Antecedentes
Con fecha de 13 de junio de 2025, el Ministerio de Hacienda dictó el Decreto Supremo N.º 662, que aprueba el Reglamento que regula los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los Modelos de Prevención de Infracciones (en adelante, “el Reglamento”), previstos en los artículos 49 a 53 incorporados por la Ley N.º 21.719 a la Ley N.º 19.628 sobre Protección de la Vida Privada y actualmente se encuentra en trámite de toma de razón en la Contraloría General de la República. Se trata de un instrumento que establece de manera detallada un marco para la adopción de programas de cumplimiento en materia de tratamiento de datos personales, orientado a fortalecer el cumplimiento normativo y la protección de los derechos de los titulares; y que se traduce por ende en los aspectos esenciales que las organizaciones deberán cumplir en la adopción de estos modelos.
Objeto, ámbito de aplicación y reglas de aplicación supletoria
El reglamento en tramitación tiene como finalidad determinar las condiciones bajo las cuales los responsables de datos personales, sean personas naturales o jurídicas, públicas o privadas, pueden adoptar―voluntariamente―un modelo de prevención de infracciones. Dicho modelo consiste en la implementación de un programa de cumplimiento que, sin ser mandatorio, permite incorporar medidas organizativas y de funcionamiento que aseguren la correcta aplicación de la Ley N.º 19.628. La adopción de este programa no exime a los responsables del deber general de prevenir infracciones ni de respetar los derechos de los titulares.
Asimismo, se dispone en el artículo 2 del Reglamento, que le serán aplicables, de forma supletoria, las definiciones contenidas en la propia Ley N.º 19.628 modificada por la Ley N.º 21.719 y, respecto de los procedimientos en que intervenga la Agencia de Protección de Datos Personales, las disposiciones de la Ley N.º 19.880 sobre bases de los procedimientos administrativos.
Programas de cumplimiento en materia de protección de datos personales
Los programas de cumplimiento son el núcleo de los modelos de prevención de infracciones. En este sentido, el artículo 3 del Reglamento establece una serie de requisitos que deben contener una serie de elementos mínimos que aseguren su efectividad. En primer término, se exige la individualización del responsable de datos y de su representante legal, en caso de corresponder. Además, se dispone la obligación de designar un delegado de protección de datos, cuya actuación debe estar respaldada por medios y facultades suficientes para ejercer sus funciones.
El programa debe incluir una caracterización detallada de los datos personales tratados, las categorías de bases de datos administradas, las actividades de tratamiento realizadas, sus fines, las fuentes de obtención de los datos, los destinatarios a los que puedan comunicarse, así como las transferencias internacionales efectuadas y las medidas adoptadas para cumplir con la normativa. También debe especificar los plazos de conservación y la existencia de decisiones automatizadas o elaboración de perfiles, indicando su lógica y efectos previstos para los titulares de datos personales.
Asimismo, el Reglamento dispone que el programa debe identificar aquellas actividades de tratamiento que representen un mayor riesgo de infracciones, las que deben ser incorporadas en una matriz de riesgos desarrollada en función de la graduación de las sanciones legales. Junto a ello, se requiere el establecimiento de protocolos, reglas y procedimientos específicos que orienten la labor de los trabajadores y colaboradores de la organización de manera que prevengan infracciones, considerando el tipo de operaciones de tratamiento realizadas, la cantidad y naturaleza de los datos personales tratados, los riesgos asociados y la capacidad económica de la entidad.
Los programas de cumplimiento deben contemplar mecanismos de reporte interno expeditos y accesibles, tanto para denunciar infracciones como para comunicar situaciones a la Agencia de Protección de Datos Personales o a los titulares cuando corresponda, como prever la posibilidad de realizar autodenuncias, de acuerdo con lo establecido en la Ley N.º 19.628. Del mismo modo, se exige la inclusión de sanciones administrativas internas y procedimientos sancionatorios por incumplimiento, además de mecanismos de denuncia ante el delegado de protección de datos que aseguren la reserva de identidad y prohíban medidas adversas contra los denunciantes. En el caso de los organismos públicos, el programa deberá indicar las sanciones para los funcionarios o dependientes de dicho organismo. Finalmente, se establece que toda disposición que resulte necesaria para garantizar la protección de los datos personales tratados debe incorporarse en el programa.
Importante es indicar, que los mecanismos de denuncia interna ante la comisión de infracciones deberán asegurar la posibilidad de que, “…el denunciante solicite y se asegure la reserva de su identidad. El denunciante no podrá ser objeto de ninguna medida desfavorable en su contra a causa de su denuncia.” Además, los programas de cumplimiento deben contener “Cualquier otra disposición necesaria o útil para el cumplimiento de las normas aplicables a la protección de los datos personales que trate el responsable, en consideración a las operaciones de tratamiento de datos que realiza.”
Regulación interna y difusión del programa de cumplimiento
El Reglamento en tramitación ordena que las obligaciones derivadas de la implementación del programa de cumplimiento sean expresamente incorporadas en los contratos de trabajo y de prestación de servicios, así como en los reglamentos internos de la entidad. De esta manera, se asegura que tanto directivos como trabajadores y prestadores externos estén vinculados al cumplimiento del modelo.
