Modelo de Prevención de Infracciones (MPI) según la Ley 21.719 en Chile

Implementación de un MPI bajo la Ley 21719: La guía definitiva

/ Implementación Ley 21719: Protección y tratamiento de datos personales / Por

1. Contexto estratégico: por qué esta ley importa ahora

La entrada en vigencia de la Ley 21.719 redefine el tratamiento de los datos personales en Chile, transformándolo en un eje crítico de la gestión empresarial y del compliance corporativo. Esta ley establece estándares más altos, derechos más exigibles, deberes más estrictos y sanciones más severas.

Para las empresas, no se trata solo de cumplir: se trata de prevenir infracciones mediante un Modelo de Prevención (MPI) eficaz, integrado y operativo, que resguarde a la organización frente al riesgo regulatorio, reputacional y de negocio.

2. Las nuevas exigencias del ecosistema legal

La Ley 21.719 exige a las empresas:

  • Acreditar el consentimiento informado, específico y verificable.
  • Respetar los derechos ARCO-P (acceso, rectificación, cancelación, oposición, portabilidad).
  • Implementar medidas de seguridad técnicas y organizativas.
  • Responder ante vulneraciones o filtraciones de datos.
  • Documentar el cumplimiento, demostrar diligencia, y permitir auditoría.

Estas exigencias aplican transversalmente, desde la alta dirección hasta los sistemas tecnológicos, contratos con terceros y procesos internos.

3. Riesgos y focos críticos por sector frente a la Ley 21.719

Sector Salud (público y privado)

  • Riesgos principales: Acceso no autorizado a datos sensibles, filtración de historiales médicos, uso indebido de información clínica.
  • Ejemplos de datos personales tratados: Diagnósticos, tratamientos médicos, antecedentes familiares, exámenes clínicos, datos de salud mental.
  • Controles sugeridos: Cifrado de datos personales, control estricto de accesos, registro de auditorías en sistemas clínicos, políticas claras sobre tratamiento.
  • Medidas prioritarias: Revisión de bases de datos legadas, actualización de consentimientos, capacitación específica al personal clínico y técnico, realización de DPIAs en tratamientos de alto riesgo.

Sector Banca y Finanzas

  • Riesgos principales: Perfilamiento sin consentimiento, uso de información para marketing sin base legal, exposición de datos sensibles por terceros.
  • Ejemplos de datos personales tratados: Información financiera, movimientos bancarios, historial crediticio, datos de deudas, identificación biométrica.
  • Controles sugeridos: Políticas de consentimiento granular, segmentación de bases de datos, monitoreo de actividad anómala, gestión de proveedores de datos.
  • Medidas prioritarias: Asegurar portabilidad y oposición efectiva, validación de bases legadas, revisiones periódicas de políticas de privacidad y contratos.

Sector Retail / E-commerce

  • Riesgos principales: Recolección excesiva de datos, cookies no informadas, cesión no autorizada a terceros, uso de datos sin consentimiento válido.
  • Ejemplos de datos personales tratados: Historial de compras, hábitos de navegación, ubicación, medios de pago, preferencias personales.
  • Controles sugeridos: Políticas de privacidad accesibles, banners de cookies configurables, revisión contractual de terceros que procesan datos.
  • Medidas prioritarias: Implementación de consentimientos activos y específicos, mapeo de proveedores con acceso a datos, registro de tratamientos y bases legales.

Sector Educación (todos los niveles)

  • Riesgos principales: Tratamiento de datos de menores sin autorización, vulnerabilidad de plataformas tecnológicas, exposición de historiales académicos.
  • Ejemplos de datos personales tratados: Calificaciones, conducta, antecedentes familiares, información de apoderados, necesidades especiales.
  • Controles sugeridos: Obtención de consentimiento parental explícito, cifrado de plataformas, restricción de acceso a personal autorizado.
  • Medidas prioritarias: Actualización de protocolos internos, capacitación a docentes y administrativos, definición de responsables del tratamiento.

Sector Telecomunicaciones / TICs

  • Riesgos principales: Geolocalización sin aviso, recopilación desproporcionada, uso con fines de vigilancia no consentida, exposición en la nube.
  • Ejemplos de datos personales tratados: Geolocalización, historial de llamadas, direcciones IP, comportamiento de navegación.
  • Controles sugeridos: Análisis legal de bases normativas, anonimización y seudonimización de datos, realización de evaluaciones de impacto.
  • Medidas prioritarias: Rediseño de flujos de tratamiento, cumplimiento de deber de información, habilitación de canales de ejercicio de derechos.

