La protección de datos personales en Chile está ad portas de una transformación crucial. Recientemente, el Ejecutivo ha dado un paso decisivo al ingresar a la Contraloría General de la República el Reglamento de la Ley N° 21.719, que reforma la Ley N° 19.628 y crea la Agencia de Protección de Datos Personales. Este reglamento, que debió dictarse en los seis meses siguientes a la publicación de la ley, llega en un momento clave, con la entrada en vigencia de la Ley N° 21.719 programada para diciembre de 2026, lo que nos deja a menos de 450 días de cuenta regresiva.
La inminente definición de estos estándares marcará un antes y un después en la práctica regulatoria de la protección de datos en nuestro país. Y no es para menos, pues estamos hablando de las reglas que normarán la implementación, certificación, registro y supervisión de los Modelos de Prevención de Infracciones (MPI).
Los MPI son un escudo estratégico, no una opción ignorable y aunque su adopción es de carácter voluntario para cualquier responsable de datos –ya sea persona natural o jurídica–, es crucial entender que no exime del cumplimiento de la ley. Por el contrario, los MPI se erigen como una herramienta estratégica fundamental para mitigar riesgos regulatorios y posibles sanciones. De hecho, la certificación de un MPI ante la futura Agencia de Protección de Datos no solo refuerza la cultura de cumplimiento, sino que se configura como un atenuante directo ante un proceso sancionatorio por incumplimientos de la ley, según lo establecido en la propia Ley N° 21.719.
Un programa de cumplimiento robusto, tal como lo define el reglamento, debe contener elementos mínimos esenciales: desde la individualización del responsable y la caracterización de las actividades de tratamiento mediante registros y matrices de riesgo, hasta la existencia de protocolos internos, mecanismos de reporte, autodenuncia y un sistema de sanciones internas. Además, toda esta normativa interna debe ser incorporada en contratos y reglamentos, y difundida adecuadamente dentro de la organización.
Otro de los pilares clave que establece este reglamento es la designación de un Delegado de Protección de Datos (DPD). Esta figura es fundamental, ya que su designación es un requisito obligatorio para obtener la certificación del MPI.
Este DPD puede ser una persona interna de la organización o incluso podrá externalizarse, pudiendo desempeñarse para varios responsables (excepto en organismos públicos, donde el cargo debe ser desempeñado por un funcionario) y se le exige poseer conocimientos especializados, formación y actualización permanente. Además, su información de contacto debe ser pública para facilitar la comunicación con los titulares de datos y la Agencia. Entre sus múltiples funciones, destaca el asesoramiento normativo, la supervisión del cumplimiento, el reporte de infracciones, la impartición de capacitaciones y el contacto directo con la Agencia. Este rol no es un mero formalismo; es la columna vertebral de la gobernanza de datos dentro de una organización.
Por otro lado, en materia de certificación y supervisión se establece a la Agencia como garante del efectivo cumplimiento de la ley. La Agencia de Protección de Datos Personales será la autoridad encargada de certificar, registrar y supervisar los MPI, con facultades incluso para revocar certificaciones. Esta certificación es muy importante, ya que tendrá una vigencia de tres años, es renovable, y el “Registro nacional de sanciones y cumplimiento” garantizará el acceso público a esta información.
En este punto es fundamental destacar que, si bien se permite implementar programas de cumplimiento antes de su inscripción en el registro, la Agencia mantendrá siempre la facultad de supervisar y sancionar los incumplimientos.
Con el reglamento ante Contraloría, y la Ley N° 21.719 cada vez más cerca, el mensaje es claro para las organizaciones: la estrategia anticipada de cumplimiento no puede esperar. Las empresas deben iniciar desde ahora un plan de preparación, creando estructuras internas de cumplimiento y designando a su DPD con la independencia y especialización técnica requeridas.
El reglamento, una vez publicado, se convertirá en un parámetro esencial para evaluar el grado de preparación y estado del compliance las organizaciones. No es momento de esperar: la protección de datos ya no es solo una obligación legal, sino una ventaja competitiva y una muestra de madurez empresarial. La cuenta regresiva ha comenzado, y la oportunidad de construir una sólida cultura de cumplimiento está en nuestras manos.