En cuanto a la difusión, se exige que los responsables informen la existencia del programa a todos los trabajadores y prestadores de servicios, así como de las modificaciones o actualizaciones que se realicen. Respecto de la publicidad externa, se dispone que sólo podrá comunicarse la existencia de un programa de cumplimiento certificado mediante una referencia directa y simple al Registro Nacional de Sanciones y Cumplimiento que administrará la Agencia de Protección de Datos Personales, conforme a los artículos 4 y 5 del reglamento.
Del delegado de protección de datos personales.
Un aspecto central del Reglamento es la regulación del delegado de protección de datos. La designación de esta figura se vuelve obligatoria cuando se adopte y certifique un programa de cumplimiento. El delegado puede ser un dependiente del responsable de datos o un prestador externo de servicios, debiendo en este caso individualizarse a la persona natural que cumplirá la función. En el caso de las micro, pequeñas y medianas empresas, el propietario o las máximas autoridades podrán asumir personalmente el rol. Las entidades que pertenezcan a un mismo grupo empresarial podrán designar un único delegado, siempre que existan estándares comunes y el delegado sea accesible para todas las entidades bajo condiciones equivalentes. En el ámbito público, la función deberá ser asumida por un funcionario de la dotación vigente del organismo respectivo.
Conforme al artículo 8 del Reglamento, se exige que el delegado sea designado por la máxima autoridad de la entidad y que cuente con autonomía en el ejercicio de sus funciones, reportando directamente a dicha autoridad. Se considerará como la máxima autoridad directiva o administrativa al directorio, a un socio administrador o a la máxima autoridad de la entidad pública o privada, según corresponda. Además, establece que el delegado debe contar con conocimientos especializados en protección de datos, experiencia en la materia y formación actualizada respecto de la normativa aplicable y la jurisprudencia relevante.
De acuerdo con el artículo 13, entre las funciones asignadas al delegado se encuentran la asesoría al responsable y a terceros mandatarios sobre el cumplimiento de la normativa, la participación en la elaboración, revisión y modificación del programa de cumplimiento, la difusión y supervisión del mismo dentro de la organización, la comunicación de infracciones a la autoridad que lo designó, la capacitación permanente del personal, la asesoría en la identificación de riesgos y en la evaluación de impacto en protección de datos, y la elaboración de un plan anual de trabajo, cuyos resultados deberán ser rendidos a la autoridad competente. El delegado también debe absolver las consultas y solicitudes de los titulares, asegurando que sus medios de contacto estén permanentemente actualizados y disponibles, y actuar como punto de contacto con la Agencia de Protección de Datos Personales.
Finalmente, el artículo 12 del Reglamento establece el deber de secreto, reserva o confidencialidad del delegado respecto de todos los datos personales y la información a la que tenga acceso en el ejercicio de sus funciones.
Certificación, registro, implementación y supervisión
La Agencia de Protección de Datos Personales es el organismo competente para certificar, registrar y supervisar los modelos de prevención de infracciones. El procedimiento de certificación se inicia a solicitud del responsable, se rige por la Ley N.º 19.880 y puede incluir la contratación de servicios de terceros para el análisis de antecedentes. Los certificados emitidos por la Agencia tendrán una vigencia de tres años y podrán renovarse a petición del interesado.
El reglamento establece causales de caducidad de la certificación, tales como la revocación dispuesta por la Agencia, el fallecimiento del responsable en el caso de personas naturales, la disolución de personas jurídicas, la existencia de una resolución judicial ejecutoriada o el cese voluntario de las actividades del responsable. La revocación puede producirse de oficio o a petición de parte y procede cuando el responsable incumple los requisitos legales y reglamentarios, o cuando ha sido sancionado por la comisión de infracciones graves a la Ley N.º 19.628. En caso de que se revoque la certificación, el responsable podrá solicitar nuevamente su otorgamiento, siempre que acredite haber subsanado las deficiencias que originaron la medida.
Respecto del registro, la Agencia deberá incorporar en el Registro Nacional de Sanciones y Cumplimiento a las entidades que cuenten con certificación vigente, individualizando al responsable y a su representante legal, cuando corresponda, además de consignar la fecha de incorporación y el plazo de vencimiento. Este registro será de acceso público y permitirá consultar los certificados emitidos.
La implementación de los modelos de prevención puede realizarse incluso antes de la incorporación en el registro, siempre que se ajuste a las disposiciones de la Ley N.º 19.628 modificada por la Ley N.º 21.719 y al reglamento. Asimismo, la Agencia ejercerá la función de supervisión, pudiendo requerir información al delegado y al responsable, quienes deberán entregarla íntegra y oportunamente. La negativa injustificada, así como la entrega, a sabiendas, de información falsa, incompleta o errónea, será sancionada conforme a la ley.
Vigencia y desafíos
Finalmente, el Decreto establece que el Reglamento, que actualmente se encuentra en proceso de toma de razón en la Contraloría General de la República, entrará en vigor juntamente con la Ley N.º 21.719 a partir del 1º de diciembre de 2026. Sin duda, esto implicará un tremendo desafío para las organizaciones que decidan adoptar un Modelo de Prevención en los términos señalados.
Juan Pablo González Gutiérrez es abogado, director de HD Group en materia de protección de datos personales y ciberseguridad; y académico.