Gestión de personas y servicios externalizados (RRHH / outsourcing)

  • Riesgos principales: Recolección excesiva en procesos de selección, tratamiento por terceros sin control, filtración de antecedentes médicos o laborales.
  • Ejemplos de datos personales tratados: Datos contractuales, licencias médicas, antecedentes judiciales, remuneraciones, evaluaciones de desempeño.
  • Controles sugeridos: Auditoría de contratos, definición de medidas con encargados de tratamiento, cifrado y trazabilidad.
  • Medidas prioritarias: Inventario de datos personales por proceso, segregación de funciones, roles claramente asignados, mecanismos de reporte.

Sector público y municipalidades

  • Riesgos principales: Tratamiento masivo sin medidas adecuadas, ausencia de transparencia, uso indebido de datos sociales o judiciales.
  • Ejemplos de datos personales tratados: Fichas de protección social, antecedentes judiciales, historial laboral, datos de salud y vivienda.
  • Controles sugeridos: Registro de actividades de tratamiento, control interno, políticas claras de confidencialidad.
  • Medidas prioritarias: Implementación de modelo de cumplimiento normativo, fiscalización cruzada, designación de responsables, coordinación con la Agencia de Protección de Datos Personales.

4. El Modelo de Prevención de Infracciones (MPI): eje central del cumplimiento

El artículo 49 de la ley introduce el MPI como un mecanismo voluntario, pero altamente recomendable para mitigar sanciones, estructurar el cumplimiento y generar evidencia preventiva. Un MPI eficaz debe incluir:

Designación de responsables y, idealmente, de un Delegado de Protección de Datos (DPO).

  • Designación de responsables y, idealmente, un Delegado de Protección de Datos (DPO).
  • Identificación de riesgos asociados al tratamiento de datos.
  • Establecimiento de protocolos, mecanismos de reporte y medidas internas.
  • Capacitación continua, trazabilidad y monitoreo.
  • Evaluaciones de impacto (EIPD) en tratamientos de alto riesgo.

5. Sanciones y consecuencias

Infracciones Leves

  • Sanción: Hasta 5.000 UTM.
  • Ejemplos: No responder solicitudes de titulares dentro de plazo, no publicar o mantener visible la política de tratamiento de datos.

Infracciones Graves

  • Sanción: Hasta 10.000 UTM.
  • Ejemplos: Falta de medidas de seguridad adecuadas, tratamiento de datos personales sin una base legal válida, incumplimiento reiterado de deberes de información.

Infracciones Gravísimas

  • Sanción: Hasta 20.000 UTM, posibilidad de publicación obligatoria de la sanción.
  • Ejemplos: Filtraciones masivas de datos personales sensibles, tratamiento doloso de datos sin consentimiento, negativa sistemática a permitir el ejercicio de derechos por parte de los titulares.

La reincidencia puede duplicar las sanciones. La Agencia podrá ordenar, además, la publicación obligatoria de la sanción, la suspensión del tratamiento e incluso la revocación de certificaciones otorgadas.

6. Riesgo de integración deficiente: el error estructural más común

Muchas empresas diseñan modelos de prevención de papel, que no dialogan con los sistemas de gestión de riesgos y gestión de la empresa, ni con la estrategia del negocio. Esto se repite tanto con la Ley 21.595 como con la 21.719.

Para que el MPI sea eficaz, debe:

  • Estar integrado al sistema de gestión integral de riesgos.
  • Incorporarse a los procesos clave del negocio.
  • Dialogar con áreas como TI, legal, recursos humanos y auditoría.
  • Responder al modelo de negocio y no solo al checklist legal.

El MPI debe ser parte del sistema de gestión empresarial. Debe alinearse con los procesos, la estrategia, y los sistemas tecnológicos, legales y de recursos humanos. Solo así es útil.

7. Conclusión: una guía para liderar y proteger

Adoptar un MPI permite a las organizaciones anticipar riesgos regulatorios y proteger su continuidad operativa frente a un entorno legal cada vez más exigente. Más que un simple cumplimiento, se trata de instalar prácticas que fortalezcan la gobernanza interna y minimicen vulnerabilidades jurídicas.

En sectores donde la confianza, la transparencia y la ética son factores críticos para competir, contar con un Modelo de Prevención de Infracciones puede marcar una diferencia concreta en la percepción de clientes, inversionistas y aliados estratégicos.

Por ello, implementar un MPI no es solo una respuesta legal. Es un paso coherente con una cultura organizacional que entiende que la prevención, la responsabilidad y la gestión del riesgo no son opcionales, sino condiciones básicas para operar con legitimidad en el siglo XXI.

 

“¿Necesitas orientación para implementar un MPI conforme a la Ley 21.719? Solicita asesoría profesional personalizada.”

Cotizar servicio

Si este artículo te pareció útil e importante, compártelo:

Artículos Relacionados

error: Content is protected !!
Scroll al inicio