Entre las novedades que trae la Ley 21.719 hay una figura que no existía en la antigua Ley 19.628: el Modelo de Prevención de Infracciones, o MPI. Es voluntario, pero entenderlo bien puede cambiar cómo tu empresa enfrenta una fiscalización.
Qué es exactamente
El MPI es un programa de cumplimiento en materia de protección de datos personales que cualquier responsable de tratamiento puede adoptar de forma voluntaria. En términos simples, es un sistema de gestión que documenta cómo tu organización trata los datos, identifica dónde están los riesgos y establece qué hacer para mitigarlos.
Está regulado en los artículos 49 a 53 que la Ley 21.719 incorporó a la Ley 19.628. Si el concepto te resulta familiar, es porque sigue una lógica parecida a la del Modelo de Prevención de Delitos que la Ley 20.393 introdujo para responsabilidad penal de personas jurídicas: la idea de que una organización puede atenuar su exposición si demuestra que tenía controles reales antes de que ocurriera el problema.
Voluntario, pero no gratuito no tenerlo
Implementar un MPI es voluntario, pero esa voluntariedad no exime a ninguna empresa del deber general de adoptar medidas de prevención y cumplimiento que la ley exige a todos los responsables de tratamiento. El MPI no es la obligación; es una herramienta formal y certificable para demostrar que esa obligación general se está cumpliendo.
La diferencia práctica se ve cuando hay una infracción. Un MPI certificado opera como atenuante frente a las sanciones — que pueden llegar a las 20.000 UTM en infracciones gravísimas — y facilita otras atenuantes como la autodenuncia y la colaboración activa con la Agencia.
Qué elementos mínimos exige
- ·Individualización del responsable de datos y su representante legal.
- ·Designación de un Delegado de Protección de Datos (DPD), con conocimientos específicos, autonomía operativa y acceso directo a la máxima autoridad de la organización.
- ·Registro de Actividades de Tratamiento (RAT), el inventario documentado de qué datos se tratan, con qué finalidad y bajo qué base legal.
- ·Matriz de riesgo que identifique los tratamientos más sensibles y su nivel de exposición.
- ·Protocolos internos para el ejercicio de derechos ARCOP y para la respuesta ante brechas de seguridad.
- ·Canales de reporte internos para que empleados o terceros puedan informar incumplimientos.
- ·Régimen sancionatorio interno y obligaciones contractuales con proveedores que traten datos por encargo.
- ·Capacitación periódica a las áreas con acceso a datos personales.
Para empresas de menor tamaño, el reglamento contempla una excepción: pueden designar como DPD a sus propios propietarios o ejecutivos, sin necesidad de contratar a un profesional independiente.
Cómo funciona la certificación
El procedimiento se inicia a solicitud del interesado ante la Agencia. Si la Agencia evalúa que el modelo cumple los requisitos, lo certifica y lo inscribe en el Registro Nacional de Sanciones y Cumplimiento. La certificación tiene una vigencia de tres años, renovable previa revisión.
Por qué es estratégico, no solo defensivo
Más allá del efecto atenuante frente a sanciones, la inscripción en el Registro Nacional es una señal pública de que la organización opera bajo estándares verificados. Para clientes corporativos y socios que exigen due diligence de protección de datos, esa certificación empieza a operar como un diferenciador competitivo.
Implementar un modelo certificable no es inmediato: en la práctica toma varios meses. Con la entrada en vigencia fijada para diciembre de 2026, el tiempo para hacerlo con calidad — en lugar de bajo presión de una fiscalización — se está acortando.
Relacionado: revisa qué implica designar un Delegado de Protección de Datos y cómo se estructura un protocolo de gestión ARCOP.
Fuentes principales: Ley 21.719, artículos 49 a 53 incorporados a la Ley 19.628 (Biblioteca del Congreso Nacional — bcn.cl/leychile); Decreto Supremo N°662/2025, Ministerio de Hacienda — verificar estado de publicación vigente en Diario Oficial antes de citar como norma en régimen.