen disponible es de cinco meses. Para una organización que parte de cero —sin RAT, sin DPD designado y sin protocolos formales—, ese plazo es ajustado pero viable si se trabaja con disciplina. Para una que ya tiene avances de cumplimiento bajo la Ley 19.628 anterior o bajo marcos como ISO 27001 o ISO 42001, el recorrido es notablemente más corto. Lo que sigue es la secuencia de seis fases que Cognitiva identifica como críticas para llegar a tiempo.
- Inventario de tratamientos (semanas 1-4): levantar qué datos se tratan, con qué finalidad, con qué base legal y dónde residen. Este inventario alimenta directamente el RAT e identifica los vacíos de documentación.
- Designación del DPD (semanas 1-2): definir si el rol será interno o externo a la organización, redactar el mandato formal, asegurar acceso directo a la dirección y asignar los recursos necesarios para que el delegado opere.
- Análisis de riesgos (semanas 5-8): construir la matriz de riesgos priorizando los procesos con mayor probabilidad de infracción —decisiones automatizadas, tratamiento de datos sensibles, transferencias internacionales— y asignando a cada riesgo un nivel de gravedad según las sanciones de la ley.
- Redacción de protocolos y actualizaciones contractuales (semanas 8-12): elaborar procedimientos específicos para cada riesgo identificado y adaptar los contratos de trabajo y de prestación de servicios para incorporar las obligaciones del MPI.
- Implementación del canal de denuncias (semanas 10-14): establecer el mecanismo formal con reserva de identidad, entrenar al personal responsable de su gestión y comunicar su existencia a todos los colaboradores.
- Revisión interna y certificación (semanas 14-20): realizar una auditoría completa del modelo, corregir las brechas detectadas y presentar la solicitud de certificación ante la APDP.
Matriz de priorización del MPI por perfil de responsable (Cognitiva)
| Perfil del responsable | Urgencia | Elementos MPI críticos a priorizar |
|---|---|---|
| Empresa con datos sensibles (salud, biometría, origen étnico) | Alta | DPD con dedicación mínima parcial, matriz de riesgos ampliada, EIPD para tratamientos de alto riesgo, RAT con categorías especiales documentadas |
| Empresa con transferencias internacionales de datos | Alta | RAT con sección de transferencias internacionales, validación de destinos adecuados, cláusulas contractuales en acuerdos con terceros |
| Pyme con tratamiento acotado (menos de 5.000 titulares) | Media | RAT básico, protocolo de atención de solicitudes ARCO-P, canal de denuncias simple, incorporación en contratos |
| Proveedor o subcontratista que trata datos por cuenta de otro | Media-Alta | Acuerdo DPA con el responsable principal, cláusulas de cumplimiento en contratos de servicio, registro de instrucciones recibidas |
| Empresa con sistemas de IA o decisiones automatizadas | Alta | RAT con sección de IA y decisiones automatizadas, EIPD específica para cada sistema, protocolo de explicabilidad y derecho a impugnación |
Automatización e IA para operar el MPI de forma continua
El mayor costo de implementar un MPI no es el diseño inicial: es el mantenimiento continuo. Un RAT desactualizado pierde valor probatorio en un proceso sancionatorio. Un canal de denuncias que nadie gestiona no cumple los requisitos del reglamento. Un protocolo que existe en papel pero que el personal desconoce no mitiga riesgo. El MPI debe funcionar como un sistema vivo, no como un documento que se archiva tras la certificación.
Las herramientas de automatización reducen ese costo operativo de forma significativa. Agentes de IA que detectan la incorporación de un nuevo proveedor de datos y alertan para actualizar el RAT; flujos automáticos que registran cada solicitud ARCO-P y la derivan al DPD con el plazo legal correspondiente; integraciones que consolidan el registro de incidentes y lo dejan disponible para la APDP si hay un procedimiento: estos no son lujos de grandes empresas. Son piezas que cualquier organización puede implementar con herramientas de automatización accesibles y un buen diseño de procesos.
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.